Odstraňování potíží s integrací řešení SIEM

  • Článek

Tento článek obsahuje seznam možných problémů při připojování SIEM k Defenderu pro Cloud Apps a poskytuje možná řešení.

Obnovení chybějících událostí aktivity v agentu Defender for Cloud Apps SIEM

Než budete pokračovat, zkontrolujte, jestli vaše licence Defender for Cloud Apps podporuje integraci SIEM, kterou se pokoušíte nakonfigurovat.

Pokud jste obdrželi upozornění systému týkající se problému s doručováním aktivit prostřednictvím agenta SIEM, obnovte události aktivit v časovém rámci problému pomocí následujícího postupu. Tyto kroky vás provedou nastavením nového agenta SIEM pro obnovení, který se bude spouštět paralelně a znovu odeslat události aktivity do systému SIEM.

Poznámka:

Proces obnovení znovu odešle všechny události aktivity v časovém rámci popsaném v upozornění systému. Pokud váš identifikátor SIEM již obsahuje události aktivit z tohoto časového rámce, po tomto obnovení dojde k duplicitním událostem.

Krok 1 – Konfigurace nového agenta SIEM paralelně s vaším stávajícím agentem

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Systém vyberte agenta SIEM. Pak vyberte přidat nového agenta SIEM a pomocí průvodce nakonfigurujte podrobnosti o připojení k systému SIEM. Můžete například vytvořit nového agenta SIEM s následující konfigurací:

    • Protokol: TCP
    • Vzdálený hostitel: Jakékoli zařízení, na kterém můžete naslouchat portu. Jednoduchým řešením by bylo například použít stejné zařízení jako agent a nastavit IP adresu vzdáleného hostitele na 127.0.0.1.
    • Port: Libovolný port, který můžete poslouchat na vzdáleném hostitelském zařízení

    Poznámka:

    Tento agent by měl běžet paralelně s existujícím agentem, takže konfigurace sítě nemusí být stejná.

  3. V průvodci nakonfigurujte datové typy tak, aby zahrnovaly pouze aktivity a použily stejný filtr aktivit, který jste použili v původním agentu SIEM (pokud existuje).

  4. Uložte nastavení.

  5. Spusťte nového agenta pomocí vygenerovaného tokenu.

Krok 2 – Ověření úspěšného doručení dat do systému SIEM

Pomocí následujících kroků ověřte konfiguraci:

  1. Připojení do systému SIEM a zkontrolujte, jestli se nová data přijímají z nového agenta SIEM, který jste nakonfigurovali.

Poznámka:

Agent odešle aktivity pouze v časovém rámci problému, na který jste byli upozorněni.

  1. Pokud váš SIEM nepřijal data, zkuste na novém zařízení agenta SIEM naslouchat portu, který jste nakonfigurovali pro předávání aktivit, abyste zjistili, jestli se data odesílají z agenta do SIEM. Například spusťte netcat -l <port> , kde <port> je dříve nakonfigurované číslo portu.

Poznámka:

Pokud používáte ncat, ujistěte se, že jste zadali příznak -4ipv4 .

  1. Pokud agent odesílá data, ale váš SIEM nepřijal data, zkontrolujte protokol agenta SIEM. Pokud se zobrazí zprávy o odmítnutí připojení, ujistěte se, že je váš agent SIEM nakonfigurovaný tak, aby používal protokol TLS 1.2 nebo novější.

Krok 3 – Odebrání agenta SIEM pro obnovení

  1. Agent SIEM pro obnovení automaticky zastaví odesílání dat a po dosažení koncového data se zakáže.
  2. Ověřte v systému SIEM, že agent SIEM pro obnovení neposílají žádná nová data.
  3. Zastavte spuštění agenta na vašem zařízení.
  4. Na portálu přejděte na stránku agenta SIEM a odeberte agenta SIEM pro obnovení.
  5. Ujistěte se, že váš původní agent SIEM stále běží správně.

Obecné řešení potíží

Ujistěte se, že stav agenta SIEM na portálu Microsoft Defender for Cloud Apps není Připojení chyba nebo Odpojeno a nejsou k dispozici žádná oznámení agenta. Stav se zobrazí jako chyba Připojení, pokud je připojení po dobu delší než dvě hodiny dole. Stav se změní na Odpojeno, pokud je připojení po dobu více než 12 hodin vypnuté .

