Résolution des problèmes d’intégration de SIEM

  • Article

Cet article liste les problèmes qui peuvent se produire lors de la connexion de votre système de Gestion des informations et des événements de sécurité (SIEM) à Defender for Cloud Apps et propose des résolutions possibles.

Récupérer les événements d’activité manquants dans l’agent SIEM de Defender for Cloud Apps

Avant de continuer, vérifiez que votre licence Defender for Cloud Apps prend en charge l’intégration de SIEM que vous essayez de configurer.

Si vous avez reçu une alerte système concernant un problème de livraison d’activité via l’agent SIEM, suivez les étapes ci-dessous pour récupérer les événements d’activité dans la période du problème. Ces étapes vous guideront tout au long de la configuration d’un nouvel agent SIEM de récupération qui s’exécutera en parallèle et renverra les événements d’activité à votre SIEM.

Remarque

Le processus de récupération renvoie tous les événements d’activité dans la période décrite dans l’alerte système. Si votre SIEM contient déjà des événements d’activité à partir de cette période, vous rencontrerez des événements en duplicata après cette récupération.

Étape 1 : Configurer un nouvel agent SIEM en parallèle avec votre agent existant

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Système, sélectionnez Agent SIEM. Sélectionnez ensuite Ajouter un nouvel agent SIEM et utilisez l’Assistant pour configurer les détails de connexion à votre SIEM. Par exemple, vous pouvez créer une stratégie avec la configuration suivante :

    • Protocole : TCP
    • Hôte distant : tout appareil où vous pouvez écouter un port. Par exemple, une solution simple consiste à utiliser le même appareil que l’agent et à définir l’adresse IP de l’hôte distant sur 127.0.0.1
    • Port : n’importe quel port que vous pouvez écouter sur l’appareil hôte distant

    Remarque

    Cet agent doit s’exécuter en parallèle à celui existant. La configuration réseau n’est donc pas forcément identique.

  3. Dans l’Assistant, configurez les types de données pour inclure uniquement les activités et appliquer le même filtre d’activité que celui utilisé dans votre agent SIEM d’origine (s’il existe).

  4. Enregistrez les paramètres.

  5. Exécutez le nouvel agent à l’aide du jeton généré.

Étape 2 : Valider la livraison des données réussie à votre SIEM

Procédez comme suit pour valider votre configuration :

  1. Connectez-vous à votre SIEM et vérifiez que de nouvelles données sont reçues du nouvel agent SIEM que vous avez configuré.

Remarque

L’agent envoie uniquement les activités dans la période du problème sur lequel vous avez été alerté.

  1. Si les données ne sont pas reçues par votre SIEM, sur le nouvel appareil de l’agent SIEM, essayez d’écouter le port que vous avez configuré pour transférer les activités pour voir si les données sont envoyées de l’agent à SIEM. Par exemple, exécutez netcat -l <port><port> se trouve le numéro de port précédemment configuré.

Remarque

Si vous utilisez ncat, vérifiez que vous spécifiez l’indicateur -4ipv4.

  1. Si les données sont envoyées par l’agent, mais non reçues par votre SIEM, consultez le journal de l’agent SIEM. Si vous voyez des messages « connexion refusée », vérifiez que votre agent SIEM est configuré pour utiliser TLS 1.2 ou une version ultérieure.

Étape 3 : Supprimer l’agent SIEM de récupération

  1. L’agent SIEM de récupération cesse automatiquement d’envoyer des données et est désactivé une fois qu’il atteint la date d’expiration.
  2. Confirmez dans votre SIEM qu’aucune nouvelle donnée n’est envoyée par l’agent SIEM de récupération.
  3. Arrêtez l’exécution de l’agent sur votre appareil.
  4. Dans le portail, accédez à la page de l’agent SIEM et supprimez l’agent SIEM de récupération.
  5. Vérifiez que votre agent SIEM d’origine s’exécute toujours correctement.

Résolution générale des problèmes

Vérifiez que l’agent SIEM n’affiche pas l’état Erreur de connexion ou Déconnecté dans le portail Microsoft Defender for Cloud Apps et qu’il ne fait pas l’objet de notifications. Si la connexion est interrompue pendant plus de deux heures, l’état affiché est le suivant : Erreur de connexion. Si la connexion est interrompue depuis plus de 12 heures, l’état passe à Déconnecté.

