Risoluzione dei problemi dell'agente SIEM

  • Articolo
  • 7 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo fornisce un elenco dei possibili problemi durante la connessione di SIEM a app Defender per il cloud e fornisce possibili soluzioni.

Ripristinare gli eventi di attività mancanti nell'agente SIEM delle app Defender per il cloud

Prima di procedere, verificare che la licenza di Defender per il cloud Apps supporti l'integrazione SIEM che si sta tentando di configurare.

Se è stato ricevuto un avviso di sistema relativo a un problema relativo al recapito delle attività tramite l'agente SIEM, seguire questa procedura per ripristinare gli eventi di attività nell'intervallo di tempo del problema. Questi passaggi consentono di configurare un nuovo agente SIEM di ripristino che verrà eseguito in parallelo e di inviare di nuovo gli eventi di attività al siem.

Nota

Il processo di ripristino invia nuovamente tutti gli eventi di attività nell'intervallo di tempo descritto nell'avviso di sistema. Se siem contiene già eventi di attività da questo intervallo di tempo, si verificano eventi duplicati dopo questo ripristino.

Passaggio 1: Configurare un nuovo agente SIEM in parallelo all'agente esistente

  1. Nel portale delle app Defender per il cloud passare alla pagina Estensioni di sicurezza.

  2. Nella scheda Agenti SIEM selezionare Aggiungi un nuovo agente SIEM e usare la procedura guidata per configurare i dettagli della connessione al siem. Ad esempio, è possibile creare un nuovo agente SIEM con la configurazione seguente:

    • Protocollo: TCP
    • Host remoto: qualsiasi dispositivo in cui è possibile restare in ascolto di una porta. Ad esempio, una soluzione semplice consiste nell'usare lo stesso dispositivo dell'agente e impostare l'indirizzo IP dell'host remoto su 127.0.0.1
    • Porta: qualsiasi porta che è possibile restare in ascolto nel dispositivo host remoto

    Nota

    Questo agente deve essere eseguito in parallelo a quello esistente, quindi la configurazione di rete potrebbe non essere identica.

  3. Nella procedura guidata configurare i tipi di dati in modo che includano solo attività e applichino lo stesso filtro attività usato nell'agente SIEM originale (se esistente).

  4. Salvare le impostazioni.

  5. Eseguire il nuovo agente usando il token generato.

Passaggio 2: convalidare la corretta distribuzione dei dati al siem

Per convalidare la configurazione, seguire questa procedura:

  1. Connessione al siem e verificare che i nuovi dati vengano ricevuti dal nuovo agente SIEM configurato.

Nota

L'agente invierà attività solo nell'intervallo di tempo del problema in cui si è verificato l'avviso.

  1. Se i dati non vengono ricevuti dal siem, nel nuovo dispositivo dell'agente SIEM provare ad ascoltare la porta configurata per inoltrare le attività per verificare se i dati vengono inviati dall'agente al SIEM. Ad esempio, eseguire netcat -l <port> dove <port> è il numero di porta configurato in precedenza.

Nota

Se si usa ncat, assicurarsi di specificare il flag -4ipv4 .

  1. Se i dati vengono inviati dall'agente ma non ricevuti dal siem, controllare il log dell'agente SIEM. Se è possibile visualizzare i messaggi "connessione rifiutata", assicurarsi che l'agente SIEM sia configurato per l'uso di TLS 1.2 o versione successiva.

Passaggio 3: Rimuovere l'agente SIEM di ripristino

  1. L'agente SIEM di ripristino interromperà automaticamente l'invio dei dati e verrà disabilitato quando raggiunge la data di fine.
  2. Verificare in SIEM che non vengano inviati nuovi dati dall'agente SIEM di ripristino.
  3. Arrestare l'esecuzione dell'agente nel dispositivo.
  4. Nel portale passare alla pagina Agente SIEM e rimuovere l'agente SIEM di ripristino.
  5. Assicurarsi che l'agente SIEM originale sia ancora in esecuzione correttamente.

Risoluzione dei problemi generali

Assicurarsi che lo stato dell'agente SIEM nel portale di Microsoft Defender for Cloud Apps non sia Errore di connessione o Disconnesso e che non siano presenti notifiche dell'agente. Lo stato risulta Errore di connessione se la connessione è inattiva da più di due ore. Lo stato diventa Disconnesso se la connessione rimane inattiva per più di 12 ore.

