Solución de problemas de integración siem
En este artículo se proporciona una lista de posibles problemas al conectar siem a Defender for Cloud Apps y se proporcionan posibles soluciones.
Recuperación de eventos de actividad que faltan en Defender for Cloud Apps agente SIEM
Antes de continuar, compruebe que la licencia de Defender for Cloud Apps admite la integración siem que está intentando configurar.
Si recibió una alerta del sistema relacionada con un problema con la entrega de actividad a través del agente SIEM, siga los pasos siguientes para recuperar los eventos de actividad en el período de tiempo del problema. Estos pasos le guiarán a través de la configuración de un nuevo agente SIEM de recuperación que se ejecutará en paralelo y reenviará los eventos de actividad al SIEM.
Nota:
El proceso de recuperación volverá a enviar todos los eventos de actividad en el período de tiempo descrito en la alerta del sistema. Si siem ya contiene eventos de actividad de este período de tiempo, experimentará eventos duplicados después de esta recuperación.
Paso 1: Configuración de un nuevo agente SIEM en paralelo al agente existente
En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.
En Sistema, seleccione Agente SIEM. A continuación, seleccione Agregar un nuevo agente SIEM y use el asistente para configurar los detalles de conexión al SIEM. Por ejemplo, puede crear un nuevo agente SIEM con la siguiente configuración:
- Protocolo: TCP
- Host remoto: cualquier dispositivo donde pueda escuchar un puerto. Por ejemplo, una solución sencilla sería usar el mismo dispositivo que el agente y establecer la dirección IP del host remoto en 127.0.0.1
- Puerto: cualquier puerto al que pueda escuchar en el dispositivo host remoto
Nota:
Este agente debe ejecutarse en paralelo al existente, por lo que es posible que la configuración de red no sea idéntica.
En el asistente, configure los tipos de datos para incluir solo Actividades y aplique el mismo filtro de actividad que se usó en el agente SIEM original (si existe).
Guarde la configuración.
Ejecute el nuevo agente con el token generado.
Paso 2: Validar la entrega correcta de datos a siem
Siga estos pasos para validar la configuración:
- Conéctese a SIEM y compruebe que se reciben nuevos datos del nuevo agente SIEM que configuró.
Nota:
El agente solo enviará actividades en el período de tiempo del problema en el que se le alertó.
- Si el SIEM no recibe los datos, en el nuevo dispositivo del agente SIEM, intente escuchar el puerto que configuró para reenviar actividades para ver si los datos se envían desde el agente al SIEM. Por ejemplo, ejecute
netcat -l <port>donde<port>es el número de puerto configurado anteriormente.
Nota:
Si usa ncat, asegúrese de especificar la marca -4ipv4 .
- Si el agente envía datos pero no los recibe el SIEM, compruebe el registro del agente SIEM. Si puede ver mensajes de "conexión denegada", asegúrese de que el agente SIEM está configurado para usar TLS 1.2 o posterior.
Paso 3: Quitar el agente SIEM de recuperación
- El agente SIEM de recuperación dejará de enviar datos automáticamente y se deshabilitará una vez que alcance la fecha de finalización.
- Valide en el SIEM que el agente SIEM de recuperación no envía ningún dato nuevo.
- Detenga la ejecución del agente en el dispositivo.
- En el portal, vaya a la página Agente SIEM y quite el agente SIEM de recuperación.
- Asegúrese de que el agente SIEM original sigue ejecutándose correctamente.
Solución de problemas generales
Asegúrese de que el estado del agente SIEM en el portal de Microsoft Defender for Cloud Apps no es Error de conexión o Desconectado y no hay ninguna notificación del agente. El estado se muestra como Error de conexión si la conexión está inactiva durante más de dos horas. El estado cambia a Desconectado si la conexión está inactiva durante más de 12 horas.