Pokud se na příkazovém řádku při spouštění agenta zobrazí jedna z následujících chyb, použijte k nápravě problému následující postup:

Chyba Popis Rozlišení
General error during bootstrap (Obecná chyba při spuštění) Neočekávaná chyba v průběhu spuštění agenta Obraťte se na podporu.
Too many critical errors (Příliš mnoho kritických chyb) Při připojení ke konzole nastalo příliš mnoho kritických chyb. Agent se vypne. Obraťte se na podporu.
Invalid token (Neplatný token) Zadaný token není platný. Ujistěte se, že jste zkopírovali správný token. S použitím výše uvedeného postupu můžete token znovu vygenerovat.
Invalid proxy address (Neplatná adresa proxy serveru) Zadanou adresu proxy serveru není platná. Ujistěte se, že jste zadali správné hodnoty pro proxy a port.

Po vytvoření agenta zkontrolujte stránku agenta SIEM na portálu Defender for Cloud Apps. Pokud se zobrazí některá z následujících oznámení agenta, při řešení problému postupujte následovně:

Chyba Popis Rozlišení
Vnitřní chyba Došlo k neznámé chybě agenta SIEM. Obraťte se na podporu.
Chyba odesílání u datového serveru Tato chyba se může zobrazit, pokud pracujete se serverem Syslog přes protokol TCP. Agent SIEM se nemůže připojit k vašemu serveru Syslog. Pokud se zobrazí tato chyba, agent přestane stahovat nové aktivity, dokud nebude opravený. Nezapomeňte postupovat podle pokynů k nápravě, dokud se chyba nezobrazí. 1. Ujistěte se, že jste správně definovali server Syslog: V uživatelském rozhraní Defenderu pro Cloud Apps upravte agenta SIEM, jak je popsáno výše. Ujistěte se, že jste správně napsali název serveru a nastavili správný port.
2. Zkontrolujte připojení k vašemu Syslog serveru: Ujistěte se, že brána firewall neblokuje komunikaci.
Chyba připojení datového serveru Tato chyba se může zobrazit, pokud pracujete se serverem Syslog přes protokol TCP. Agent SIEM se nemůže připojit k vašemu serveru Syslog. Pokud se zobrazí tato chyba, agent přestane stahovat nové aktivity, dokud nebude opravený. Nezapomeňte postupovat podle pokynů k nápravě, dokud se chyba nezobrazí. 1. Ujistěte se, že jste správně definovali server Syslog: V uživatelském rozhraní Defenderu pro Cloud Apps upravte agenta SIEM, jak je popsáno výše. Ujistěte se, že jste správně napsali název serveru a nastavili správný port.
2. Zkontrolujte připojení k vašemu Syslog serveru: Ujistěte se, že brána firewall neblokuje komunikaci.
Chyba agenta SIEM Agent SIEM byl odpojený po delší dobu než X h Ujistěte se, že jste na portálu Defender for Cloud Apps nezměnili konfiguraci SIEM. V opačném případě může tato chyba značit problémy s připojením mezi Defenderem pro Cloud Apps a počítačem, na kterém spouštíte agenta SIEM.
Chyba oznámení agenta SIEM Z agenta SIEM dorazily chyby přeposlání oznámení agenta SIEM. Tato chyba značí, že jste obdrželi chyby týkající se připojení mezi agentem SIEM a serverem SIEM. Ujistěte se, že váš server SIEM neblokuje brána firewall ani počítač, na kterém spouštíte agenta SIEM. Zkontrolujte také, že se nezměnila IP adresa serveru SIEM. Pokud jste nainstalovali aktualizaci Java Runtime Engine (JRE) 291 nebo vyšší, postupujte podle pokynů v tématu Problém s novými verzemi Javy.

Problém s novými verzemi Javy

Novější verze Javy můžou způsobovat problémy s agentem SIEM. Pokud jste nainstalovali aktualizaci Java Runtime Engine (JRE) 291 nebo novější, postupujte takto:

  1. V příkazovém řádku PowerShellu se zvýšenými oprávněními přepněte do složky při instalaci jazyka Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Stáhněte si všechny následující certifikáty certifikační autority vydávající protokol Azure TLS.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importujte každý soubor CRT certifikátu CERTIFIKAČNÍ AUTORITy do úložiště klíčů Java pomocí výchozí změny hesla úložiště klíčů.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Pokud to chcete ověřit, zobrazte úložiště klíčů Java pro azure TLS vydávající aliasy certifikátů certifikační autority uvedené výše.

        keytool -list -keystore ..\lib\security\cacerts

  5. Spusťte agenta SIEM a zkontrolujte nový soubor protokolu trasování a ověřte úspěšné připojení.

Další kroky

Osvědčené postupy pro ochranu vaší organizace

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.