Problembehandlung bei der SIEM-Integration

  • Artikel

Dieser Artikel stellt eine Liste der möglichen Probleme bereit, die bei der Verbindung von SIEM mit Defender for Cloud Apps auftreten können, und bietet mögliche Lösungen an.

Wiederherstellen fehlender Aktivitätsereignisse in Defender for Cloud Apps SIEM-Agent

Bevor Sie fortfahren, überprüfen Sie, ob Ihre Defender for Cloud Apps-Lizenz die SIEM-Integration unterstützt, die Sie konfigurieren möchten.

Wenn Sie eine Systemwarnung bezüglich eines Problems mit der Aktivitätsübermittlung über den SIEM-Agent erhalten haben, führen Sie die folgenden Schritte aus, um die Aktivitätsereignisse im Zeitrahmen des Problems wiederherzustellen. Diese Schritte führen Sie durch das Einrichten eines neuen SIEM-Agents für die Wiederherstellung, der parallel ausgeführt wird und die Aktivitätsereignisse an Ihr SIEM erneut senden wird.

Hinweis

Der Wiederherstellungsvorgang sendet alle Aktivitätsereignisse im in der Systemwarnung beschriebenen Zeitrahmen erneut. Wenn Ihr SIEM bereits Aktivitätsereignisse aus diesem Zeitrahmen enthält, treten nach dieser Wiederherstellung duplizierte Ereignisse auf.

Schritt 1 – Konfigurieren eines neuen SIEM-Agents parallel zu Ihrem vorhandenen Agent

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter System SIEM-Agent aus. Wählen Sie einen neuen SIEM-Agent hinzufügen, und verwenden Sie den Assistenten, um die Verbindungsdetails mit Ihrem SIEM zu konfigurieren. Sie können beispielsweise eine Richtlinie mit der folgenden Konfiguration erstellen:

    • Protokoll: TCP
    • Remotehost: Jedes Gerät, auf dem Sie einem Port lauschen können. Eine einfache Lösung wäre beispielsweise, dasselbe Gerät wie der Agent zu verwenden und die IP-Adresse des Remotehosts auf 127.0.0.1 festzulegen
    • Port: Jeder Port, dem Sie auf dem Remotehostgerät lauschen können

    Hinweis

    Dieser Agent sollte parallel zum vorhandenen Agent ausgeführt werden, sodass die Netzwerkkonfiguration möglicherweise nicht identisch ist.

  3. Konfigurieren Sie im Assistenten die Datentypen so, dass nur Aktivitäten enthalten sind, und wenden Sie denselben Aktivitätsfilter an, der in Ihrem ursprünglichen SIEM-Agent verwendet wurde (sofern vorhanden).

  4. Speichern Sie die Einstellungen.

  5. Führen Sie den neuen Agent mit dem generierten Token aus.

Schritt 2 – Überprüfen der erfolgreichen Datenübermittlung an Ihr SIEM

Die Konfiguration kann mithilfe der folgenden Schritte überprüft werden:

  1. Verbinden Sie sich mit Ihrem SIEM und überprüfen Sie, ob neue Daten vom neuen SIEM-Agenten empfangen werden, den Sie konfiguriert haben.

Hinweis

Der Agent sendet nur Aktivitäten im Zeitrahmen des Problems, dessentwegen Sie benachrichtigt wurden.

  1. Wenn Daten nicht von Ihrem SIEM empfangen werden, versuchen Sie auf dem neuen SIEM-Agent-Gerät, dem Port zu lauschen, den Sie für die Weiterleitung von Aktivitäten konfiguriert haben, um festzustellen, ob Daten vom Agent an das SIEM gesendet werden. Führen Sie beispielsweise netcat -l <port> mit <port> als zuvor konfigurierter Portnummer aus.

Hinweis

Wenn Sie ncat verwenden, stellen Sie sicher, dass Sie das ipv4-Flag -4angeben.

  1. Wenn Daten vom Agent gesendet, aber nicht von Ihrem SIEM empfangen werden, überprüfen Sie das SIEM-Agent-Protokoll. Wenn Nachrichten „Verbindung verweigert“ angezeigt werden, stellen Sie sicher, dass Ihr SIEM-Agent für die Verwendung von TLS 1.2 oder höher konfiguriert ist.

Schritt 3 – Entfernen des SIEM-Agents

  1. Der Siem-Agent für die Wiederherstellung beendet das Senden von Daten automatisch und wird deaktiviert, sobald er das Enddatum erreicht hat.
  2. Überprüfen Sie in Ihrem SIEM, dass keine neuen Daten vom SIEM-Agent für die Wiederherstellung gesendet werden.
  3. Beenden Sie die Ausführung des Agenten auf Ihrem Gerät.
  4. Gehen Sie im Portal zur SIEM-Agent-Seite, und entfernen Sie den SIEM-Agent für die Wiederherstellung.
  5. Stellen Sie sicher, dass Ihr ursprünglicher SIEM-Agent weiterhin ordnungsgemäß ausgeführt wird.

Allgemeine Problembehandlung

Stellen Sie sicher, dass der Status des SIEM-Agents im Microsoft Defender for Cloud Apps-Portal nicht Verbindungsfehler oder Getrennt lautet und keine Agent-Benachrichtigungen vorhanden sind. Der Status wird als Verbindungsfehler angezeigt, wenn länger als zwei Stunden keine Verbindung besteht. Der Status ändert sich zu Getrennt, wenn länger als 12 Stunden keine Verbindung besteht.

