Поделиться через

Устранение неполадок интеграции SIEM

  • Статья

В этой статье приведен список возможных проблем при подключении SIEM к Defender for Cloud Apps и возможные способы их устранения.

Восстановление отсутствующих событий действий в агенте SIEM Defender for Cloud Apps

Прежде чем продолжить, проверка, что ваша лицензия Defender for Cloud Apps поддерживает интеграцию SIEM, которую вы пытаетесь настроить.

Если вы получили системное оповещение о проблеме с доставкой действий через агент SIEM, выполните приведенные ниже действия, чтобы восстановить события активности в период возникновения проблемы. Эти действия помогут вам настроить новый агент SIEM для восстановления, который будет выполняться параллельно и повторно отправлять события действий в SIEM.

Примечание.

Процесс восстановления повторно отправляет все события действий за период, описанный в системном оповещении. Если siEM уже содержит события действий за этот период времени, после этого восстановления будут возникать повторяющиеся события.

Шаг 1. Настройка нового агента SIEM параллельно с существующим агентом

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.

  2. В разделе Система выберите Агент SIEM. Затем выберите добавить новый агент SIEM и с помощью мастера настройте сведения о подключении к SIEM. Например, можно создать агент SIEM со следующей конфигурацией:

    • Протокол: TCP
    • Удаленный узел: любое устройство, на котором можно прослушивать порт. Например, простое решение — использовать то же устройство, что и агент, и задать IP-адрес удаленного узла 127.0.0.1.
    • Порт: любой порт, который можно прослушивать на удаленном хост-устройстве.

    Примечание.

    Этот агент должен выполняться параллельно существующему агенту, поэтому конфигурация сети может не совпадать.

  3. В мастере настройте типы данных, чтобы включить только действия и применить тот же фильтр действий, который использовался в исходном агенте SIEM (если он существует).

  4. Сохраните параметры.

  5. Запустите новый агент с помощью созданного маркера.

Шаг 2. Проверка успешной доставки данных в SIEM

Чтобы проверить конфигурацию, выполните следующие действия.

  1. Подключитесь к SIEM и проверка, что новые данные будут получены от нового агента SIEM, который вы настроили.

Примечание.

Агент будет отправлять действия только в период времени проблемы, о которой вы были оповещены.

  1. Если данные не получены siEM, на новом устройстве агента SIEM попробуйте прослушать порт, настроенный для пересылки действий, чтобы узнать, отправляются ли данные из агента в SIEM. Например, выполните команду netcat -l <port> , где <port> — это ранее настроенный номер порта.

Примечание.

Если вы используете ncat, убедитесь, что вы указали флаг -4ipv4 .

  1. Если данные отправляются агентом, но не получены siEM, проверка журнал агента SIEM. Если отображаются сообщения об отказе подключения, убедитесь, что агент SIEM настроен для использования TLS 1.2 или более поздней версии.

Шаг 3. Удаление агента SIEM для восстановления

  1. Агент SIEM восстановления автоматически прекратит отправку данных и будет отключен после достижения даты окончания.
  2. В SIEM убедитесь, что агент SIEM для восстановления не отправляет новые данные.
  3. Остановите выполнение агента на устройстве.
  4. На портале перейдите на страницу агента SIEM и удалите агент SIEM восстановления.
  5. Убедитесь, что исходный агент SIEM по-прежнему работает правильно.

Устранение общих неполадок

Убедитесь, что состояние агента SIEM в Microsoft Defender for Cloud Apps не является ошибкой подключения или отключено, а уведомления агента отсутствуют. Состояние отображается как Ошибка подключения , если подключение не работает более двух часов. Если подключение не работает более 12 часов, состояние меняется на Отключено .

