Partager via

Résolution des problèmes d’intégration SIEM

  • Article

Cet article fournit une liste des problèmes possibles lors de la connexion de votre SIEM à Defender for Cloud Apps et fournit des solutions possibles.

Récupérer les événements d’activité manquants dans Defender for Cloud Apps’agent SIEM

Avant de continuer, case activée que votre licence Defender for Cloud Apps prend en charge l’intégration SIEM que vous essayez de configurer.

Si vous avez reçu une alerte système concernant un problème de livraison d’activité via l’agent SIEM, suivez les étapes ci-dessous pour récupérer les événements d’activité dans la période du problème. Ces étapes vous guident tout au long de la configuration d’un nouvel agent SIEM Recovery qui s’exécute en parallèle et renvoie les événements d’activité à votre siem.

Remarque

Le processus de récupération renvoie tous les événements d’activité dans la période décrite dans l’alerte système. Si votre SIEM contient déjà des événements d’activité de cette période, vous rencontrerez des événements dupliqués après cette récupération.

Étape 1 : Configurer un nouvel agent SIEM en parallèle de votre agent existant

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps.

  2. Sous Système, sélectionnez Agent SIEM. Sélectionnez ensuite Ajouter un nouvel agent SIEM, puis utilisez l’Assistant pour configurer les détails de connexion à votre SIEM. Par exemple, vous pouvez créer un agent SIEM avec la configuration suivante :

    • Protocole : TCP
    • Hôte distant : tout appareil sur lequel vous pouvez écouter un port. Par exemple, une solution simple consiste à utiliser le même appareil que l’agent et à définir l’adresse IP de l’hôte distant sur 127.0.0.1
    • Port : n’importe quel port que vous pouvez écouter sur l’appareil hôte distant

    Remarque

    Cet agent doit s’exécuter en parallèle à l’agent existant, de sorte que la configuration réseau peut ne pas être identique.

  3. Dans l’Assistant, configurez les types de données pour inclure uniquement les activités et appliquez le même filtre d’activité que celui utilisé dans votre agent SIEM d’origine (s’il existe).

  4. Enregistrez les paramètres.

  5. Exécutez le nouvel agent à l’aide du jeton généré.

Étape 2 : Valider la remise réussie des données à votre siem

Procédez comme suit pour valider votre configuration :

  1. Connectez-vous à votre siem et case activée que les nouvelles données sont reçues du nouvel agent SIEM que vous avez configuré.

Remarque

L’agent envoie uniquement les activités dans la période du problème sur lequel vous avez été alerté.

  1. Si les données ne sont pas reçues par votre siem, sur le nouvel appareil de l’agent SIEM, essayez d’écouter le port que vous avez configuré pour transférer les activités pour voir si les données sont envoyées de l’agent au SIEM. Par exemple, exécutez netcat -l <port><port> est le numéro de port précédemment configuré.

Remarque

Si vous utilisez ncat, veillez à spécifier l’indicateur -4ipv4 .

  1. Si des données sont envoyées par l’agent mais non reçues par votre siem, case activée le journal de l’agent SIEM. Si vous pouvez voir des messages « connexion refusée », vérifiez que votre agent SIEM est configuré pour utiliser TLS 1.2 ou version ultérieure.

Étape 3 : Supprimer l’agent SIEM Recovery

  1. L’agent SIEM de récupération cesse automatiquement d’envoyer des données et est désactivé une fois qu’il atteint la date de fin.
  2. Vérifiez dans votre SIEM qu’aucune nouvelle donnée n’est envoyée par l’agent SIEM de récupération.
  3. Arrêtez l’exécution de l’agent sur votre appareil.
  4. Dans le portail, accédez à la page Agent SIEM et supprimez l’agent SIEM de récupération.
  5. Assurez-vous que votre agent SIEM d’origine s’exécute toujours correctement.

Résolution des problèmes généraux

Vérifiez que le status de l’agent SIEM dans le portail Microsoft Defender for Cloud Apps n’est pas Erreur de connexion ou Déconnecté et qu’il n’y a aucune notification d’agent. Le status s’affiche en tant qu’erreur de connexion si la connexion est arrêtée pendant plus de deux heures. Le status devient Déconnecté si la connexion est interrompue pendant plus de 12 heures.

