Problemen met SIEM-integratie oplossen

  • Artikel

Dit artikel bevat een lijst met mogelijke problemen bij het verbinden van uw SIEM met Defender voor Cloud-apps en biedt mogelijke oplossingen.

Ontbrekende activiteitsgebeurtenissen herstellen in Defender voor Cloud SIEM-agent voor apps

Controleer voordat u verdergaat of uw Defender voor Cloud Apps-licentie ondersteuning biedt voor de SIEM-integratie die u probeert te configureren.

Als u een systeemwaarschuwing hebt ontvangen met betrekking tot een probleem met het leveren van activiteiten via de SIEM-agent, volgt u de onderstaande stappen om de activiteitsgebeurtenissen in het tijdsbestek van het probleem te herstellen. Deze stappen helpen u bij het instellen van een nieuwe SIEM-agent voor herstel die parallel wordt uitgevoerd en de activiteitsgebeurtenissen opnieuw naar uw SIEM verzendt.

Notitie

Tijdens het herstelproces worden alle activiteitsgebeurtenissen opnieuw verzonden in de periode die wordt beschreven in de systeemwaarschuwing. Als uw SIEM al activiteitengebeurtenissen uit deze periode bevat, ondervindt u gedupliceerde gebeurtenissen na dit herstel.

Stap 1: een nieuwe SIEM-agent parallel configureren met uw bestaande agent

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer siem-agent onder Systeem. Selecteer vervolgens een nieuwe SIEM-agent toevoegen en gebruik de wizard om de verbindingsgegevens voor uw SIEM te configureren. U kunt bijvoorbeeld een nieuwe SIEM-agent maken met de volgende configuratie:

    • Protocol: TCP
    • Externe host: elk apparaat waar u naar een poort kunt luisteren. Een eenvoudige oplossing is bijvoorbeeld om hetzelfde apparaat als de agent te gebruiken en het IP-adres van de externe host in te stellen op 127.0.0.1
    • Poort: elke poort waarnaar u kunt luisteren op het externe hostapparaat

    Notitie

    Deze agent moet parallel worden uitgevoerd met de bestaande, zodat de netwerkconfiguratie mogelijk niet identiek is.

  3. Configureer in de wizard de gegevenstypen om alleen activiteiten op te nemen en pas hetzelfde activiteitsfilter toe dat is gebruikt in de oorspronkelijke SIEM-agent (als deze bestaat).

  4. Sla de instellingen op.

  5. Voer de nieuwe agent uit met behulp van het gegenereerde token.

Stap 2: valideer de geslaagde levering van gegevens aan uw SIEM

Gebruik de volgende stappen om uw configuratie te valideren:

  1. Verbinding maken naar uw SIEM en controleer of er nieuwe gegevens worden ontvangen van de nieuwe SIEM-agent die u hebt geconfigureerd.

Notitie

De agent verzendt alleen activiteiten in het tijdsbestek van het probleem waarop u bent gewaarschuwd.

  1. Als er geen gegevens worden ontvangen door uw SIEM, luistert u op het nieuwe SIEM-agentapparaat naar de poort die u hebt geconfigureerd om activiteiten door te sturen om te zien of gegevens van de agent naar de SIEM worden verzonden. Voer bijvoorbeeld uit netcat -l <port> waar <port> het eerder geconfigureerde poortnummer is.

Notitie

Als u gebruikmaakt ncat, moet u de ipv4-vlag -4opgeven.

  1. Als gegevens worden verzonden door de agent maar niet worden ontvangen door uw SIEM, controleert u het SIEM-agentlogboek. Als u de berichten 'Verbinding geweigerd' ziet, controleert u of uw SIEM-agent is geconfigureerd voor het gebruik van TLS 1.2 of hoger.

Stap 3: de SIEM-agent voor herstel verwijderen

  1. De SIEM-herstelagent stopt automatisch met het verzenden van gegevens en wordt uitgeschakeld zodra deze de einddatum heeft bereikt.
  2. Valideer in uw SIEM dat er geen nieuwe gegevens worden verzonden door de SIEM-agent voor herstel.
  3. Stop de uitvoering van de agent op uw apparaat.
  4. Ga in de portal naar de pagina siem-agent en verwijder de SIEM-agent voor herstel.
  5. Controleer of de oorspronkelijke SIEM-agent nog steeds goed wordt uitgevoerd.

Algemene probleemoplossing

Zorg ervoor dat de status van de SIEM-agent in de portal Microsoft Defender voor Cloud Apps niet is Verbinding maken ofniet is verbroken en dat er geen agentmeldingen zijn. De status wordt weergegeven als Verbinding maken ionfout als de verbinding langer dan twee uur offline is. De status wordt gewijzigd in Verbinding verbroken als de verbinding langer dan 12 uur niet beschikbaar is.

