Resolver problemas de integração do SIEM
Este artigo fornece uma lista de possíveis problemas ao ligar o SIEM ao Defender for Cloud Apps e fornece possíveis resoluções.
Recuperar eventos de atividade em falta no Agente SIEM do Defender for Cloud Apps
Antes de continuar, verifique se a licença do Defender for Cloud Apps suporta a integração SIEM que está a tentar configurar.
Se recebeu um alerta do sistema sobre um problema com a entrega de atividade através do agente SIEM, siga os passos abaixo para recuperar os eventos de atividade no período de tempo do problema. Estes passos orientam-no ao longo da configuração de um novo agente SIEM de Recuperação que será executado em paralelo e reenviará os eventos de atividade para o siEM.
Nota
O processo de recuperação reenvia todos os eventos de atividade no período de tempo descrito no alerta do sistema. Se o SIEM já contiver eventos de atividade a partir deste período de tempo, irá deparar-se com eventos duplicados após esta recuperação.
Passo 1 – Configurar um novo Agente SIEM em paralelo com o agente existente
No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud.
Em Sistema, selecione Agente SIEM. Em seguida, selecione Adicionar um novo agente SIEM e utilize o assistente para configurar os detalhes de ligação ao SIEM. Por exemplo, pode criar um novo agente SIEM com a seguinte configuração:
- Protocolo: TCP
- Anfitrião remoto: qualquer dispositivo onde possa ouvir uma porta. Por exemplo, uma solução simples seria utilizar o mesmo dispositivo que o agente e definir o endereço IP do anfitrião remoto como 127.0.0.1
- Porta: qualquer porta que possa ouvir no dispositivo anfitrião remoto
Nota
Este agente deve ser executado em paralelo com o existente, pelo que a configuração de rede pode não ser idêntica.
No assistente, configure os Tipos de Dados para incluir apenas Atividades e aplicar o mesmo filtro de atividade que foi utilizado no agente SIEM original (se existir).
Guarde as definições.
Execute o novo agente com o token gerado.
Passo 2 – Validar a entrega de dados com êxito no SIEM
Utilize os seguintes passos para validar a configuração:
- Ligue-se ao SIEM e verifique se são recebidos novos dados do novo agente SIEM que configurou.
Nota
O agente só enviará atividades no período de tempo do problema em que foi alertado.
- Se os dados não forem recebidos pelo SIEM, no novo dispositivo do agente SIEM, experimente ouvir a porta que configurou para reencaminhar atividades para ver se os dados estão a ser enviados do agente para o SIEM. Por exemplo, execute
netcat -l <port>onde<port>é o número de porta configurado anteriormente.
Nota
Se estiver a utilizar ncat, certifique-se de que especifica o sinalizador -4ipv4 .
- Se os dados estiverem a ser enviados pelo agente, mas não forem recebidos pelo SIEM, verifique o registo do agente SIEM. Se vir mensagens "ligação recusada", certifique-se de que o agente SIEM está configurado para utilizar o TLS 1.2 ou mais recente.
Passo 3 – Remover o agente SIEM de Recuperação
- O agente SIEM de recuperação deixará automaticamente de enviar dados e será desativado assim que atingir a data de fim.
- Confirme no SIEM que não são enviados novos dados pelo agente SIEM de recuperação.
- Pare a execução do agente no seu dispositivo.
- No portal, aceda à página Agente SIEM e remova o agente SIEM de recuperação.
- Certifique-se de que o Agente SIEM original ainda está a funcionar corretamente.
Resolução de problemas gerais
Certifique-se de que o estado do agente SIEM no Microsoft Defender for Cloud Apps não é Erro de ligação ou Desligado e não existem notificações de agente. O estado é apresentado como Erro de ligação se a ligação estiver inativa durante mais de duas horas. O estado muda para Desligado se a ligação estiver inativa durante mais de 12 horas.