Se durante l'esecuzione dell'agente il prompt dei comandi visualizza uno degli errori riportati di seguito, usare la procedura seguente per risolvere il problema:

Errore Descrizione Risoluzione
General error during bootstrap (Errore generale durante l'avvio) Errore imprevisto durante l'avvio dell'agente. Contattare il supporto tecnico.
Too many critical errors (Troppi errori critici) Si sono verificati troppi errori critici durante la connessione della console. Arresto. Contattare il supporto tecnico.
Token non valido Il token specificato non è valido. Assicurarsi di aver copiato il token corretto. È possibile rigenerare il token tramite il processo descritto in precedenza.
Indirizzo proxy non valido L'indirizzo proxy specificato non è valido. Assicurarsi di aver immesso il proxy e la porta corretti.

Dopo aver creato l'agente, controllare la pagina dell'agente SIEM nel portale delle app di Defender per il cloud. Se viene visualizzata una delle notifiche dell'agente seguenti, usare questa procedura per correggere il problema:

Errore Descrizione Risoluzione
Errore interno Si è verificato un errore sconosciuto dell'agente SIEM. Contattare il supporto tecnico.
Data server send error (Errore di invio server dati) Questo errore può verificarsi se si usa un server Syslog tramite il protocollo TCP. L'agente di informazioni di sicurezza e gestione degli eventi non riesce a connettersi al server Syslog. Se viene visualizzato questo errore, l'agente arresterà il pull di nuove attività fino a quando non viene risolto. Assicurarsi di seguire la procedura di correzione finché l'errore non viene più visualizzato. 1. Assicurarsi di aver definito correttamente il server Syslog: nell'interfaccia utente di Defender per il cloud Apps modificare l'agente SIEM come descritto in precedenza. Verificare di aver scritto correttamente il nome del server e di aver impostato la porta corretta.
2. Verificare la connessione al server syslog: assicurarsi che il firewall non blocchi la comunicazione.
Data server connection error (Errore di connessione server dati) Questo errore può verificarsi se si usa un server Syslog tramite il protocollo TCP. L'agente di informazioni di sicurezza e gestione degli eventi non riesce a connettersi al server Syslog. Se viene visualizzato questo errore, l'agente arresterà il pull di nuove attività fino a quando non viene risolto. Assicurarsi di seguire la procedura di correzione finché l'errore non viene più visualizzato. 1. Assicurarsi di aver definito correttamente il server Syslog: nell'interfaccia utente di Defender per il cloud Apps modificare l'agente SIEM come descritto in precedenza. Verificare di aver scritto correttamente il nome del server e di aver impostato la porta corretta.
2. Verificare la connessione al server syslog: assicurarsi che il firewall non blocchi la comunicazione.
SIEM agent error (Errore dell'agente SIEM) L'agente SIEM è disconnesso da oltre X ore. Assicurarsi di non aver modificato la configurazione SIEM nel portale delle app di Defender per il cloud. In caso contrario, questo errore potrebbe indicare problemi di connettività tra app Defender per il cloud e il computer in cui si esegue l'agente SIEM.
SIEM agent notification error (Errore di notifica dell'agente SIEM) Un agente SIEM ha ricevuto errori di inoltro notifiche. Questo errore indica che sono stati ricevuti errori relativi alla connessione tra l'agente SIEM e il server SIEM. Assicurarsi che il server di informazioni di sicurezza e gestione degli eventi o il computer in cui è in esecuzione l'agente di informazioni di sicurezza e gestione degli eventi non sia bloccato da un firewall. Verificare inoltre che l'indirizzo IP del server di informazioni di sicurezza e gestione degli eventi non sia cambiato. Se è stato installato Java Runtime Engine (JRE) update 291 o versione successiva, seguire le istruzioni in Problema con le nuove versioni di Java.

Problema con le nuove versioni di Java

Le versioni più recenti di Java possono causare problemi con l'agente SIEM. Se è stato installato Java Runtime Engine (JRE) update 291 o versione successiva, seguire questa procedura:

  1. In un prompt di PowerShell con privilegi elevati passare alla cartella bin di installazione Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Scaricare ognuno dei quattro certificati ca emittente tls di Azure.

    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"

  3. Importare ogni file CRT del certificato CA nell'archivio chiavi Java, usando la modifica della password dell'archivio chiavi predefinita.

    keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit

  4. Per verificare, visualizzare l'archivio chiavi Java per gli alias del certificato CA emittente di Azure TLS elencati in precedenza.

    keytool -list -keystore ..\lib\security\cacerts

  5. Avviare l'agente SIEM ed esaminare il nuovo file di log di traccia per confermare una connessione corretta.

Passaggi successivi

Attività quotidiane per la protezione dell'ambiente cloud

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.