Si ve uno de los siguientes errores en el símbolo del sistema durante la ejecución del agente, siga estos pasos para corregir el problema:
| Error | Descripción | Solución |
|---|---|---|
| Error general durante el arranque | Error inesperado durante el arranque del agente. | Póngase en contacto con el servicio de soporte técnico. |
| Demasiados errores críticos | Se han producido demasiados errores críticos al conectar la consola. Cerrando. | Póngase en contacto con el servicio de soporte técnico. |
| Token no válido | El token proporcionado no es válido. | Asegúrese de que copió el token correcto. Puede usar el proceso anterior para volver a generar el token. |
| Dirección de proxy no válida | La dirección de proxy proporcionada no es válida. | Asegúrese de que ha escrito el proxy y el puerto correctos. |
Después de crear el agente, compruebe la página del agente SIEM en el portal de Defender for Cloud Apps. Si ve una de las siguientes notificaciones del Agente, siga estos pasos para corregir el problema:
| Error | Descripción | Solución |
|---|---|---|
| Error interno | Algo desconocido salió mal con el agente SIEM. | Póngase en contacto con el servicio de soporte técnico. |
| Error de envío del servidor de datos | Puede obtener este error si trabaja con un servidor syslog a través de TCP. El agente SIEM no puede conectarse al servidor de Syslog. Si recibe este error, el agente dejará de extraer nuevas actividades hasta que se corrigió. Asegúrese de seguir los pasos de corrección hasta que el error deje de aparecer. | 1. Asegúrese de que ha definido correctamente el servidor syslog: en la interfaz de usuario de Defender for Cloud Apps, edite el agente SIEM como se describió anteriormente. Asegúrese de que escribió correctamente el nombre del servidor y establezca el puerto correcto.
2. Comprobar la conectividad con el servidor syslog: asegúrese de que el firewall no bloquea la comunicación. |
| Error de conexión del servidor de datos | Puede obtener este error si trabaja con un servidor syslog a través de TCP. El agente SIEM no puede conectarse al servidor de Syslog. Si recibe este error, el agente dejará de extraer nuevas actividades hasta que se corrigió. Asegúrese de seguir los pasos de corrección hasta que el error deje de aparecer. | 1. Asegúrese de que ha definido correctamente el servidor syslog: en la interfaz de usuario de Defender for Cloud Apps, edite el agente SIEM como se describió anteriormente. Asegúrese de que escribió correctamente el nombre del servidor y establezca el puerto correcto.
2. Comprobar la conectividad con el servidor syslog: asegúrese de que el firewall no bloquea la comunicación. |
| Error del agente SIEM | El agente SIEM se ha desconectado durante más de X horas. | Asegúrese de que no ha cambiado la configuración siem en el portal de Defender for Cloud Apps. De lo contrario, este error podría indicar problemas de conectividad entre Defender for Cloud Apps y el equipo en el que se ejecuta el agente SIEM. |
| Error de notificación del agente SIEM | Los errores de reenvío de notificaciones del agente SIEM se recibieron de un agente SIEM. | Este error indica que ha recibido errores sobre la conexión entre el agente SIEM y el servidor SIEM. Asegúrese de que no haya un firewall que bloquee el servidor SIEM o el equipo en el que se ejecuta el agente SIEM. Además, compruebe que no se ha cambiado la dirección IP del servidor SIEM. Si ha instalado java runtime engine (JRE) update 291 o superior, siga las instrucciones de Problema con nuevas versiones de Java. |
Problema con las nuevas versiones de Java
Las versiones más recientes de Java pueden causar problemas con el agente SIEM. Si ha instalado java runtime engine (JRE) update 291 o superior, siga estos pasos:
En un símbolo del sistema de PowerShell con privilegios elevados, cambie a la carpeta bin de instalación de Java.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Descargue cada uno de los siguientes certificados de ENTIDAD de certificación de emisión tls de Azure.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtImporte cada archivo CRT de certificado de CA al almacén de claves de Java mediante el valor predeterminado de cambio de contraseña del almacén de claves.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitPara comprobarlo, consulte el almacén de claves de Java para los alias de certificado de ca de emisión tls de Azure enumerados anteriormente.
keytool -list -keystore ..\lib\security\cacertsInicie el agente SIEM y revise el nuevo archivo de registro de seguimiento para confirmar una conexión correcta.
Pasos siguientes
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.