Udostępnij za pośrednictwem

Rozwiązywanie problemów z integracją rozwiązania SIEM

  • Artykuł

Ten artykuł zawiera listę możliwych problemów podczas łączenia rozwiązania SIEM z Defender for Cloud Apps i zawiera możliwe rozwiązania.

Odzyskiwanie brakujących zdarzeń działania w Defender for Cloud Apps agenta SIEM

Przed kontynuowaniem sprawdź, czy licencja Defender for Cloud Apps obsługuje integrację SIEM, którą próbujesz skonfigurować.

Jeśli otrzymasz alert systemowy dotyczący problemu z dostarczaniem działań za pośrednictwem agenta SIEM, wykonaj poniższe kroki, aby odzyskać zdarzenia działania w przedziale czasowym problemu. Te kroki przeprowadzą Cię przez proces konfigurowania nowego agenta SIEM odzyskiwania, który będzie uruchamiany równolegle i ponownie przesyła zdarzenia działania do rozwiązania SIEM.

Uwaga

Proces odzyskiwania ponownie wyśle wszystkie zdarzenia działania w przedziale czasowym opisanym w alertie systemowym. Jeśli usługa SIEM zawiera już zdarzenia działania z tego przedziału czasu, po tym odzyskaniu wystąpią zduplikowane zdarzenia.

Krok 1 . Konfigurowanie nowego agenta SIEM równolegle do istniejącego agenta

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps.

  2. W obszarze System wybierz pozycję Agent SIEM. Następnie wybierz pozycję Dodaj nowego agenta SIEM i użyj kreatora, aby skonfigurować szczegóły połączenia z rozwiązaniem SIEM. Możesz na przykład utworzyć nowego agenta SIEM z następującą konfiguracją:

    • Protokół: TCP
    • Host zdalny: dowolne urządzenie, na którym można nasłuchiwać portu. Na przykład prostym rozwiązaniem byłoby użycie tego samego urządzenia co agent i ustawienie adresu IP hosta zdalnego na wartość 127.0.0.1
    • Port: dowolny port, którego można nasłuchiwać na zdalnym urządzeniu hosta

    Uwaga

    Ten agent powinien działać równolegle do istniejącego, więc konfiguracja sieci może nie być identyczna.

  3. W kreatorze skonfiguruj typy danych tak, aby uwzględniał tylko działania i stosował ten sam filtr działania, który był używany w oryginalnym agencie SIEM (jeśli istnieje).

  4. Zapisz ustawienia.

  5. Uruchom nowego agenta przy użyciu wygenerowanego tokenu.

Krok 2 . Weryfikowanie pomyślnego dostarczania danych do rozwiązania SIEM

Aby zweryfikować konfigurację, wykonaj następujące kroki:

  1. Połącz się z rozwiązaniem SIEM i sprawdź, czy nowe dane są odbierane od nowego skonfigurowanego agenta SIEM.

Uwaga

Agent wyśle działania tylko w przedziale czasowym problemu, w którym został wyświetlony alert.

  1. Jeśli dane nie są odbierane przez rozwiązanie SIEM, na nowym urządzeniu agenta SIEM spróbuj nasłuchiwać portu skonfigurowanego do przesyłania dalej działań, aby sprawdzić, czy dane są wysyłane z agenta do rozwiązania SIEM. Na przykład uruchom polecenie netcat -l <port> where (gdzie <port> ) jest wcześniej skonfigurowanym numerem portu.

Uwaga

Jeśli używasz polecenia ncat, upewnij się, że określono flagę -4ipv4 .

  1. Jeśli dane są wysyłane przez agenta, ale nie są odbierane przez rozwiązanie SIEM, sprawdź dziennik agenta SIEM. Jeśli widzisz komunikaty "odmowa połączenia", upewnij się, że agent SIEM jest skonfigurowany do używania protokołu TLS 1.2 lub nowszego.

Krok 3. Usuwanie agenta SIEM odzyskiwania

  1. Agent SIEM odzyskiwania automatycznie przestanie wysyłać dane i zostanie wyłączony po osiągnięciu daty zakończenia.
  2. Sprawdź w usłudze SIEM, czy agent SIEM odzyskiwania nie wysyła żadnych nowych danych.
  3. Zatrzymaj wykonywanie agenta na urządzeniu.
  4. W portalu przejdź do strony Agent SIEM i usuń agenta SIEM odzyskiwania.
  5. Upewnij się, że oryginalny agent SIEM nadal działa prawidłowo.

Ogólne rozwiązywanie problemów

Upewnij się, że stan agenta SIEM w portalu Microsoft Defender for Cloud Apps nie jest błędem połączenia ani nie ma żadnych powiadomień agenta. Stan jest wyświetlany jako Błąd połączenia , jeśli połączenie jest wyłączone przez ponad dwie godziny. Stan zmieni się na Rozłączono , jeśli połączenie nie działa przez ponad 12 godzin.

