針對 SIEM 整合進行疑難解答

本文提供將 SIEM 連線至 Defender for Cloud Apps 時可能發生的問題清單，並提供可能的解決方法。

復原 #D1178050DC33149248361748B72516B86 SIEM 代理程式中的遺漏活動事件

繼續之前，請檢查您的 Defender for Cloud Apps 授權是否支援您嘗試設定的 SIEM 整合。

如果您收到有關透過 SIEM 代理程式傳遞活動問題的系統警示，請遵循下列步驟，在問題的時間範圍內復原活動事件。 這些步驟將引導您設定新的復原 SIEM 代理程式，以平行方式執行，並將活動事件重新傳送至您的 SIEM。

注意事項

復原程式會在系統警示中所述的時間範圍內重新傳送所有活動事件。 如果您的 SIEM 已經包含此時間範圍內的活動事件，則在此復原之後，您將會遇到重複的事件。

步驟 1 – 與現有代理程式平行設定新的 SIEM 代理程式

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [雲端應用程式]。

2. 在 [ 系統] 底下，選取 [SIEM 代理程式]。 然後選 取 [新增 SIEM 代理程式]，然後使用精靈來設定 SIEM 的連線詳細數據。 例如，您可以使用下列組態建立新的 SIEM 代理程式：

   • 通訊協定：TCP
   • 遠端主機：您可以接聽埠的任何裝置。 例如，簡單的解決方案是使用與代理程式相同的裝置，並將遠端主機IP位址設定為127.0.0.1
   • 埠：您可以在遠端主機裝置上接聽的任何埠

   注意事項

   此代理程式應該與現有的代理程式平行執行，因此網路設定可能不相同。

3. 在精靈中，將 [數據類型] 設定為 只包含 [活動 ]，並套用原始 SIEM 代理程式中所使用的相同活動篩選 (如果) 。

4. 儲存設定。

5. 使用產生的令牌執行新的代理程式。

步驟 2 – 驗證成功將數據傳遞至 SIEM

使用下列步驟來驗證您的設定：

1. 線上到您的 SIEM，並檢查是否已從您設定的新 SIEM 代理程式收到新數據。

注意事項

代理程式只會在您收到警示的問題時間範圍內傳送活動。

1. 如果您的 SIEM 未收到數據，請在新的 SIEM 代理程式裝置上，嘗試接聽您設定為轉送活動的埠，以查看資料是否正從代理程式傳送至 SIEM。 例如，執行 netcat -l <port> ，其中 <port> 是先前設定的埠號碼。

注意事項

如果您使用 ncat，請務必指定 ipv4 旗標 -4。

1. 如果代理程式正在傳送數據，但您的 SIEM 未接收數據，請檢查 SIEM 代理程式記錄。 如果您可以看到「連線拒絕」訊息，請確定您的 SIEM 代理程式已設定為使用 TLS 1.2 或更新版本。

步驟 3 – 移除復原 SIEM 代理程式

1. 復原 SIEM 代理程式會自動停止傳送數據，並在到達結束日期後停用。
2. 在 SIEM 中驗證復原 SIEM 代理程式未傳送任何新數據。
3. 停止在裝置上執行代理程式。
4. 在入口網站中，移至 [SIEM 代理程式] 頁面，並移除復原 SIEM 代理程式。
5. 請確定原始 SIEM 代理程式仍在正常執行。

一般疑難排解

請確定 Microsoft Defender for Cloud Apps 入口網站中 SIEM 代理程式的狀態不是連線錯誤或已中斷連線，而且沒有代理程式通知。 如果連線中斷超過兩小時，狀態會顯示為連線 錯誤 。 如果連線中斷超過 12 小時，狀態會變更為 [中斷連線]。

