Condividi tramite


Risoluzione dei problemi relativi all'integrazione di SIEM

Questo articolo fornisce un elenco dei possibili problemi durante la connessione del SIEM a Defender for Cloud Apps e fornisce possibili soluzioni.

Ripristinare gli eventi di attività mancanti in Defender for Cloud Apps'agente SIEM

Prima di procedere, verificare che la licenza di Defender for Cloud Apps supporti l'integrazione SIEM che si sta tentando di configurare.

Se è stato ricevuto un avviso di sistema relativo a un problema relativo al recapito di attività tramite l'agente SIEM, seguire la procedura seguente per ripristinare gli eventi di attività nell'intervallo di tempo del problema. Questi passaggi illustrano come configurare un nuovo agente SIEM di ripristino che verrà eseguito in parallelo e inviare nuovamente gli eventi di attività al SIEM.

Nota

Il processo di ripristino invia nuovamente tutti gli eventi di attività nell'intervallo di tempo descritto nell'avviso di sistema. Se il SIEM contiene già eventi di attività di questo intervallo di tempo, si verificheranno eventi duplicati dopo questo ripristino.

Passaggio 1: Configurare un nuovo agente SIEM in parallelo all'agente esistente

  1. Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In Sistema selezionare Agente SIEM. Selezionare quindi aggiungi un nuovo agente SIEM e usare la procedura guidata per configurare i dettagli della connessione al SIEM. Ad esempio, è possibile creare un nuovo agente SIEM con la configurazione seguente:

    • Protocollo: TCP
    • Host remoto: qualsiasi dispositivo in cui è possibile ascoltare una porta. Ad esempio, una soluzione semplice sarebbe usare lo stesso dispositivo dell'agente e impostare l'indirizzo IP dell'host remoto su 127.0.0.1
    • Porta: qualsiasi porta che è possibile ascoltare nel dispositivo host remoto

    Nota

    Questo agente deve essere eseguito in parallelo a quello esistente, quindi la configurazione di rete potrebbe non essere identica.

  3. Nella procedura guidata configurare i tipi di dati in modo da includere solo attività e applicare lo stesso filtro di attività usato nell'agente SIEM originale (se esistente).

  4. Salva le impostazioni.

  5. Eseguire il nuovo agente usando il token generato.

Passaggio 2: Convalidare il recapito dei dati corretto al SIEM

Per convalidare la configurazione, seguire questa procedura:

  1. Connettersi al SIEM e verificare che i nuovi dati siano stati ricevuti dal nuovo agente SIEM configurato.

Nota

L'agente invierà le attività solo nell'intervallo di tempo del problema in cui è stato generato un avviso.

  1. Se i dati non vengono ricevuti da SIEM, nel nuovo dispositivo agente SIEM provare ad ascoltare la porta configurata per inoltrare le attività per verificare se i dati vengono inviati dall'agente al SIEM. Ad esempio, eseguire netcat -l <port> dove <port> è il numero di porta configurato in precedenza.

Nota

Se si usa ncat, assicurarsi di specificare il flag -4ipv4 .

  1. Se i dati vengono inviati dall'agente ma non ricevuti dal SIEM, controllare il log dell'agente SIEM. Se è possibile visualizzare i messaggi "connessione rifiutata", assicurarsi che l'agente SIEM sia configurato per l'uso di TLS 1.2 o versione successiva.

Passaggio 3: Rimuovere l'agente SIEM di ripristino

  1. L'agente SIEM di ripristino interromperà automaticamente l'invio dei dati e verrà disabilitato una volta raggiunta la data di fine.
  2. Verificare nel SIEM che l'agente SIEM di ripristino non invii nuovi dati.
  3. Arrestare l'esecuzione dell'agente nel dispositivo.
  4. Nel portale passare alla pagina Agente SIEM e rimuovere l'agente SIEM di ripristino.
  5. Assicurarsi che l'agente SIEM originale sia ancora in esecuzione correttamente.

Risoluzione dei problemi generali

Assicurarsi che lo stato dell'agente SIEM in Microsoft Defender for Cloud Apps non sia Errore di connessione o Disconnesso e che non siano presenti notifiche dell'agente. Lo stato viene visualizzato come Errore di connessione se la connessione è inattiva per più di due ore. Lo stato cambia in Disconnesso se la connessione è inattiva per più di 12 ore.