Si vous voyez une des erreurs suivantes dans l’invite de commandes lors de l’exécution de l’agent, procédez comme suit pour corriger le problème :

Erreur Description Résolution
Erreur générale pendant l’amorçage Erreur inattendue pendant le démarrage de l’agent. Contactez le support technique.
Trop d’erreurs critiques Trop d’erreurs critiques se sont produites lors de la connexion de la console. Arrêt. Contactez le support technique.
Jeton non valide Le jeton fourni n’est pas valide. Vérifiez que vous avez copié le jeton approprié. Vous pouvez utiliser le processus ci-dessus pour régénérer le jeton.
Adresse de proxy non valide L’adresse de proxy fournie n’est pas valide. Vérifiez que vous avez entré le proxy et le port appropriés.

Après avoir créé l’agent, consultez la page de l’agent SIEM dans le portail Defender for Cloud Apps. Si vous voyez l’une des Notifications de l’agent suivantes, procédez comme suit pour corriger le problème :

Erreur Description Résolution
Erreur interne Quelque chose d’inconnu s’est produit avec votre agent SIEM. Contactez le support technique.
Erreur d’envoi du serveur de données Vous pouvez recevoir cette erreur si vous travaillez avec un serveur Syslog sur TCP. L’agent SIEM ne peut pas se connecter à votre serveur Syslog. Si vous recevez cette erreur, l’agent cesse d’extraire de nouvelles activités tant qu’elle n’est pas résolue. Veillez à suivre les étapes de correction jusqu’à ce que l’erreur n’apparaisse plus. 1. Vérifiez que vous avez défini correctement votre serveur Syslog : dans l’interface utilisateur de Defender for Cloud Apps, modifiez votre agent SIEM comme décrit ci-dessus. Vérifiez que vous avez écrit correctement le nom du serveur et défini le port approprié.
2. Vérifiez la connectivité à votre serveur Syslog : vérifiez que votre pare-feu ne bloque pas la communication.
Erreur de connexion du serveur de données Vous pouvez recevoir cette erreur si vous travaillez avec un serveur Syslog sur TCP. L’agent SIEM ne peut pas se connecter à votre serveur Syslog. Si vous recevez cette erreur, l’agent cesse d’extraire de nouvelles activités tant qu’elle n’est pas résolue. Veillez à suivre les étapes de correction jusqu’à ce que l’erreur n’apparaisse plus. 1. Vérifiez que vous avez défini correctement votre serveur Syslog : dans l’interface utilisateur de Defender for Cloud Apps, modifiez votre agent SIEM comme décrit ci-dessus. Vérifiez que vous avez écrit correctement le nom du serveur et défini le port approprié.
2. Vérifiez la connectivité à votre serveur Syslog : vérifiez que votre pare-feu ne bloque pas la communication.
Erreur de l’agent SIEM L’agent SIEM est déconnecté depuis plus de X heures Vérifiez que vous n’avez pas modifié la configuration de l’agent SIEM dans le portail Defender for Cloud Apps. Sinon, cette erreur peut signaler un problème de connectivité entre Defender for Cloud Apps et l’ordinateur sur lequel vous exécutez l’agent SIEM.
Erreur de notification de l’agent SIEM Des erreurs de transfert de notification de l’agent SIEM ont été reçues d’un agent SIEM. Cette erreur indique que vous avez reçu des erreurs concernant la connexion entre l’agent SIEM et votre serveur SIEM. Vérifiez qu’aucun pare-feu ne bloque votre serveur SIEM ou l’ordinateur sur lequel vous exécutez l’agent SIEM. Vérifiez aussi que l’adresse IP du serveur SIEM n’a pas changé. Si vous avez installé Java Runtime Engine (JRE) mise à jour 291 ou ultérieure, suivez les instructions dans Problème avec les nouvelles versions de Java.

Problème avec les nouvelles versions de Java

Les versions plus récentes de Java peuvent entraîner des problèmes avec l’agent SIEM. Si vous avez installé Java Runtime Engine (JRE) mise à jour 291 ou version ultérieure, procédez comme suit :

  1. Dans une invite PowerShell avec élévation de privilèges, basculez vers le dossier bin d’installation Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Téléchargez chacun des certificats d’autorité de certification émettrice Azure TLS suivants.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importez chaque fichier CRT de certificat d’autorité de certification dans le magasin de clés Java à l’aide du mot de passe de magasin de clés par défaut changeit.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Pour vérifier, affichez le magasin de clés Java pour les alias de certificat d’autorité de certification émettrice Azure TLS répertoriés ci-dessus.

        keytool -list -keystore ..\lib\security\cacerts

  5. Démarrez l’agent SIEM et passez en revue le nouveau fichier journal des traces pour confirmer une connexion réussie.

Étapes suivantes

Meilleures pratiques pour la protection de votre organisation

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.