Pemecahan masalah integrasi SIEM

  • Artikel

Artikel ini menyediakan daftar kemungkinan masalah saat menyambungkan SIEM Anda ke aplikasi Defender untuk Cloud dan memberikan kemungkinan resolusi.

Memulihkan peristiwa aktivitas yang hilang di Agen SIEM Aplikasi Defender untuk Cloud

Sebelum melanjutkan, periksa apakah lisensi Defender untuk Cloud Apps Anda mendukung integrasi SIEM yang coba Anda konfigurasi.

Jika Anda menerima pemberitahuan sistem mengenai masalah dengan pengiriman aktivitas melalui agen SIEM, ikuti langkah-langkah di bawah ini untuk memulihkan peristiwa aktivitas dalam jangka waktu masalah. Langkah-langkah ini akan memandu Anda menyiapkan agen SIEM Pemulihan baru yang akan berjalan secara paralel dan mengirim ulang peristiwa aktivitas ke SIEM Anda.

Catatan

Proses pemulihan akan mengirim ulang semua peristiwa aktivitas dalam jangka waktu yang dijelaskan dalam pemberitahuan sistem. Jika SIEM Anda sudah berisi peristiwa aktivitas dari jangka waktu ini, Anda akan mengalami peristiwa duplikat setelah pemulihan ini.

Langkah 1 - Mengonfigurasi Agen SIEM baru secara paralel dengan agen Anda yang ada

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah Sistem, pilih Agen SIEM. Kemudian pilih tambahkan agen SIEM baru, dan gunakan wizard untuk mengonfigurasi detail koneksi ke SIEM Anda. Misalnya, Anda dapat membuat agen SIEM baru dengan konfigurasi berikut:

    • Protocol: TCP
    • Host jarak jauh: Perangkat apa pun tempat Anda dapat mendengarkan port. Misalnya, solusi sederhana adalah menggunakan perangkat yang sama dengan agen dan mengatur alamat IP host jarak jauh ke 127.0.0.1
    • Port: Port apa pun yang dapat Anda dengarkan di perangkat host jarak jauh

    Catatan

    Agen ini harus berjalan secara paralel dengan yang ada, sehingga konfigurasi jaringan mungkin tidak identik.

  3. Dalam wizard, konfigurasikan Jenis Data untuk hanya menyertakan Aktivitas dan terapkan filter aktivitas yang sama yang digunakan di agen SIEM asli Anda (jika ada).

  4. Simpan pengaturan.

  5. Jalankan agen baru menggunakan token yang dihasilkan.

Langkah 2 - Validasi pengiriman data yang berhasil ke SIEM Anda

Gunakan langkah-langkah berikut untuk memvalidasi konfigurasi Anda:

  1. Koneksi ke SIEM Anda dan periksa apakah data baru diterima dari agen SIEM baru yang Anda konfigurasikan.

Catatan

Agen hanya akan mengirim aktivitas dalam jangka waktu masalah tempat Anda diberi tahu.

  1. Jika data tidak diterima oleh SIEM Anda, maka pada perangkat agen SIEM baru, coba dengarkan port yang Anda konfigurasi untuk meneruskan aktivitas untuk melihat apakah data dikirim dari agen ke SIEM. Misalnya, jalankan netcat -l <port> di mana <port> adalah nomor port yang dikonfigurasi sebelumnya.

Catatan

Jika Anda menggunakan ncat, pastikan Anda menentukan bendera -4ipv4 .

  1. Jika data dikirim oleh agen tetapi tidak diterima oleh SIEM Anda, periksa log agen SIEM. Jika Anda dapat melihat pesan "koneksi ditolak", pastikan agen SIEM Anda dikonfigurasi untuk menggunakan TLS 1.2 atau yang lebih baru.

Langkah 3 - Hapus agen SIEM Pemulihan

  1. Agen SIEM pemulihan akan secara otomatis berhenti mengirim data dan dinonaktifkan setelah mencapai tanggal akhir.
  2. Validasi di SIEM Anda bahwa tidak ada data baru yang dikirim oleh agen SIEM pemulihan.
  3. Hentikan eksekusi agen di perangkat Anda.
  4. Di portal, buka halaman Agen SIEM dan hapus agen SIEM pemulihan.
  5. Pastikan Agen SIEM asli Anda masih berjalan dengan benar.

Pemecahan Masalah Umum

Pastikan status agen SIEM di portal aplikasi Microsoft Defender untuk Cloud tidak Koneksi kesalahan atau Terputus dan tidak ada pemberitahuan agen. Status ditampilkan sebagai kesalahan Koneksi ion jika koneksi tidak berfungsi selama lebih dari dua jam. Status berubah menjadi Terputus jika koneksi tidak berfungsi selama lebih dari 12 jam.