Se viene visualizzato uno degli errori seguenti nel prompt dei comandi durante l'esecuzione dell'agente, seguire questa procedura per risolvere il problema:

Error Descrizione Risoluzione
Errore generale durante il bootstrap Errore imprevisto durante il bootstrap dell'agente. Contattare il supporto.
Troppi errori critici Si sono verificati troppi errori critici durante la connessione della console. Arresto. Contattare il supporto.
Token non valido Il token fornito non è valido. Assicurarsi di aver copiato il token corretto. È possibile usare il processo precedente per rigenerare il token.
Indirizzo proxy non valido L'indirizzo proxy specificato non è valido. Assicurarsi di aver immesso il proxy e la porta corretti.

Dopo aver creato l'agente, controllare la pagina dell'agente SIEM in Defender for Cloud Apps. Se viene visualizzata una delle notifiche dell'agente seguenti, seguire questa procedura per risolvere il problema:

Error Descrizione Risoluzione
Errore interno Qualcosa di sconosciuto è andato storto con l'agente SIEM. Contattare il supporto.
Errore di invio del server dati È possibile ottenere questo errore se si usa un server Syslog su TCP. L'agente SIEM non può connettersi al server Syslog. Se viene visualizzato questo errore, l'agente smetterà di eseguire il pull di nuove attività fino a quando non viene risolto. Assicurarsi di seguire i passaggi di correzione fino a quando l'errore non viene interrotto. 1. Assicurarsi di aver definito correttamente il server Syslog: nell'interfaccia utente Defender for Cloud Apps modificare l'agente SIEM come descritto in precedenza. Assicurarsi di aver scritto correttamente il nome del server e di impostare la porta corretta.
2. Controllare la connettività al server Syslog: verificare che il firewall non blocchi la comunicazione.
Errore di connessione al server dati È possibile ottenere questo errore se si usa un server Syslog su TCP. L'agente SIEM non può connettersi al server Syslog. Se viene visualizzato questo errore, l'agente smette di eseguire il pull di nuove attività fino a quando non viene risolto. Assicurarsi di seguire i passaggi di correzione fino a quando l'errore non viene interrotto. 1. Assicurarsi di aver definito correttamente il server Syslog: nell'interfaccia utente Defender for Cloud Apps modificare l'agente SIEM come descritto in precedenza. Assicurarsi di aver scritto correttamente il nome del server e di impostare la porta corretta.
2. Controllare la connettività al server Syslog: verificare che il firewall non blocchi la comunicazione.
Errore dell'agente SIEM L'agente SIEM è stato disconnesso per più di X ore Assicurarsi di non aver modificato la configurazione SIEM in Defender for Cloud Apps. In caso contrario, questo errore potrebbe indicare problemi di connettività tra Defender for Cloud Apps e il computer in cui si esegue l'agente SIEM.
Errore di notifica dell'agente SIEM Gli errori di inoltro delle notifiche dell'agente SIEM sono stati ricevuti da un agente SIEM. Questo errore indica che sono stati ricevuti errori relativi alla connessione tra l'agente SIEM e il server SIEM. Assicurarsi che non sia presente un firewall che blocca il server SIEM o il computer in cui si esegue l'agente SIEM. Verificare inoltre che l'indirizzo IP del server SIEM non sia stato modificato. Se è stato installato l'aggiornamento JRE (Java Runtime Engine) 291 o versione successiva, seguire le istruzioni riportate in Problema con le nuove versioni di Java.

Problema con le nuove versioni di Java

Le versioni più recenti di Java possono causare problemi con l'agente SIEM. Se è stato installato Java Runtime Engine (JRE) update 291 o versione successiva, seguire questa procedura:

  1. In un prompt di PowerShell con privilegi elevati passare alla cartella bin di installazione java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
    
  2. Scaricare ognuno dei certificati CA emittenti TLS di Azure seguenti.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"
    
        cd /tmp
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt
    
  3. Importare ogni file CRT del certificato CA nell'archivio chiavi Java, usando la modifica della password dell'archivio chiavi predefinita.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
    
        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
    
  4. Per verificare, visualizzare l'archivio chiavi Java per azure TLS che emette alias di certificato CA elencati in precedenza.

        keytool -list -keystore ..\lib\security\cacerts
    
  5. Avviare l'agente SIEM ed esaminare il nuovo file di log di traccia per verificare l'esito positivo della connessione.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.