SIEM 에이전트 문제 해결

  • 아티클
  • 읽는 데 14분 걸림

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경 내용에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하기 위한 홈이 될 것입니다. 이러한 변경 내용에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

이 문서에서는 SIEM을 클라우드용 Defender 앱에 연결할 때 발생할 수 있는 문제 목록을 제공하고 가능한 해결 방법을 제공합니다.

클라우드용 Defender Apps SIEM 에이전트에서 누락된 활동 이벤트 복구

계속하기 전에 클라우드용 Defender Apps 라이선스가 구성하려는 SIEM 통합을 지원하는지 확인합니다.

SIEM 에이전트를 통한 활동 배달 문제에 대한 시스템 경고를 받은 경우 아래 단계에 따라 문제 기간 내에 활동 이벤트를 복구합니다. 다음 단계에서는 병렬로 실행되고 활동 이벤트를 SIEM에 다시 보내도록 새 Recovery SIEM 에이전트를 설정하는 방법을 안내합니다.

참고

복구 프로세스는 시스템 경고에 설명된 기간의 모든 활동 이벤트를 다시 보냅니다. SIEM에 이 기간의 활동 이벤트가 이미 포함되어 있는 경우 이 복구 후에 중복된 이벤트가 발생합니다.

1단계 - 기존 에이전트와 병렬로 새 SIEM 에이전트 구성

  1. 클라우드용 Defender 앱 포털에서 보안 확장 페이지로 이동합니다.

  2. SIEM 에이전트 탭에서 새 SIEM 에이전트 추가를 선택하고 마법사를 사용하여 SIEM에 대한 연결 세부 정보를 구성합니다. 예를 들어 다음 구성을 사용하여 새 SIEM 에이전트를 만들 수 있습니다.

    • 프로토콜: - TCP
    • 원격 호스트: 포트를 수신 대기할 수 있는 모든 디바이스입니다. 예를 들어 간단한 해결 방법은 에이전트와 동일한 디바이스를 사용하고 원격 호스트 IP 주소를 127.0.0.1로 설정하는 것입니다.
    • 포트: 원격 호스트 디바이스에서 수신 대기할 수 있는 모든 포트

    참고

    이 에이전트는 기존 에이전트와 병렬로 실행되어야 하므로 네트워크 구성이 동일하지 않을 수 있습니다.

  3. 마법사에서 활동만 포함하도록 데이터 형식을 구성하고 원래 SIEM 에이전트에 사용된 것과 동일한 활동 필터를 적용합니다(있는 경우).

  4. 설정을 저장합니다.

  5. 생성된 토큰을 사용하여 새 에이전트를 실행합니다.

2단계 - SIEM에 대한 성공적인 데이터 배달 유효성 검사

다음 단계를 사용하여 구성의 유효성을 검사합니다.

  1. SIEM에 커넥트 구성한 새 SIEM 에이전트에서 새 데이터가 수신되었는지 확인합니다.

참고

에이전트는 경고를 받은 문제의 기간 내에만 활동을 보냅니다.

  1. SIEM에서 데이터를 받지 못한 경우 새 SIEM 에이전트 디바이스에서 작업을 전달하도록 구성한 포트를 수신 대기하여 에이전트에서 SIEM으로 데이터가 전송되는지 확인합니다. 예를 들어 이전에 구성된 포트 번호가 있는 위치를 <port> 실행 netcat -l <port> 합니다.

참고

사용하는 ncat경우 ipv4 플래그 -4를 지정해야 합니다.

  1. 에이전트에서 데이터를 보내고 있지만 SIEM에서 받지 못한 경우 SIEM 에이전트 로그를 확인합니다. "연결 거부" 메시지가 표시되면 SIEM 에이전트가 TLS 1.2 이상에서 사용하도록 구성되어 있는지 확인합니다.

3단계 - 복구 SIEM 에이전트 제거

  1. 복구 SIEM 에이전트는 데이터 전송을 자동으로 중지하고 종료 날짜에 도달하면 사용하지 않도록 설정됩니다.
  2. 복구 SIEM 에이전트에서 새 데이터가 전송되지 않는지 SIEM에서 유효성을 검사합니다.
  3. 디바이스에서 에이전트 실행을 중지합니다.
  4. 포털에서 SIEM 에이전트 페이지로 이동하여 복구 SIEM 에이전트를 제거합니다.
  5. 원래 SIEM 에이전트가 여전히 제대로 실행되고 있는지 확인합니다.

일반적인 문제 해결

Microsoft Defender for Cloud Apps 포털에서 SIEM 에이전트의 상태가 연결 오류 또는 연결 끊김이 아니고 에이전트 알림이 없는지 확인합니다. 연결이 2시간을 초과하여 다운되면 상태는 연결 오류로 표시됩니다. 연결이 12시간을 넘게 다운되면 상태는 연결 끊김으로 변경됩니다.

