Jaa

SIEM-integroinnin vianmääritys

  • Artikkeli

Tässä artikkelissa on luettelo mahdollisista ongelmista, kun yhdistät SIEM:n Defender for Cloud Apps, ja se sisältää mahdollisia ratkaisuja.

Palauta puuttuvat toimintatapahtumat Defender for Cloud Apps SIEM-agentissa

Ennen kuin jatkat, tarkista, että Defender for Cloud Apps -käyttöoikeutesi tukee siem-integrointia, jota yrität määrittää.

Jos olet saanut siem-agentin kautta järjestelmäilmoituksen, joka koskee toiminnan toimitukseen liittyvää ongelmaa, palauta toimintatapahtumat ongelman ajanjaksolla noudattamalla seuraavia ohjeita. Nämä vaiheet opastavat sinua määrittämään uuden siem-palautusagentin, joka suoritetaan rinnakkain ja lähettää toimintatapahtumat uudelleen SIEM:lle.

Huomautus

Palautusprosessi lähettää uudelleen kaikki toimintotapahtumat järjestelmäilmoituksessa kuvatulla ajanjaksolla. Jos SIEM sisältää jo toimintotapahtumia tältä ajanjaksolta, saat päällekkäisiä tapahtumia tämän palautuksen jälkeen.

Vaihe 1 – Määritä uusi SIEM-agentti rinnakkain nykyisen edustajasi kanssa

  1. Valitse Microsoft Defender portaalissa Asetukset. Valitse sitten Pilvisovellukset.

  2. Valitse Järjestelmä-kohdastaSIEM-agentti. Valitse sitten Lisää uusi SIEM-agentti ja määritä ohjatun toiminnon avulla yhteyden tiedot SIEM-laitteeseesi. Voit esimerkiksi luoda uuden SIEM-agentin, jolla on seuraavat määritykset:

    • Protokolla: TCP
    • Etäisäntä: Mikä tahansa laite, jossa voit kuunnella porttia. Yksinkertainen ratkaisu olisi esimerkiksi käyttää samaa laitetta kuin agentti ja määrittää etäisännän IP-osoitteeksi 127.0.0.1
    • Portti: Mitä tahansa porttia, jota voit kuunnella etäisäntälaitteella

    Huomautus

    Tämän agentin tulisi toimia rinnakkain nykyisen agentin kanssa, joten verkkomääritys ei ehkä ole sama.

  3. Määritä ohjatussa toiminnossa tietotyypit sisältämään vain aktiviteetit ja käyttämään samaa toimintosuodatinta, jota käytettiin alkuperäisessä SIEM-agentissa (jos sellainen on olemassa).

  4. Tallenna asetukset.

  5. Suorita uusi agentti luodun tunnuksen avulla.

Vaihe 2 – Onnistuneen tietojen siem-toimituksen vahvistaminen

Vahvista määritykset seuraavien vaiheiden avulla:

  1. Muodosta yhteys siem-laitteeseesi ja tarkista, että uudet tiedot on vastaanotettu määrittämältäsi uudelta SIEM-agentilta.

Huomautus

Edustaja lähettää toimintoja vain sen ongelman ajanjakson aikana, josta olet ilmoittanut.

  1. Jos SIEM ei saa tietoja, kokeile uudessa SIEM-agentin laitteessa kuuntelemalla porttia, jonka määritit välittääksesi toimintoja, jotta näet, lähetetäänkö tietoja agentilta SIEM:lle. Suorita netcat -l <port><port> esimerkiksi aiemmin määritetty porttinumero.

Huomautus

Jos käytössäsi ncaton , varmista, että määrität ipv4-merkinnän -4.

  1. Jos edustaja lähettää tietoja, mutta siem ei ole saanut niitä, tarkista SIEM-agentin loki. Jos näet "yhteys hylätty" -viestejä, varmista, että SIEM-agenttisi on määritetty käyttämään TLS 1.2:ta tai uudempaa.

Vaihe 3 – Poista siem-palautusagentti

  1. Siem-palautusagentti lopettaa automaattisesti tietojen lähettämisen ja poistetaan käytöstä, kun se saavuttaa päättymispäivän.
  2. Varmista SIEM:ssä, että siem-palautusagentti ei lähetä uusia tietoja.
  3. Pysäytä agentin suorittaminen laitteessasi.
  4. Siirry portaalissa SIEM-agentin sivulle ja poista siem-palautusagentti.
  5. Varmista, että alkuperäinen SIEM-agenttisi toimii edelleen oikein.

Yleinen vianmääritys

Varmista, että siem-agentin tila Microsoft Defender for Cloud Apps portaalissa ei ole yhteysvirhe tai katkaistu eikä agentille ole ilmoituksia. Tila näkyy yhteysvirheenä , jos yhteys on katkennut yli kaksi tuntia. Tilaksi vaihtuu Katkaistu , jos yhteys on katkennut yli 12 tuntia.

