SIEM 集成故障排除

本文列出了将 SIEM 连接到Defender for Cloud Apps时可能出现的问题，并提供可能的解决方法。

恢复 Defender for Cloud Apps SIEM 代理中缺少的活动事件

在继续之前，检查Defender for Cloud Apps许可证支持你尝试配置的 SIEM 集成。

如果收到有关通过 SIEM 代理传递活动的问题的系统警报，请按照以下步骤在问题的时间范围内恢复活动事件。 这些步骤将指导你设置一个新的恢复 SIEM 代理，该代理将并行运行并将活动事件重新发送到 SIEM。

注意

恢复过程将在系统警报中所述的时间范围内重新发送所有活动事件。 如果 SIEM 已包含此时间范围中的活动事件，则在此恢复后将遇到重复事件。

步骤 1 - 与现有代理并行配置新的 SIEM 代理

1. 在Microsoft Defender门户中，选择“设置”。 然后选择“ 云应用”。

2. 在“ 系统”下，选择“ SIEM 代理”。 然后选择 “添加新的 SIEM 代理”，并使用向导配置 SIEM 的连接详细信息。 例如，可以使用以下配置创建新的 SIEM 代理：

   • 协议：TCP
   • 远程主机：可以侦听端口的任何设备。 例如，一个简单的解决方案是使用与代理相同的设备，并将远程主机 IP 地址设置为 127.0.0.1
   • 端口：可在远程主机设备上侦听的任何端口

   注意

   此代理应与现有代理并行运行，因此网络配置可能不相同。

3. 在向导中，将“数据类型”配置为 仅包含“活动” ，并应用原始 SIEM 代理中使用的相同活动筛选器， (（如果存在) ）。

4. 保存设置。

5. 使用生成的令牌运行新代理。

步骤 2 - 验证是否已成功将数据传递到 SIEM

使用以下步骤验证配置：

1. 连接到 SIEM，检查从配置的新 SIEM 代理接收新数据。

注意

代理只会在收到警报的问题的时间范围内发送活动。

1. 如果 SIEM 未接收数据，则在新的 SIEM 代理设备上，尝试侦听配置为转发活动的端口，以查看数据是否正在从代理发送到 SIEM。 例如，运行 netcat -l <port> ，其中 <port> 是以前配置的端口号。

注意

如果使用 ncat，请确保指定 ipv4 标志 -4。

1. 如果数据由代理发送，但 SIEM 未接收，检查 SIEM 代理日志。 如果可以看到“连接被拒绝”消息，请确保 SIEM 代理配置为使用 TLS 1.2 或更高版本。

步骤 3 - 删除恢复 SIEM 代理

1. 恢复 SIEM 代理将自动停止发送数据，并在到达结束日期后被禁用。
2. 在 SIEM 中验证恢复 SIEM 代理是否未发送任何新数据。
3. 停止在设备上执行代理。
4. 在门户中，转到“SIEM 代理”页并删除恢复 SIEM 代理。
5. 确保原始 SIEM 代理仍在正常运行。

一般疑难解答

确保Microsoft Defender for Cloud Apps门户中 SIEM 代理的状态不是“连接错误”或“已断开连接”，并且没有代理通知。 如果连接关闭时间超过两小时，则状态显示为“连接 错误 ”。 如果连接中断超过 12 小时，状态将更改为 “已断开连接 ”。

如果在运行代理时在 cmd 提示符中看到以下错误之一，请使用以下步骤来修正问题：

错误	说明	解决方案
启动期间的常规错误	代理启动期间出现意外错误。	请联系支持人员。
严重错误过多	连接主机时发生过多严重错误。 关闭。	请联系支持人员。
令牌无效	提供的令牌无效。	请确保复制了正确的令牌。 可以使用上述过程重新生成令牌。
无效的代理地址	提供的代理地址无效。	请确保输入了正确的代理和端口。

创建代理后，检查Defender for Cloud Apps门户中的 SIEM 代理页。 如果看到以下 代理通知之一，请使用以下步骤来修正问题：

错误	说明	解决方案
内部错误	SIEM 代理出现未知错误。	请联系支持人员。
数据服务器发送错误	如果通过 TCP 使用 Syslog 服务器，可能会收到此错误。 SIEM 代理无法连接到 Syslog 服务器。 如果收到此错误，代理将停止拉取新活动，直到修复。 请确保按照修正步骤操作，直到错误停止出现。	1. 请确保正确定义了 Syslog 服务器：在 Defender for Cloud Apps UI 中，如上所述编辑 SIEM 代理。 请确保正确编写服务器名称并设置正确的端口。 2. 检查与 Syslog 服务器的连接：确保防火墙未阻止通信。
数据服务器连接错误	如果通过 TCP 使用 Syslog 服务器，可能会收到此错误。 SIEM 代理无法连接到 Syslog 服务器。 如果收到此错误，代理将停止拉取新活动，直到修复。 请确保按照修正步骤操作，直到错误停止出现。	1. 请确保正确定义了 Syslog 服务器：在 Defender for Cloud Apps UI 中，如上所述编辑 SIEM 代理。 请确保正确编写服务器名称并设置正确的端口。 2. 检查与 Syslog 服务器的连接：确保防火墙未阻止通信。
SIEM 代理错误	SIEM 代理已断开连接超过 X 小时	请确保未在 Defender for Cloud Apps 门户中更改 SIEM 配置。 否则，此错误可能指示Defender for Cloud Apps与运行 SIEM 代理的计算机之间的连接问题。
SIEM 代理通知错误	从 SIEM 代理收到 SIEM 代理通知转发错误。	此错误表示你收到了有关 SIEM 代理与 SIEM 服务器之间的连接的错误。 确保没有防火墙阻止 SIEM 服务器或运行 SIEM 代理的计算机。 此外，检查 SIEM 服务器的 IP 地址未更改。 如果已安装 Java 运行时引擎 (JRE) update 291 或更高版本，请按照 新版 Java 中的说明进行操作。

新版本 Java 的问题

较新版本的 Java 可能会导致 SIEM 代理出现问题。 如果已安装 Java 运行时引擎 (JRE) update 291 或更高版本，请执行以下步骤：

1. 在提升的 PowerShell 提示符下，切换到 Java 安装箱文件夹。

   cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
   

2. 下载以下每个 Azure TLS 颁发 CA 证书。

       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"
   

       cd /tmp
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt
   

3. 使用默认密钥存储密码 更改将每个 CA 证书 CRT 文件导入 Java 密钥存储。

       keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
   

       keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
   

4. 若要验证，请查看上面列出的 Azure TLS 颁发 CA 证书别名的 Java 密钥存储。

       keytool -list -keystore ..\lib\security\cacerts
   

5. 启动 SIEM 代理并查看新的跟踪日志文件以确认连接成功。

后续步骤

保护组织的最佳做法

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。