에이전트를 실행하는 동안 cmd 프롬프트에 다음 오류 중 하나가 표시되는 경우 다음 단계를 사용하여 문제를 해결하세요.

Error 설명 해결 방법
부트스트랩 중 일반 오류 발생 에이전트 부트스트랩 중 예기치 않은 오류가 발생했습니다. 지원에 문의
너무 많은 중요한 오류 발생 콘솔을 연결하는 동안 너무 많은 중요한 오류가 발생했습니다. 종료합니다. 지원에 문의
잘못된 토큰 제공된 토큰이 잘못되었습니다. 올바른 토큰을 복사했는지 확인합니다. 위 프로세스를 사용하여 토큰을 다시 생성할 수 있습니다.
잘못된 프록시 주소 제공된 프록시 주소가 잘못되었습니다. 올바른 프록시 및 포트를 입력했는지 확인합니다.

에이전트를 만든 후 클라우드용 Defender Apps 포털에서 SIEM 에이전트 페이지를 확인합니다. 다음 에이전트 알림 중 하나가 표시되는 경우 다음 단계를 사용하여 문제를 해결하세요.

Error 설명 해결 방법
내부 오류 SIEM 에이전트에 알 수 없는 오류가 발생했습니다. 지원에 문의
데이터 서버 보내기 오류 TCP를 통해 Syslog 서버로 작업하는 경우 이 오류가 발생할 수 있습니다. SIEM 에이전트가 Syslog 서버에 연결할 수 없습니다. 이 오류가 발생하면 에이전트가 수정될 때까지 새 활동 끌어오기를 중지합니다. 오류 표시가 중지될 때까지 수정 단계를 수행해야 합니다. 1. Syslog 서버를 올바르게 정의했는지 확인합니다. 클라우드용 Defender 앱 UI에서 위에서 설명한 대로 SIEM 에이전트를 편집합니다. 서버의 이름을 올바르게 작성하고 정확한 포트를 설정해야 합니다.
2. Syslog 서버에 대한 연결을 확인합니다. 방화벽이 통신을 차단하지 않는지 확인합니다.
데이터 서버 연결 오류 TCP를 통해 Syslog 서버로 작업하는 경우 이 오류가 발생할 수 있습니다. SIEM 에이전트가 Syslog 서버에 연결할 수 없습니다. 이 오류가 발생하면 에이전트가 수정될 때까지 새 활동 끌어오기를 중지합니다. 오류 표시가 중지될 때까지 수정 단계를 수행해야 합니다. 1. Syslog 서버를 올바르게 정의했는지 확인합니다. 클라우드용 Defender 앱 UI에서 위에서 설명한 대로 SIEM 에이전트를 편집합니다. 서버의 이름을 올바르게 작성하고 정확한 포트를 설정해야 합니다.
2. Syslog 서버에 대한 연결을 확인합니다. 방화벽이 통신을 차단하지 않는지 확인합니다.
SIEM 에이전트 오류 SIEM 에이전트의 연결이 X시간 이상 끊어졌습니다. 클라우드용 Defender 앱 포털에서 SIEM 구성을 변경하지 않았는지 확인합니다. 그렇지 않으면 이 오류는 클라우드용 Defender 앱과 SIEM 에이전트를 실행하는 컴퓨터 간의 연결 문제를 나타낼 수 있습니다.
SIEM 에이전트 알림 오류 SIEM 에이전트에서 SIEM 에이전트 알림 전달 오류가 발생했습니다. 이 오류는 SIEM 에이전트와 SIEM 서버 간의 연결에 대한 오류를 수신했음을 나타냅니다. SIEM 서버나 SIEM 에이전트를 실행 중인 컴퓨터를 차단하는 방화벽이 없는지 확인합니다. 또한 SIEM 서버의 IP 주소가 변경되지 않았는지 확인합니다. JRE(Java 런타임 엔진) 업데이트 291 이상을 설치한 경우 새 버전의 Java 문제 관련 지침에 따릅니다.

새 버전의 Java 문제

최신 버전의 Java는 SIEM 에이전트에 문제를 일으킬 수 있습니다. JRE(Java Runtime Engine) 업데이트 291 이상을 설치한 경우 다음 단계를 수행합니다.

  1. 관리자 권한 PowerShell 프롬프트에서 Java 설치 bin 폴더로 전환합니다.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. 4개의 Azure TLS 발급 CA 인증서를 각각 다운로드합니다.

    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"

  3. 기본 키 저장소 암호 변경을 사용하여 각 CA 인증서 CRT 파일을 Java 키 저장소로 가져옵니다.

    keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit

  4. 확인하려면 위에 나열된 CA 인증서 별칭을 발급하는 Azure TLS의 Java 키 저장소를 확인합니다.

    keytool -list -keystore ..\lib\security\cacerts

  5. SIEM 에이전트를 시작하고 새 추적 로그 파일을 검토하여 성공적인 연결을 확인합니다.

다음 단계

클라우드 환경을 보호하는 일상적인 활동

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.