Jeśli podczas uruchamiania agenta zostanie wyświetlony jeden z następujących błędów w wierszu polecenia cmd, wykonaj następujące kroki, aby rozwiązać problem:

Error Opis Rozwiązanie
Błąd ogólny podczas uruchamiania Nieoczekiwany błąd podczas uruchamiania agenta. Skontaktuj się z pomocą techniczną.
Zbyt wiele błędów krytycznych Podczas nawiązywania połączenia z konsolą wystąpiło zbyt wiele błędów krytycznych. Zamykanie. Skontaktuj się z pomocą techniczną.
Nieprawidłowy token Podany token jest nieprawidłowy. Upewnij się, że skopiowano odpowiedni token. Powyższy proces umożliwia ponowne wygenerowanie tokenu.
Nieprawidłowy adres serwera proxy Podany adres serwera proxy jest nieprawidłowy. Upewnij się, że wprowadzono odpowiedni serwer proxy i port.

Po utworzeniu agenta sprawdź stronę agenta SIEM w portalu Defender for Cloud Apps. Jeśli zostanie wyświetlone jedno z następujących powiadomień agenta, wykonaj następujące kroki, aby rozwiązać problem:

Error Opis Rozwiązanie
Błąd wewnętrzny Wystąpił problem z nieznanym agentem SIEM. Skontaktuj się z pomocą techniczną.
Błąd wysyłania serwera danych Ten błąd można uzyskać, jeśli pracujesz z serwerem Syslog za pośrednictwem protokołu TCP. Agent SIEM nie może nawiązać połączenia z serwerem Syslog. Jeśli wystąpi ten błąd, agent przestanie ściągać nowe działania, dopóki nie zostanie naprawiony. Pamiętaj, aby wykonać kroki korygowania, dopóki błąd nie przestanie się pojawiać. 1. Upewnij się, że serwer Syslog został prawidłowo zdefiniowany: w interfejsie użytkownika Defender for Cloud Apps edytuj agenta SIEM zgodnie z powyższym opisem. Upewnij się, że nazwa serwera została poprawnie napisana i ustawiono odpowiedni port.
2. Sprawdź łączność z serwerem Syslog: upewnij się, że zapora nie blokuje komunikacji.
Błąd połączenia z serwerem danych Ten błąd można uzyskać, jeśli pracujesz z serwerem Syslog za pośrednictwem protokołu TCP. Agent SIEM nie może nawiązać połączenia z serwerem Syslog. Jeśli wystąpi ten błąd, agent przestanie ściągać nowe działania, dopóki nie zostanie naprawiony. Pamiętaj, aby wykonać kroki korygowania, dopóki błąd nie przestanie się pojawiać. 1. Upewnij się, że serwer Syslog został prawidłowo zdefiniowany: w interfejsie użytkownika Defender for Cloud Apps edytuj agenta SIEM zgodnie z powyższym opisem. Upewnij się, że nazwa serwera została poprawnie napisana i ustawiono odpowiedni port.
2. Sprawdź łączność z serwerem Syslog: upewnij się, że zapora nie blokuje komunikacji.
Błąd agenta SIEM Agent SIEM został odłączony przez ponad X godzin Upewnij się, że konfiguracja rozwiązania SIEM nie została zmieniona w portalu Defender for Cloud Apps. W przeciwnym razie ten błąd może wskazywać problemy z łącznością między Defender for Cloud Apps a komputerem, na którym jest uruchomiony agent SIEM.
Błąd powiadomienia agenta SIEM Odebrano błędy przekazywania powiadomień agenta SIEM z agenta SIEM. Ten błąd wskazuje, że wystąpiły błędy dotyczące połączenia między agentem SIEM a serwerem SIEM. Upewnij się, że zapora nie blokuje serwera SIEM ani komputera, na którym jest uruchomiony agent SIEM. Sprawdź również, czy adres IP serwera SIEM nie został zmieniony. Jeśli zainstalowano program Java Runtime Engine (JRE) update 291 lub nowszy, postępuj zgodnie z instrukcjami w temacie Problem z nowymi wersjami języka Java.

Problem z nowymi wersjami języka Java

Nowsze wersje języka Java mogą powodować problemy z agentem SIEM. Jeśli zainstalowano program Java Runtime Engine (JRE) update 291 lub nowszy, wykonaj następujące kroki:

  1. W wierszu polecenia programu PowerShell z podwyższonym poziomem uprawnień przejdź do folderu kosza instalacji języka Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Pobierz każdy z następujących certyfikatów urzędu wystawiającego certyfikaty urzędu certyfikacji usługi Azure TLS.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Zaimportuj każdy plik CRT certyfikatu urzędu certyfikacji do magazynu kluczy Języka Java przy użyciu domyślnej zmiany hasła magazynu kluczy.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Aby to sprawdzić, wyświetl magazyn kluczy Języka Java dla aliasów certyfikatów wystawiających certyfikaty urzędu certyfikacji na platformie Azure TLS wymienionych powyżej.

        keytool -list -keystore ..\lib\security\cacerts

  5. Uruchom agenta SIEM i przejrzyj nowy plik dziennika śledzenia, aby potwierdzić pomyślne połączenie.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.