Если во время запуска агента в командной строке отображается одна из следующих ошибок, выполните следующие действия, чтобы устранить проблему:

Ошибка Описание Решение
Общая ошибка во время начальной загрузки Непредвиденная ошибка при начальной загрузке агента. Обратитесь за поддержкой.
Слишком много критических ошибок При подключении консоли произошло слишком много критических ошибок. Завершает работу. Обратитесь за поддержкой.
Недопустимый маркер Предоставленный маркер недопустим. Убедитесь, что вы скопировали правильный маркер. Для повторного создания маркера можно использовать описанный выше процесс.
Недопустимый адрес прокси-сервера Указанный адрес прокси-сервера недопустим. Убедитесь, что вы ввели правильный прокси-сервер и порт.

После создания агента проверка страницу агента SIEM в Defender for Cloud Apps. Если вы видите одно из следующих уведомлений агента, выполните следующие действия, чтобы устранить проблему:

Ошибка Описание Решение
Внутренняя ошибка Что-то неизвестное пошло не так с агентом SIEM. Обратитесь за поддержкой.
Ошибка отправки сервера данных Эта ошибка может возникнуть, если вы работаете с сервером Системного журнала по протоколу TCP. Агент SIEM не может подключиться к серверу Syslog. Если вы получаете эту ошибку, агент перестанет извлекать новые действия, пока они не будут исправлены. Обязательно следуйте инструкциям по исправлению, пока ошибка не перестанет появляться. 1. Убедитесь, что сервер системного журнала правильно определен. В пользовательском интерфейсе Defender for Cloud Apps измените агент SIEM, как описано выше. Убедитесь, что вы правильно написали имя сервера и настроили правильный порт.
2. Проверьте подключение к серверу Syslog. Убедитесь, что брандмауэр не блокирует обмен данными.
Ошибка подключения к серверу данных Эта ошибка может возникнуть, если вы работаете с сервером Системного журнала по протоколу TCP. Агент SIEM не может подключиться к серверу Syslog. Если возникает эта ошибка, агент перестает извлекать новые действия, пока они не будут исправлены. Обязательно следуйте инструкциям по исправлению, пока ошибка не перестанет появляться. 1. Убедитесь, что сервер системного журнала правильно определен. В пользовательском интерфейсе Defender for Cloud Apps измените агент SIEM, как описано выше. Убедитесь, что вы правильно написали имя сервера и настроили правильный порт.
2. Проверьте подключение к серверу Syslog. Убедитесь, что брандмауэр не блокирует обмен данными.
Ошибка агента SIEM Агент SIEM отключен более чем на X часов Убедитесь, что вы не изменили конфигурацию SIEM в Defender for Cloud Apps. В противном случае эта ошибка может указывать на проблемы с подключением между Defender for Cloud Apps и компьютером, на котором запущен агент SIEM.
Ошибка уведомления агента SIEM Уведомления агента SIEM об ошибках пересылки получены от агента SIEM. Эта ошибка указывает на то, что вы получили ошибки о соединении между агентом SIEM и сервером SIEM. Убедитесь, что брандмауэр не блокирует сервер SIEM или компьютер, на котором запущен агент SIEM. Кроме того, проверка, что IP-адрес сервера SIEM не был изменен. Если вы установили java Runtime Engine (JRE) с обновлением 291 или более поздней версии, следуйте инструкциям в статье Проблема с новыми версиями Java.

Проблема с новыми версиями Java

Более новые версии Java могут вызвать проблемы с агентом SIEM. Если вы установили java Runtime Engine (JRE) с обновлением 291 или более поздней версии, выполните следующие действия.

  1. В командной строке PowerShell с повышенными привилегиями переключитесь в папку java install bin.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Скачайте каждый из следующих сертификатов ЦС azure TLS.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Импортируйте каждый CRT-файл сертификата ЦС в хранилище ключей Java, используя значение по умолчанию для изменения пароля хранилища ключей.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Чтобы проверить это, просмотрите хранилище ключей Java для Azure TLS, выдающего псевдонимы сертификатов ЦС, перечисленные выше.

        keytool -list -keystore ..\lib\security\cacerts

  5. Запустите агент SIEM и просмотрите новый файл журнала трассировки, чтобы подтвердить успешное подключение.

Дальнейшие действия

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.