Jos näet cmd-kehotteessa jonkin seuraavista virheistä agenttia suoritettaessa, korjaa ongelma seuraavien vaiheiden avulla:

Error Kuvaus Ratkaisu
Yleinen virhe käynnistystilan aikana Odottamaton virhe agentin käynnistysvaiheessa. Ota yhteyttä tukeen.
Liian monta kriittistä virhettä Konsolia yhdistettäessä ilmeni liian monta kriittistä virhettä. Sammuttaminen. Ota yhteyttä tukeen.
Virheellinen tunnus Annettu tunnus ei kelpaa. Varmista, että kopioit oikean tunnuksen. Yllä olevan prosessin avulla voit luoda tunnuksen uudelleen.
Virheellinen välityspalvelimen osoite Annettu välityspalvelimen osoite ei kelpaa. Varmista, että olet syöttänyt oikean välityspalvelimen ja portin.

Kun olet luonut agentin, tarkista SIEM-agenttisivu Defender for Cloud Apps portaalissa. Jos näet jonkin seuraavista Agentin ilmoituksista, korjaa ongelma seuraavien vaiheiden avulla:

Error Kuvaus Ratkaisu
Sisäinen virhe SieM-agentissa tapahtui jokin tuntematon virhe. Ota yhteyttä tukeen.
Tietopalvelimen lähetysvirhe Voit saada tämän virheen, jos työskentelet Syslog-palvelimen kanssa TCP:n kautta. SIEM-agentti ei voi muodostaa yhteyttä Syslog-palvelimeen. Jos saat tämän virheen, agentti lopettaa uusien toimien hakemisen, kunnes se on korjattu. Varmista, että noudatat korjausvaiheita, kunnes virhe lakkaa tulemasta näkyviin. 1. Varmista, että olet määrittänut Syslog-palvelimesi oikein: Muokkaa Defender for Cloud Apps SIEM-agenttia edellä kuvatulla tavalla. Varmista, että kirjoitit palvelimen nimen oikein ja määrität oikean portin.
2. Tarkista yhteys Syslog-palvelimeen: Varmista, että palomuuri ei estä tietoliikennettä.
Tietopalvelimen yhteysvirhe Voit saada tämän virheen, jos työskentelet Syslog-palvelimen kanssa TCP:n kautta. SIEM-agentti ei voi muodostaa yhteyttä Syslog-palvelimeen. Jos saat tämän virheen, agentti lopettaa uusien toimien hakemisen, kunnes se on korjattu. Varmista, että noudatat korjausvaiheita, kunnes virhe lakkaa tulemasta näkyviin. 1. Varmista, että olet määrittänut Syslog-palvelimesi oikein: Muokkaa Defender for Cloud Apps SIEM-agenttia edellä kuvatulla tavalla. Varmista, että kirjoitit palvelimen nimen oikein ja määrität oikean portin.
2. Tarkista yhteys Syslog-palvelimeen: Varmista, että palomuuri ei estä tietoliikennettä.
SIEM-agentin virhe SIEM-agentin yhteys on katkaistu yli X tuntia Varmista, että et ole tehnyt muutoksia SIEM-määrityksiin Defender for Cloud Apps portaalissa. Muussa tapauksessa tämä virhe voi tarkoittaa yhteysongelmia Defender for Cloud Apps ja sen tietokoneen välillä, jossa käytät SIEM-agenttia.
SIEM-agentin ilmoitusvirhe SIEM-agentin ilmoituksen edelleenlähetysvirheet vastaanotettiin SIEM-agentilta. Tämä virhe ilmaisee, että olet saanut virheitä SIEM-agentin ja SIEM-palvelimen välisessä yhteydessä. Varmista, ettei palomuuri estä SIEM-palvelintasi tai tietokonetta, jossa käytät SIEM-agenttia. Tarkista myös, että SIEM-palvelimen IP-osoitetta ei muutettu. Jos olet asentanut Java Runtime Engine (JRE) -päivityksen 291 tai uudemman, noudata ohjeita artikkelissa Javan uusien versioiden ongelma.

Ongelma Javan uusien versioiden kanssa

Javan uudemmat versiot voivat aiheuttaa ongelmia SIEM-agentin kanssa. Jos olet asentanut Java Runtime Engine (JRE) -päivityksen 291 tai uudemman, toimi seuraavasti:

  1. Siirry laajennetussa PowerShell-kehotteessa Java install bin -kansioon.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Lataa jokainen seuraavista Azure TLS -varmenteista, jotka myöntävät varmenteita.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Tuo jokainen varmenteiden myöntäjän varmenteen CRT-tiedosto Java-avainsäilön käyttämällä oletusarvoista avainsäilön salasanan vaihtoa.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Vahvista tarkastelemalla Azure TLS:n varmenteiden myöntäjän aliaksien Java-avainsäilöä, joka on lueteltu yllä.

        keytool -list -keystore ..\lib\security\cacerts

  5. Käynnistä SIEM-agentti ja tarkista uusi jäljityslokitiedosto yhteyden onnistumisen varmistamiseksi.

Seuraavat vaiheet

Organisaation suojaamisen parhaat käytännöt

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.