Resolver problemas de integração do SIEM
Este artigo fornece uma lista de possíveis problemas ao ligar o SIEM ao Defender para Aplicativos de Nuvem e fornece possíveis resoluções.
Recuperar eventos de atividade em falta no Agente SIEM do Defender para Aplicativos de Nuvem
Antes de continuar, marcar que a sua licença de Defender para Aplicativos de Nuvem suporta a integração SIEM que está a tentar configurar.
Se recebeu um alerta do sistema sobre um problema com a entrega de atividade através do agente SIEM, siga os passos abaixo para recuperar os eventos de atividade no período de tempo do problema. Estes passos irão orientá-lo ao longo da configuração de um novo agente SIEM de Recuperação que será executado em paralelo e reenviará os eventos de atividade para o siEM.
Observação
O processo de recuperação irá reenviar todos os eventos de atividade no período de tempo descrito no alerta do sistema. Se o SIEM já contiver eventos de atividade a partir deste período de tempo, irá deparar-se com eventos duplicados após esta recuperação.
Passo 1 – Configurar um novo Agente SIEM em paralelo com o agente existente
No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud.
Em Sistema, selecione Agente SIEM. Em seguida, selecione Adicionar um novo agente SIEM e utilize o assistente para configurar os detalhes de ligação ao SIEM. Por exemplo, pode criar um novo agente SIEM com a seguinte configuração:
- Protocolo: TCP
- Anfitrião remoto: qualquer dispositivo onde possa ouvir uma porta. Por exemplo, uma solução simples seria utilizar o mesmo dispositivo que o agente e definir o endereço IP do anfitrião remoto como 127.0.0.1
- Porta: qualquer porta que possa ouvir no dispositivo anfitrião remoto
Observação
Este agente deve ser executado em paralelo com o existente, pelo que a configuração de rede pode não ser idêntica.
No assistente, configure os Tipos de Dados para incluir apenas Atividades e aplicar o mesmo filtro de atividade que foi utilizado no agente SIEM original (se existir).
Salve as configurações.
Execute o novo agente com o token gerado.
Passo 2 – Validar a entrega de dados com êxito no SIEM
Utilize os seguintes passos para validar a configuração:
- Ligue-se ao SIEM e marcar que os novos dados são recebidos do novo agente SIEM que configurou.
Observação
O agente só enviará atividades no período de tempo do problema em que foi alertado.
- Se os dados não forem recebidos pelo SIEM, no novo dispositivo do agente SIEM, experimente ouvir a porta que configurou para reencaminhar atividades para ver se os dados estão a ser enviados do agente para o SIEM. Por exemplo, execute
netcat -l <port>onde<port>é o número de porta configurado anteriormente.
Observação
Se estiver a utilizar ncat, certifique-se de que especifica o sinalizador -4ipv4 .
- Se os dados estiverem a ser enviados pelo agente, mas não forem recebidos pelo SIEM, marcar o registo do agente SIEM. Se vir mensagens "ligação recusada", certifique-se de que o agente SIEM está configurado para utilizar o TLS 1.2 ou mais recente.
Passo 3 – Remover o agente SIEM de Recuperação
- O agente SIEM de recuperação deixará automaticamente de enviar dados e será desativado assim que atingir a data de fim.
- Confirme no SIEM que não são enviados novos dados pelo agente SIEM de recuperação.
- Pare a execução do agente no seu dispositivo.
- No portal, aceda à página Agente SIEM e remova o agente SIEM de recuperação.
- Certifique-se de que o Agente SIEM original ainda está a funcionar corretamente.
Solução de problemas gerais
Certifique-se de que o status do agente SIEM no portal Microsoft Defender para Aplicativos de Nuvem não é Erro de ligação ou Desligado e não existem notificações de agente. A status é apresentada como Erro de ligação se a ligação estiver inativa durante mais de duas horas. O status é alterado para Desligado se a ligação estiver inativa durante mais de 12 horas.