Als u tijdens het uitvoeren van de agent een van de volgende fouten in de opdrachtprompt ziet, gebruikt u de volgende stappen om het probleem te verhelpen:

Fout Beschrijving Oplossing
Algemene fout tijdens bootstrap Onverwachte fout tijdens agent-bootstrap. Neem contact op met ondersteuning.
Te veel kritieke fouten Er zijn te veel kritieke fouten opgetreden bij het verbinden van de console. Wordt afgesloten. Neem contact op met ondersteuning.
Ongeldig token Het opgegeven token is niet geldig. Controleer of u het juiste token hebt gekopieerd. U kunt de bovenstaande procedure gebruiken om het token opnieuw te genereren.
Ongeldig proxyadres Het opgegeven proxyadres is niet geldig. Zorg ervoor dat u de juiste proxy en poort opgeeft.

Nadat u de agent hebt gemaakt, controleert u de pagina siem-agent in de portal Defender voor Cloud Apps. Als u een van de volgende agentmeldingen ziet, gebruikt u de volgende stappen om het probleem op te lossen:

Fout Beschrijving Oplossing
Interne fout Er is een onbekende fout opgetreden bij uw SIEM-agent. Neem contact op met ondersteuning.
Verzendfout bij gegevensserver U kunt deze fout krijgen als u met een Syslog-server werkt via TCP. De SIEM-agent kan geen verbinding maken met uw Syslog-server. Als u deze fout krijgt, stopt de agent met het ophalen van nieuwe activiteiten totdat deze is opgelost. Zorg ervoor dat u de herstelstappen volgt totdat de fout niet meer wordt weergegeven. 1. Zorg ervoor dat u de Syslog-server juist hebt gedefinieerd: bewerk in de gebruikersinterface van Defender voor Cloud Apps de SIEM-agent zoals hierboven beschreven. Zorg ervoor dat u de naam van de server correct hebt geschreven en stel de juiste poort in.
2. Controleer de verbinding met de Syslog-server: zorg ervoor dat de communicatie niet wordt geblokkeerd door uw firewall.
Fout bij gegevensserververbinding U kunt deze fout krijgen als u met een Syslog-server werkt via TCP. De SIEM-agent kan geen verbinding maken met uw Syslog-server. Als u deze fout krijgt, stopt de agent met het ophalen van nieuwe activiteiten totdat deze is opgelost. Zorg ervoor dat u de herstelstappen volgt totdat de fout niet meer wordt weergegeven. 1. Zorg ervoor dat u de Syslog-server juist hebt gedefinieerd: bewerk in de gebruikersinterface van Defender voor Cloud Apps de SIEM-agent zoals hierboven beschreven. Zorg ervoor dat u de naam van de server correct hebt geschreven en stel de juiste poort in.
2. Controleer de verbinding met de Syslog-server: zorg ervoor dat de communicatie niet wordt geblokkeerd door uw firewall.
SIEM-agentfout De SIEM-agent is meer dan X uur verbroken Zorg ervoor dat u de SIEM-configuratie niet hebt gewijzigd in de portal Defender voor Cloud Apps. Anders kan deze fout duiden op verbindingsproblemen tussen Defender voor Cloud Apps en de computer waarop u de SIEM-agent uitvoert.
Meldingsfout SIEM-agent Er werden van een SIEM-agent doorstuurfouten ontvangen van meldingen van een SIEM-agent. Deze fout geeft aan dat u fouten hebt ontvangen over de verbinding tussen de SIEM-agent en uw SIEM-server. Zorg ervoor dat er geen firewall is die uw SIEM-server blokkeert of de computer waarop u de SIEM-agent uitvoert. Controleer ook of het IP-adres van de SIEM-server niet is gewijzigd. Als u JRE-update 291 of hoger (Java Runtime Engine) hebt geïnstalleerd, volgt u de instructies in Probleem met nieuwe versies van Java.

Probleem met nieuwe versies van Java

Nieuwere versies van Java kunnen problemen veroorzaken met de SIEM-agent. Als u JRE-update 291 of hoger (Java Runtime Engine) hebt geïnstalleerd, voert u de volgende stappen uit:

  1. Schakel in een PowerShell-prompt met verhoogde bevoegdheid over naar de map java-installatielocatie.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Download elk van de volgende Azure TLS-ca-certificaten.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importeer elk CRT-bestand met CA-certificaten in het Java-sleutelarchief met behulp van de standaardwachtwoordwijziging.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Als u dit wilt controleren, bekijkt u het Java-sleutelarchief voor ca-certificaataliassen van Azure TLS die hierboven worden vermeld.

        keytool -list -keystore ..\lib\security\cacerts

  5. Start de SIEM-agent en controleer het nieuwe traceringslogboekbestand om een geslaagde verbinding te bevestigen.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.