Problemen met SIEM-integratie oplossen
Dit artikel bevat een lijst met mogelijke problemen bij het verbinden van uw SIEM met Defender for Cloud Apps en biedt mogelijke oplossingen.
Ontbrekende activiteitsgebeurtenissen herstellen in Defender for Cloud Apps SIEM-agent
Voordat u verdergaat, controleert u of uw Defender for Cloud Apps-licentie ondersteuning biedt voor de SIEM-integratie die u probeert te configureren.
Als u een systeemwaarschuwing hebt ontvangen met betrekking tot een probleem met de levering van activiteiten via de SIEM-agent, volgt u de onderstaande stappen om de activiteitsgebeurtenissen in het tijdsbestek van het probleem te herstellen. Deze stappen helpen u bij het instellen van een nieuwe Recovery SIEM-agent die parallel wordt uitgevoerd en de activiteitsgebeurtenissen opnieuw naar uw SIEM worden verzonden.
Opmerking
Het herstelproces verzendt alle activiteitsgebeurtenissen opnieuw in het tijdsbestek dat wordt beschreven in de systeemwaarschuwing. Als uw SIEM al activiteitsgebeurtenissen uit dit tijdsbestek bevat, krijgt u na dit herstel te maken met dubbele gebeurtenissen.
Stap 1: configureer een nieuwe SIEM-agent parallel aan uw bestaande agent
Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps.
Selecteer onder Systeemde optie SIEM-agent. Selecteer vervolgens een nieuwe SIEM-agent toevoegen en gebruik de wizard om de verbindingsgegevens met uw SIEM te configureren. U kunt bijvoorbeeld een nieuwe SIEM-agent maken met de volgende configuratie:
- Protocol: TCP
- Externe host: elk apparaat waarop u naar een poort kunt luisteren. Een eenvoudige oplossing is bijvoorbeeld om hetzelfde apparaat als de agent te gebruiken en het IP-adres van de externe host in te stellen op 127.0.0.1
- Poort: elke poort waarnaar u kunt luisteren op het externe hostapparaat
Opmerking
Deze agent moet parallel aan de bestaande agent worden uitgevoerd, zodat de netwerkconfiguratie mogelijk niet identiek is.
Configureer in de wizard de gegevenstypen om alleen activiteiten op te nemen en pas hetzelfde activiteitsfilter toe dat is gebruikt in uw oorspronkelijke SIEM-agent (als deze bestaat).
Sla de instellingen op.
Voer de nieuwe agent uit met behulp van het gegenereerde token.
Stap 2: valideer de geslaagde gegevenslevering naar uw SIEM
Gebruik de volgende stappen om uw configuratie te valideren:
- Maak verbinding met uw SIEM en controleer of er nieuwe gegevens worden ontvangen van de nieuwe SIEM-agent die u hebt geconfigureerd.
Opmerking
De agent verzendt alleen activiteiten in het tijdsbestek van het probleem waarvoor u bent gewaarschuwd.
- Als er geen gegevens worden ontvangen door uw SIEM, luistert u op het nieuwe SIEM-agentapparaat naar de poort die u hebt geconfigureerd om activiteiten door te sturen om te zien of er gegevens van de agent naar de SIEM worden verzonden. Voer bijvoorbeeld uit
netcat -l <port>waarbij<port>het eerder geconfigureerde poortnummer is.
Opmerking
Als u gebruikt ncat, moet u de vlag -4ipv4 opgeven.
- Als er gegevens worden verzonden door de agent, maar niet worden ontvangen door uw SIEM, controleert u het SIEM-agentlogboek. Als u berichten 'verbinding geweigerd' ziet, controleert u of uw SIEM-agent is geconfigureerd voor het gebruik van TLS 1.2 of hoger.
Stap 3: de Recovery SIEM-agent verwijderen
- De SIEM-agent voor herstel stopt automatisch met het verzenden van gegevens en wordt uitgeschakeld zodra de einddatum is bereikt.
- Controleer in uw SIEM of er geen nieuwe gegevens worden verzonden door de SIEM-agent voor herstel.
- Stop de uitvoering van de agent op uw apparaat.
- Ga in de portal naar de pagina SIEM-agent en verwijder de SIEM-agent voor herstel.
- Zorg ervoor dat uw oorspronkelijke SIEM-agent nog steeds correct wordt uitgevoerd.
Algemene probleemoplossing
Zorg ervoor dat de status van de SIEM-agent in Microsoft Defender for Cloud Apps geen verbindingsfout of Verbinding verbroken is en dat er geen agentmeldingen zijn. De status wordt weergegeven als Verbindingsfout als de verbinding langer dan twee uur niet beschikbaar is. De status verandert in Verbroken als de verbinding meer dan 12 uur niet beschikbaar is.
