Dela via

Felsöka SIEM-integrering

  • Artikel

Den här artikeln innehåller en lista över möjliga problem när du ansluter din SIEM till Defender for Cloud Apps och innehåller möjliga lösningar.

Återställa saknade aktivitetshändelser i Defender for Cloud Apps SIEM-agent

Innan du fortsätter kontrollerar du att din Defender for Cloud Apps-licens stöder SIEM-integreringen som du försöker konfigurera.

Om du har fått en systemavisering om ett problem med aktivitetsleverans via SIEM-agenten följer du stegen nedan för att återställa aktivitetshändelserna inom tidsramen för problemet. De här stegen vägleder dig genom att konfigurera en ny Recovery SIEM-agent som körs parallellt och skicka aktivitetshändelserna på nytt till SIEM.

Obs!

Återställningsprocessen skickar om alla aktivitetshändelser inom den tidsram som beskrivs i systemaviseringen. Om SIEM redan innehåller aktivitetshändelser från den här tidsramen kommer du att uppleva duplicerade händelser efter den här återställningen.

Steg 1 – Konfigurera en ny SIEM-agent parallellt med din befintliga agent

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under System väljer du SIEM-agent. Välj sedan lägg till en ny SIEM-agent och använd guiden för att konfigurera anslutningsinformationen till SIEM. Du kan till exempel skapa en ny SIEM-agent med följande konfiguration:

    • Protokoll: TCP
    • Fjärrvärd: Alla enheter där du kan lyssna på en port. En enkel lösning är till exempel att använda samma enhet som agenten och ange fjärrvärdens IP-adress till 127.0.0.1
    • Port: Alla portar som du kan lyssna på på fjärrvärdenheten

    Obs!

    Den här agenten bör köras parallellt med den befintliga, så nätverkskonfigurationen kanske inte är identisk.

  3. I guiden konfigurerar du datatyperna så att de endast innehåller aktiviteter och tillämpar samma aktivitetsfilter som användes i din ursprungliga SIEM-agent (om den finns).

  4. Spara inställningarna.

  5. Kör den nya agenten med den genererade token.

Steg 2 – Verifiera lyckad dataleverans till SIEM

Använd följande steg för att verifiera konfigurationen:

  1. Anslut till SIEM och kontrollera att nya data tas emot från den nya SIEM-agenten som du har konfigurerat.

Obs!

Agenten skickar bara aktiviteter inom tidsramen för det problem som du fick aviseringar om.

  1. Om data inte tas emot av SIEM kan du prova att lyssna på porten som du har konfigurerat för att vidarebefordra aktiviteter på den nya SIEM-agentenheten för att se om data skickas från agenten till SIEM. Kör till exempel netcat -l <port> där <port> är det tidigare konfigurerade portnumret.

Obs!

Om du använder ncatkontrollerar du att du anger ipv4-flaggan -4.

  1. Om data skickas av agenten men inte tas emot av SIEM kontrollerar du SIEM-agentloggen. Om du ser meddelanden om att anslutningen nekades kontrollerar du att SIEM-agenten är konfigurerad att använda TLS 1.2 eller senare.

Steg 3 – Ta bort SIEM-agenten för återställning

  1. SIEM-återställningsagenten slutar automatiskt att skicka data och inaktiveras när den når slutdatumet.
  2. Verifiera i SIEM att inga nya data skickas av SIEM-återställningsagenten.
  3. Stoppa körningen av agenten på enheten.
  4. I portalen går du till SIEM-agentsidan och tar bort SIEM-återställningsagenten.
  5. Kontrollera att den ursprungliga SIEM-agenten fortfarande körs korrekt.

Allmän felsökning

Kontrollera att siem-agentens status i Microsoft Defender for Cloud Apps-portalen inte är anslutningsfel eller frånkopplad och att det inte finns några agentmeddelanden. Statusen visas som Anslutningsfel om anslutningen är nere i mer än två timmar. Statusen ändras till Frånkopplad om anslutningen är nere i över 12 timmar.