Se vir um dos seguintes erros na linha de comandos durante a execução do agente, utilize os seguintes passos para remediar o problema:
| Erro | Descrição | Resolução |
|---|---|---|
| Erro geral durante o bootstrap | Erro inesperado durante o bootstrap do agente. | Fale com o suporte. |
| Demasiados erros críticos | Ocorreram demasiados erros críticos ao ligar a consola. A encerrar. | Fale com o suporte. |
| Token inválido | O token fornecido não é válido. | Certifique-se de que copiou o token correto. Pode utilizar o processo acima para regenerar o token. |
| Endereço proxy inválido | O endereço proxy fornecido não é válido. | Certifique-se de que introduziu o proxy e a porta corretos. |
Depois de criar o agente, marcar a página do agente SIEM no portal do Defender para Aplicativos de Nuvem. Se vir uma das seguintes notificações do Agente, utilize os seguintes passos para remediar o problema:
| Erro | Descrição | Resolução |
|---|---|---|
| Erro interno | Ocorreu um problema desconhecido com o agente SIEM. | Fale com o suporte. |
| Erro de envio do servidor de dados | Pode obter este erro se estiver a trabalhar com um servidor Syslog através de TCP. O agente SIEM não consegue ligar ao servidor Syslog. Se receber este erro, o agente deixará de solicitar novas atividades até ser corrigido. Certifique-se de que segue os passos de remediação até que o erro deixe de aparecer. | 1. Certifique-se de que definiu corretamente o servidor Syslog: na IU do Defender para Aplicativos de Nuvem, edite o agente SIEM conforme descrito acima. Certifique-se de que escreveu o nome do servidor corretamente e defina a porta correta.
2. Verifique a conectividade ao servidor Syslog: certifique-se de que a firewall não está a bloquear a comunicação. |
| Erro de ligação do servidor de dados | Pode obter este erro se estiver a trabalhar com um servidor Syslog através de TCP. O agente SIEM não consegue ligar ao servidor Syslog. Se receber este erro, o agente deixará de solicitar novas atividades até ser corrigido. Certifique-se de que segue os passos de remediação até que o erro deixe de aparecer. | 1. Certifique-se de que definiu corretamente o servidor Syslog: na IU do Defender para Aplicativos de Nuvem, edite o agente SIEM conforme descrito acima. Certifique-se de que escreveu o nome do servidor corretamente e defina a porta correta.
2. Verifique a conectividade ao servidor Syslog: certifique-se de que a firewall não está a bloquear a comunicação. |
| Erro do agente SIEM | O agente SIEM está desligado há mais de X horas | Confirme que não alterou a configuração do SIEM no portal do Defender para Aplicativos de Nuvem. Caso contrário, este erro poderá indicar problemas de conectividade entre Defender para Aplicativos de Nuvem e o computador no qual está a executar o agente SIEM. |
| Erro de notificação do agente SIEM | Foram recebidos erros de reencaminhamento de notificações do agente SIEM de um agente SIEM. | Este erro indica que recebeu erros sobre a ligação entre o agente SIEM e o servidor SIEM. Certifique-se de que não existe uma firewall a bloquear o servidor SIEM ou o computador no qual está a executar o agente SIEM. Além disso, marcar que o endereço IP do servidor SIEM não foi alterado. Se instalou a atualização 291 ou superior do Java Runtime Engine (JRE), siga as instruções em Problema com novas versões do Java. |
Problema com novas versões do Java
As versões mais recentes do Java podem causar problemas com o agente SIEM. Se tiver instalado a atualização 291 ou superior do Java Runtime Engine (JRE), siga estes passos:
Numa linha de comandos elevada do PowerShell, mude para a pasta de contentor de instalação Java.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Transfira cada um dos seguintes certificados da AC emissora de TLS do Azure.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtImporte cada ficheiro CRT de certificado de AC para o arquivo de chaves Java, com a alteração de palavra-passe do keystore predefinida.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitPara verificar, veja o keystore Java para os aliases de certificado da AC emissora do TLS do Azure listados acima.
keytool -list -keystore ..\lib\security\cacertsInicie o agente SIEM e reveja o novo ficheiro de registo de rastreio para confirmar uma ligação com êxito.
Próximas etapas
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.