Als u een van de volgende fouten ziet in de cmd-prompt tijdens het uitvoeren van de agent, gebruikt u de volgende stappen om het probleem op te lossen:
| Error | Omschrijving | Oplossing |
|---|---|---|
| Algemene fout tijdens bootstrap | Onverwachte fout tijdens agentbootstrap. | Neem contact op met ondersteuning. |
| Te veel kritieke fouten | Er zijn te veel kritieke fouten opgetreden tijdens het verbinden van de console. Afsluiten. | Neem contact op met ondersteuning. |
| Ongeldig token | Het opgegeven token is niet geldig. | Zorg ervoor dat u het juiste token hebt gekopieerd. U kunt het bovenstaande proces gebruiken om het token opnieuw te genereren. |
| Ongeldig proxyadres | Het opgegeven proxyadres is niet geldig. | Zorg ervoor dat u de juiste proxy en poort hebt ingevoerd. |
Nadat u de agent hebt gemaakt, controleert u de siem-agentpagina in Defender for Cloud Apps. Als u een van de volgende agentmeldingen ziet, gebruikt u de volgende stappen om het probleem op te lossen:
| Error | Omschrijving | Oplossing |
|---|---|---|
| Interne fout | Er is iets onbekend misgegaan met uw SIEM-agent. | Neem contact op met ondersteuning. |
| Fout bij verzenden van gegevensserver | U kunt deze fout krijgen als u werkt met een Syslog-server via TCP. De SIEM-agent kan geen verbinding maken met uw Syslog-server. Als u deze fout krijgt, stopt de agent met het ophalen van nieuwe activiteiten totdat deze is opgelost. Zorg ervoor dat u de herstelstappen volgt totdat de fout niet meer wordt weergegeven. | 1. Zorg ervoor dat u uw Syslog-server juist hebt gedefinieerd: bewerk uw SIEM-agent in de gebruikersinterface van Defender for Cloud Apps, zoals hierboven wordt beschreven. Zorg ervoor dat u de naam van de server correct hebt geschreven en stel de juiste poort in.
2. Controleer de verbinding met uw Syslog-server: zorg ervoor dat de communicatie niet wordt geblokkeerd door uw firewall. |
| Verbindingsfout met gegevensserver | U kunt deze fout krijgen als u werkt met een Syslog-server via TCP. De SIEM-agent kan geen verbinding maken met uw Syslog-server. Als u deze fout krijgt, stopt de agent met het ophalen van nieuwe activiteiten totdat deze is opgelost. Zorg ervoor dat u de herstelstappen volgt totdat de fout niet meer wordt weergegeven. | 1. Zorg ervoor dat u uw Syslog-server juist hebt gedefinieerd: bewerk uw SIEM-agent in de gebruikersinterface van Defender for Cloud Apps, zoals hierboven wordt beschreven. Zorg ervoor dat u de naam van de server correct hebt geschreven en stel de juiste poort in.
2. Controleer de verbinding met uw Syslog-server: zorg ervoor dat de communicatie niet wordt geblokkeerd door uw firewall. |
| SIEM-agentfout | De verbinding met de SIEM-agent is meer dan X uur verbroken | Zorg ervoor dat u de SIEM-configuratie niet hebt gewijzigd in Defender for Cloud Apps. Anders kan deze fout duiden op verbindingsproblemen tussen Defender for Cloud Apps en de computer waarop u de SIEM-agent uitvoert. |
| Meldingsfout siem-agent | Siem-agentmeldingen zijn ontvangen van een SIEM-agent. | Deze fout geeft aan dat u fouten hebt ontvangen over de verbinding tussen de SIEM-agent en uw SIEM-server. Zorg ervoor dat er geen firewall is die uw SIEM-server of de computer waarop u de SIEM-agent uitvoert, blokkeert. Controleer ook of het IP-adres van de SIEM-server niet is gewijzigd. Als u Java Runtime Engine (JRE) update 291 of hoger hebt geïnstalleerd, volgt u de instructies in Probleem met nieuwe versies van Java. |
Probleem met nieuwe versies van Java
Nieuwere versies van Java kunnen problemen veroorzaken met de SIEM-agent. Als u Java Runtime Engine (JRE) update 291 of hoger hebt geïnstalleerd, voert u de volgende stappen uit:
Schakel in een PowerShell-prompt met verhoogde bevoegdheid over naar de map Java-installatie-bin.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Download elk van de volgende Azure TLS Issuing CA-certificaten.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtImporteer elk CRT-bestand met ca-certificaten in de Java-sleutelopslag met behulp van de standaardsleutelopslagwachtwoord wijzigenit.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitAls u dit wilt controleren, bekijkt u het Java-sleutelarchief voor azure TLS-uitgevende CA-certificaataliassen die hierboven worden vermeld.
keytool -list -keystore ..\lib\security\cacertsStart de SIEM-agent en controleer het nieuwe traceringslogboekbestand om een geslaagde verbinding te bevestigen.
Volgende stappen
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.