Jika Anda melihat salah satu kesalahan berikut dalam perintah cmd saat menjalankan agen, gunakan langkah-langkah berikut untuk memulihkan masalah:

Kesalahan Deskripsi Resolusi
Kesalahan umum selama bootstrap Kesalahan tak terduga selama bootstrap agen. Hubungi dukungan.
Terlalu banyak kesalahan kritis Terlalu banyak kesalahan kritis yang terjadi saat menyambungkan konsol. Dimatikan. Hubungi dukungan.
Token tidak valid Token yang disediakan tidak valid. Pastikan Anda menyalin token yang tepat. Anda dapat menggunakan proses di atas untuk meregenerasi token.
Alamat proksi tidak valid Alamat proksi yang disediakan tidak valid. Pastikan Anda memasukkan proksi dan port yang tepat.

Setelah membuat agen, periksa halaman agen SIEM di portal aplikasi Defender untuk Cloud. Jika Anda melihat salah satu pemberitahuan Agen berikut, gunakan langkah-langkah berikut untuk memulihkan masalah:

Kesalahan Deskripsi Resolusi
Kesalahan internal Sesuatu yang tidak diketahui salah dengan agen SIEM Anda. Hubungi dukungan.
Kesalahan pengiriman server data Anda bisa mendapatkan kesalahan ini jika Anda bekerja dengan server Syslog melalui TCP. Agen SIEM tidak dapat tersambung ke server Syslog Anda. Jika Anda mendapatkan kesalahan ini, agen akan berhenti menarik aktivitas baru sampai diperbaiki. Pastikan untuk mengikuti langkah-langkah remediasi hingga kesalahan berhenti muncul. 1. Pastikan Anda mendefinisikan server Syslog dengan benar: Di antarmuka pengguna aplikasi Defender untuk Cloud, edit agen SIEM Anda seperti yang dijelaskan di atas. Pastikan Anda menulis nama server dengan benar dan mengatur port yang tepat.
2. Periksa konektivitas ke server Syslog Anda: Pastikan firewall Anda tidak memblokir komunikasi.
Kesalahan koneksi server data Anda bisa mendapatkan kesalahan ini jika Anda bekerja dengan server Syslog melalui TCP. Agen SIEM tidak dapat tersambung ke server Syslog Anda. Jika Anda mendapatkan kesalahan ini, agen akan berhenti menarik aktivitas baru sampai diperbaiki. Pastikan untuk mengikuti langkah-langkah remediasi hingga kesalahan berhenti muncul. 1. Pastikan Anda mendefinisikan server Syslog dengan benar: Di antarmuka pengguna aplikasi Defender untuk Cloud, edit agen SIEM Anda seperti yang dijelaskan di atas. Pastikan Anda menulis nama server dengan benar dan mengatur port yang tepat.
2. Periksa konektivitas ke server Syslog Anda: Pastikan firewall Anda tidak memblokir komunikasi.
Kesalahan agen SIEM Agen SIEM telah terputus selama lebih dari X jam Pastikan Anda tidak mengubah konfigurasi SIEM di portal aplikasi Defender untuk Cloud. Jika tidak, kesalahan ini dapat menunjukkan masalah konektivitas antara aplikasi Defender untuk Cloud dan komputer tempat Anda menjalankan agen SIEM.
Kesalahan pemberitahuan agen SIEM Kesalahan penerusan pemberitahuan agen SIEM diterima dari agen SIEM. Kesalahan ini menunjukkan bahwa Anda telah menerima kesalahan tentang koneksi antara agen SIEM dan server SIEM Anda. Pastikan tidak ada firewall yang memblokir server SIEM atau komputer tempat Anda menjalankan agen SIEM. Selain itu, periksa apakah alamat IP server SIEM tidak diubah. Jika Anda telah menginstal pembaruan Java Runtime Engine (JRE) 291 atau yang lebih tinggi, ikuti petunjuk dalam Masalah dengan versi baru Java.

Masalah dengan versi baru Java

Versi Java yang lebih baru dapat menyebabkan masalah dengan agen SIEM. Jika Anda telah menginstal pembaruan Java Runtime Engine (JRE) 291 atau yang lebih tinggi, ikuti langkah-langkah berikut:

  1. Dalam prompt PowerShell yang ditingkatkan, beralihlah ke folder bin penginstalan Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Unduh masing-masing sertifikat AZURE TLS Issuing CA berikut.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Impor setiap file CRT sertifikat CA ke keystore Java, menggunakan keystore password changeit default.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Untuk memverifikasi, lihat keystore Java untuk alias sertifikat CA penerbit Azure TLS yang tercantum di atas.

        keytool -list -keystore ..\lib\security\cacerts

  5. Mulai agen SIEM dan tinjau file log jejak baru untuk mengonfirmasi koneksi yang berhasil.

Langkah berikutnya

Praktik terbaik untuk melindungi organisasi Anda

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.