Om du ser något av följande fel i cmd-kommandotolken när du kör agenten använder du följande steg för att åtgärda problemet:

Fel Beskrivning Åtgärd
Allmänt fel under bootstrap Oväntat fel under agentens bootstrap. Kontakta supporten.
För många kritiska fel För många kritiska fel uppstod när konsolen skulle anslutas. Stänga. Kontakta supporten.
Ogiltig token Den angivna token är inte giltig. Kontrollera att du kopierade rätt token. Du kan använda processen ovan för att återskapa token.
Ogiltig proxyadress Den angivna proxyadressen är inte giltig. Kontrollera att du har angett rätt proxy och port.

När du har skapat agenten kontrollerar du SIEM-agentsidan i Defender for Cloud Apps-portalen. Om du ser något av följande agentaviseringar använder du följande steg för att åtgärda problemet:

Fel Beskrivning Åtgärd
Internt fel Något okänt gick fel med SIEM-agenten. Kontakta supporten.
Fel vid sändning av dataserver Du kan få det här felet om du arbetar med en Syslog-server via TCP. SIEM-agenten kan inte ansluta till Syslog-servern. Om du får det här felet slutar agenten att hämta nya aktiviteter tills den har åtgärdats. Se till att följa reparationsstegen tills felet slutar visas. 1. Se till att du har definierat syslog-servern korrekt: Redigera SIEM-agenten enligt beskrivningen ovan i Defender for Cloud Apps användargränssnittet. Kontrollera att du har skrivit namnet på servern korrekt och ange rätt port.
2. Kontrollera anslutningen till Syslog-servern: Kontrollera att brandväggen inte blockerar kommunikationen.
Anslutningsfel för dataserver Du kan få det här felet om du arbetar med en Syslog-server via TCP. SIEM-agenten kan inte ansluta till Syslog-servern. Om du får det här felet slutar agenten att hämta nya aktiviteter tills den har åtgärdats. Se till att följa reparationsstegen tills felet slutar visas. 1. Se till att du har definierat syslog-servern korrekt: Redigera SIEM-agenten enligt beskrivningen ovan i Defender for Cloud Apps användargränssnittet. Kontrollera att du har skrivit namnet på servern korrekt och ange rätt port.
2. Kontrollera anslutningen till Syslog-servern: Kontrollera att brandväggen inte blockerar kommunikationen.
SIEM-agentfel SIEM-agenten har varit frånkopplad i mer än X timmar Kontrollera att du inte har ändrat SIEM-konfigurationen i Defender for Cloud Apps-portalen. Annars kan det här felet tyda på anslutningsproblem mellan Defender for Cloud Apps och den dator där du kör SIEM-agenten.
Meddelandefel för SIEM-agent Fel vid vidarebefordran av SIEM-agentmeddelanden togs emot från en SIEM-agent. Det här felet anger att du har fått fel om anslutningen mellan SIEM-agenten och SIEM-servern. Kontrollera att det inte finns någon brandvägg som blockerar SIEM-servern eller den dator där du kör SIEM-agenten. Kontrollera också att IP-adressen för SIEM-servern inte har ändrats. Om du har installerat JRE-uppdatering (Java Runtime Engine) 291 eller senare följer du anvisningarna i Problem med nya versioner av Java.

Problem med nya versioner av Java

Nyare versioner av Java kan orsaka problem med SIEM-agenten. Om du har installerat Java Runtime Engine (JRE) uppdatering 291 eller senare följer du dessa steg:

  1. Växla till mappen Java install bin i en upphöjd PowerShell-prompt.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Ladda ned vart och ett av följande Certifikat för Azure TLS-utfärdande certifikatutfärdare.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importera crt-filen för certifikatutfärdare till Java-nyckelarkivet med hjälp av standardnyckellagringslösenordet changeit.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Om du vill verifiera kan du visa Java-nyckelarkivet för Azure TLS som utfärdar certifikatalias för certifikatutfärdare som anges ovan.

        keytool -list -keystore ..\lib\security\cacerts

  5. Starta SIEM-agenten och granska den nya spårningsloggfilen för att bekräfta en lyckad anslutning.

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.