Se vir um dos seguintes erros na linha de comandos durante a execução do agente, utilize os seguintes passos para remediar o problema:
| Erro | Descrição | Resolução |
|---|---|---|
| Erro geral durante o bootstrap | Erro inesperado durante o bootstrap do agente. | Contacte o suporte. |
| Demasiados erros críticos | Ocorreram demasiados erros críticos ao ligar a consola. A encerrar. | Contacte o suporte. |
| Token inválido | O token fornecido não é válido. | Certifique-se de que copiou o token correto. Pode utilizar o processo acima para regenerar o token. |
| Endereço proxy inválido | O endereço proxy fornecido não é válido. | Certifique-se de que introduziu o proxy e a porta corretos. |
Depois de criar o agente, verifique a página do agente SIEM no Defender for Cloud Apps. Se vir uma das seguintes notificações do Agente, utilize os seguintes passos para remediar o problema:
| Erro | Descrição | Resolução |
|---|---|---|
| Erro interno | Ocorreu um problema desconhecido com o agente SIEM. | Contacte o suporte. |
| Erro de envio do servidor de dados | Pode obter este erro se estiver a trabalhar com um servidor Syslog através de TCP. O agente SIEM não consegue ligar ao servidor Syslog. Se receber este erro, o agente deixará de solicitar novas atividades até ser corrigido. Certifique-se de que segue os passos de remediação até que o erro deixe de aparecer. | 1. Certifique-se de que definiu corretamente o servidor Syslog: na IU do Defender for Cloud Apps, edite o agente SIEM conforme descrito acima. Certifique-se de que escreveu o nome do servidor corretamente e defina a porta correta.
2. Verifique a conectividade ao servidor Syslog: certifique-se de que a firewall não está a bloquear a comunicação. |
| Erro de ligação do servidor de dados | Pode obter este erro se estiver a trabalhar com um servidor Syslog através de TCP. O agente SIEM não consegue ligar ao servidor Syslog. Se receber este erro, o agente deixa de solicitar novas atividades até ser corrigido. Certifique-se de que segue os passos de remediação até que o erro deixe de aparecer. | 1. Certifique-se de que definiu corretamente o servidor Syslog: na IU do Defender for Cloud Apps, edite o agente SIEM conforme descrito acima. Certifique-se de que escreveu o nome do servidor corretamente e defina a porta correta.
2. Verifique a conectividade ao servidor Syslog: certifique-se de que a firewall não está a bloquear a comunicação. |
| Erro do agente SIEM | O agente SIEM está desligado há mais de X horas | Certifique-se de que não alterou a configuração do SIEM no Defender for Cloud Apps. Caso contrário, este erro poderá indicar problemas de conectividade entre Defender for Cloud Apps e o computador no qual está a executar o agente SIEM. |
| Erro de notificação do agente SIEM | Foram recebidos erros de reencaminhamento de notificações do agente SIEM de um agente SIEM. | Este erro indica que recebeu erros sobre a ligação entre o agente SIEM e o servidor SIEM. Certifique-se de que não existe uma firewall a bloquear o servidor SIEM ou o computador no qual está a executar o agente SIEM. Além disso, verifique se o endereço IP do servidor SIEM não foi alterado. Se instalou a atualização 291 ou superior do Java Runtime Engine (JRE), siga as instruções em Problema com novas versões do Java. |
Problema com novas versões do Java
As versões mais recentes do Java podem causar problemas com o agente SIEM. Se tiver instalado a atualização 291 ou superior do Java Runtime Engine (JRE), siga estes passos:
Numa linha de comandos elevada do PowerShell, mude para a pasta de contentor de instalação Java.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Transfira cada um dos seguintes certificados da AC emissora de TLS do Azure.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtImporte cada ficheiro CRT de certificado de AC para o arquivo de chaves Java, com a alteração de palavra-passe do keystore predefinida.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitPara verificar, veja o keystore Java para os aliases de certificado da AC emissora do TLS do Azure listados acima.
keytool -list -keystore ..\lib\security\cacertsInicie o agente SIEM e reveja o novo ficheiro de registo de rastreio para confirmar uma ligação com êxito.
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.