Si vous voyez l’une des erreurs suivantes dans l’invite cmd lors de l’exécution de l’agent, procédez comme suit pour résoudre le problème :

Erreur Description Résolution
Erreur générale pendant le démarrage Erreur inattendue lors du démarrage de l’agent. Contactez le support technique.
Trop d’erreurs critiques Trop d’erreurs critiques se sont produites lors de la connexion de la console. Fermeture. Contactez le support technique.
Jeton non valide Le jeton fourni n’est pas valide. Vérifiez que vous avez copié le jeton approprié. Vous pouvez utiliser le processus ci-dessus pour régénérer le jeton.
Adresse de proxy non valide L’adresse proxy fournie n’est pas valide. Vérifiez que vous avez entré le proxy et le port appropriés.

Après avoir créé l’agent, case activée la page de l’agent SIEM dans le portail Defender for Cloud Apps. Si vous voyez l’une des notifications d’Agent suivantes, procédez comme suit pour résoudre le problème :

Erreur Description Résolution
Erreur interne Un problème inconnu s’est produit avec votre agent SIEM. Contactez le support technique.
Erreur d’envoi du serveur de données Vous pouvez obtenir cette erreur si vous utilisez un serveur Syslog via TCP. L’agent SIEM ne peut pas se connecter à votre serveur Syslog. Si vous recevez cette erreur, l’agent arrête d’extraire les nouvelles activités jusqu’à ce qu’elle soit corrigée. Veillez à suivre les étapes de correction jusqu’à ce que l’erreur cesse d’apparaître. 1. Vérifiez que vous avez correctement défini votre serveur Syslog : dans l’interface utilisateur Defender for Cloud Apps, modifiez votre agent SIEM comme décrit ci-dessus. Veillez à écrire correctement le nom du serveur et à définir le port approprié.
2. Vérifier la connectivité à votre serveur Syslog : vérifiez que votre pare-feu ne bloque pas la communication.
Erreur de connexion au serveur de données Vous pouvez obtenir cette erreur si vous utilisez un serveur Syslog via TCP. L’agent SIEM ne peut pas se connecter à votre serveur Syslog. Si vous recevez cette erreur, l’agent arrête d’extraire les nouvelles activités jusqu’à ce qu’elle soit corrigée. Veillez à suivre les étapes de correction jusqu’à ce que l’erreur cesse d’apparaître. 1. Vérifiez que vous avez correctement défini votre serveur Syslog : dans l’interface utilisateur Defender for Cloud Apps, modifiez votre agent SIEM comme décrit ci-dessus. Veillez à écrire correctement le nom du serveur et à définir le port approprié.
2. Vérifier la connectivité à votre serveur Syslog : vérifiez que votre pare-feu ne bloque pas la communication.
Erreur de l’agent SIEM L’agent SIEM a été déconnecté depuis plus de X heures Vérifiez que vous n’avez pas modifié la configuration SIEM dans le portail Defender for Cloud Apps. Sinon, cette erreur peut indiquer des problèmes de connectivité entre Defender for Cloud Apps et l’ordinateur sur lequel vous exécutez l’agent SIEM.
Erreur de notification de l’agent SIEM Des erreurs de transfert de notification de l’agent SIEM ont été reçues d’un agent SIEM. Cette erreur indique que vous avez reçu des erreurs concernant la connexion entre l’agent SIEM et votre serveur SIEM. Assurez-vous qu’aucun pare-feu ne bloque votre serveur SIEM ou l’ordinateur sur lequel vous exécutez l’agent SIEM. En outre, case activée que l’adresse IP du serveur SIEM n’a pas été modifiée. Si vous avez installé la mise à jour 291 ou ultérieure du moteur d’exécution Java (JRE), suivez les instructions fournies dans Problème avec les nouvelles versions de Java.

Problème avec les nouvelles versions de Java

Les versions plus récentes de Java peuvent entraîner des problèmes avec l’agent SIEM. Si vous avez installé la mise à jour 291 ou ultérieure du moteur d’exécution Java (JRE), procédez comme suit :

  1. Dans une invite PowerShell avec élévation de privilèges, basculez vers le dossier bin d’installation Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Téléchargez chacun des certificats d’autorité de certification Azure TLS émettrice suivants.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importez chaque fichier CRT de certificat d’autorité de certification dans le magasin de clés Java, à l’aide de la modification du mot de passe du magasin de clés par défaut.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Pour vérifier, consultez le magasin de clés Java pour les alias de certificat d’autorité de certification émis par Azure TLS répertoriés ci-dessus.

        keytool -list -keystore ..\lib\security\cacerts

  5. Démarrez l’agent SIEM et passez en revue le nouveau fichier journal de trace pour confirmer une connexion réussie.

Étapes suivantes

Bonnes pratiques pour protéger votre organization

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.