Wenn Sie einen der folgenden Fehler in der Eingabeaufforderung sehen, während der Agent ausgeführt wird, gehen Sie folgendermaßen vor, um das Problem zu beheben:

Error Beschreibung Lösung
Allgemeiner Fehler beim Bootstrap Unerwarteter Fehler beim Agent-Bootstrap. Wenden Sie sich an den Support.
Zu viele kritische Fehler Zu viele kritische Fehler beim Herstellen der Konsolenverbindung. Wird heruntergefahren. Wenden Sie sich an den Support.
Ungültiges Token Das bereitgestellte Token ist ungültig. Stellen Sie sicher, dass Sie das richtige Token kopiert haben. Sie können das Token anhand des oben beschriebenen Prozesses neu generieren.
Ungültige Proxyadresse Die angegebene Proxyadresse ist ungültig. Stellen Sie sicher, dass Sie den richtigen Proxy und Port eingegeben haben.

Überprüfen Sie nach dem Erstellen des Agents die Seite für den SIEM-Agent im Defender for Cloud Apps-Portal. Wenn Sie eine der folgenden Agent-Benachrichtigungen sehen, gehen Sie folgendermaßen vor, um das Problem zu beheben:

Error Beschreibung Lösung
Interner Fehler Unbekanntes Problem im Zusammenhang mit dem SIEM-Agent. Wenden Sie sich an den Support.
Data server send error (Datenserverversandfehler) Dieser Fehler kann angezeigt werden, wenn Sie über TCP mit einem Syslog-Server arbeiten. Der SIEM-Agent kann keine Verbindung mit Ihrem Syslog-Server herstellen. Wenn dieser Fehler angezeigt wird, ruft der Agent erst dann wieder neue Aktivitäten ab, wenn der Fehler behoben ist. Stellen Sie sicher, dass Sie die Schritte zur Fehlerbehebung ausführen, bis der Fehler nicht mehr angezeigt wird. 1. Stellen Sie sicher, dass Sie Ihren Syslog-Server ordnungsgemäß definiert haben: Bearbeiten Sie Ihren SIEM-Agent in der Defender for Cloud Apps-Benutzeroberfläche wie oben beschrieben. Stellen Sie sicher, dass der Name des Servers richtig geschrieben und der richtige Port angegeben ist.
2. Überprüfen Sie die Verbindung mit dem Syslog-Server: Achten Sie darauf, dass die Firewall die Kommunikation nicht blockiert.
Data server connection error (Datenserververbindungsfehler) Dieser Fehler kann angezeigt werden, wenn Sie über TCP mit einem Syslog-Server arbeiten. Der SIEM-Agent kann keine Verbindung mit Ihrem Syslog-Server herstellen. Wenn dieser Fehler angezeigt wird, ruft der Agent erst dann wieder neue Aktivitäten ab, wenn der Fehler behoben ist. Stellen Sie sicher, dass Sie die Schritte zur Fehlerbehebung ausführen, bis der Fehler nicht mehr angezeigt wird. 1. Stellen Sie sicher, dass Sie Ihren Syslog-Server ordnungsgemäß definiert haben: Bearbeiten Sie Ihren SIEM-Agent in der Defender for Cloud Apps-Benutzeroberfläche wie oben beschrieben. Stellen Sie sicher, dass der Name des Servers richtig geschrieben und der richtige Port angegeben ist.
2. Überprüfen Sie die Verbindung mit dem Syslog-Server: Achten Sie darauf, dass die Firewall die Kommunikation nicht blockiert.
Fehler beim SIEM-Agent Der SIEM-Agent ist seit mehr als X Stunden getrennt Stellen Sie sicher, dass Sie die SIEM-Konfiguration im Defender for Cloud Apps-Portal nicht geändert haben. Andernfalls kann dieser Fehler auf Verbindungsprobleme zwischen Defender for Cloud Apps und dem Computer hinweisen, auf dem Sie den SIEM-Agent ausführen.
SIEM-Agent-Benachrichtigungsfehler Die SIEM-Agent-Benachrichtigung, dass weitergeleitete Fehler von einem SIEM-Agent empfangen wurden. Dies bedeutet, dass Sie Fehler bezüglich der Verbindung zwischen dem SIEM-Agent und Ihrem SIEM-Server erhalten haben. Stellen Sie sicher, dass Ihr SIEM-Server oder der Computer, auf dem Sie den SIEM-Agent ausführen, nicht von einer Firewall blockiert wird. Stellen Sie außerdem sicher, dass die IP-Adresse des SIEM-Servers nicht geändert wurde. Wenn Sie Java Runtime Engine (JRE)-Update 291 oder höher installiert haben, befolgen Sie die Anweisungen in Problem mit neuen Versionen von Java.

Problem mit neuen Versionen von Java

Neuere Versionen von Java können Probleme mit dem SIEM-Agent verursachen. Wenn Sie Java Runtime Engine (JRE)-Update 291 oder höher installiert haben, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten zum Ordner „Java-Installationscontainer“.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Laden Sie jedes der folgenden Azure TLS Issuing CA-Zertifikate herunter.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importieren Sie jede CRT-Datei des Zertifizierungsstellenzertifikats in den Java-Schlüsselspeicher, indem Sie das Standardkennwort changeitfür den Schlüsselspeicher verwenden.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Um dies zu überprüfen, zeigen Sie den Java-Keystore für Azure TLS-Zertifikataliasen an, die oben aufgeführt sind.

        keytool -list -keystore ..\lib\security\cacerts

  5. Starten Sie den SIEM-Agent, und überprüfen Sie die neue Ablaufverfolgungsprotokolldatei, um eine erfolgreiche Verbindung zu bestätigen.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer Organisation

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.