如果您在執行代理程式時在 Cmd 提示字元中看到下列其中一個錯誤，請使用下列步驟來補救問題：

錯誤	描述	解決方案
啟動程序期間的一般錯誤	代理程式啟動程式期間發生非預期的錯誤。	連絡客戶支援。
太多嚴重錯誤	連接主控台時發生太多嚴重錯誤。 關閉。	連絡客戶支援。
無效的令牌	提供的令牌無效。	請確定您已複製正確的權杖。 您可以使用上述程式來重新產生令牌。
無效的 Proxy 位址	提供的 Proxy 位址無效。	請確定您已輸入正確的 Proxy 和埠。

建立代理程序之後，請檢查 Defender for Cloud Apps 入口網站中的 [SIEM 代理程式] 頁面。 如果您看到下列其中一個 Agent 通知，請使用下列步驟來補救問題：

錯誤	描述	解決方案
內部錯誤	SIEM 代理程式發生未知的問題。	連絡客戶支援。
數據伺服器傳送錯誤	如果您透過 TCP 使用 Syslog 伺服器，則會收到此錯誤。 SIEM 代理程式無法連線到您的 Syslog 伺服器。 如果您收到此錯誤，代理程式會停止提取新活動，直到修正為止。 請務必遵循補救步驟，直到錯誤停止出現為止。	1.請確定您已正確定義 Syslog 伺服器：在 Defender for Cloud Apps UI 中，如上所述編輯 SIEM 代理程式。 請確定您已正確撰寫伺服器名稱，並設定正確的埠。 2. 檢查 Syslog 伺服器的連線能力：確定您的防火牆並未封鎖通訊。
數據伺服器連線錯誤	如果您透過 TCP 使用 Syslog 伺服器，則會收到此錯誤。 SIEM 代理程式無法連線到您的 Syslog 伺服器。 如果您收到此錯誤，代理程式會停止提取新活動，直到修正為止。 請務必遵循補救步驟，直到錯誤停止出現為止。	1.請確定您已正確定義 Syslog 伺服器：在 Defender for Cloud Apps UI 中，如上所述編輯 SIEM 代理程式。 請確定您已正確撰寫伺服器名稱，並設定正確的埠。 2. 檢查 Syslog 伺服器的連線能力：確定您的防火牆並未封鎖通訊。
SIEM 代理程序錯誤	SIEM 代理程式已中斷連線超過 X 小時	請確定您未在 Defender for Cloud Apps 入口網站中變更 SIEM 設定。 否則，此錯誤可能表示 Defender for Cloud Apps 與您執行 SIEM 代理程式的電腦之間的連線問題。
SIEM 代理程式通知錯誤	從 SIEM 代理程式收到 SIEM 代理程式通知轉寄錯誤。	此錯誤表示您已收到有關 SIEM 代理程式與 SIEM 伺服器之間連線的錯誤。 請確定沒有防火牆封鎖您的 SIEM 伺服器或您執行 SIEM 代理程式的電腦。 此外，請檢查 SIEM 伺服器的 IP 位址是否未變更。 如果您已安裝 Java 執行時間引擎 (JRE) 更新 291 或更新版本，請遵循 新版 Java 的問題中的指示。

新版本 Java 的問題

較新版本的 Java 可能會導致 SIEM 代理程式發生問題。 如果您已安裝 Java 執行時間引擎 (JRE) 更新 291 或更新版本，請遵循下列步驟：

1. 在提升許可權的 PowerShell 提示字元中，切換至 Java 安裝 bin 資料夾。

   cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
   

2. 下載下列每個 Azure TLS 發行 CA 憑證。

       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"
   

       cd /tmp
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt
   

3. 使用預設金鑰存放區密碼 changeit，將每個 CA 憑證 CRT 檔案匯入 Java 金鑰存放區。

       keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
   

       keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
   

4. 若要確認，請檢視上述 Azure TLS 發行 CA 憑證別名的 Java 金鑰存放區。

       keytool -list -keystore ..\lib\security\cacerts
   

5. 啟動 SIEM 代理程式並檢閱新的追蹤記錄檔，以確認連線成功。

後續步驟

保護組織的最佳做法

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。