Rozwiązywanie problemów z integracją rozwiązania SIEM

  • Artykuł

Ten artykuł zawiera listę możliwych problemów podczas łączenia rozwiązania SIEM z aplikacjami Defender dla Chmury i zapewnia możliwe rozwiązania.

Odzyskiwanie brakujących zdarzeń aktywności w agencie SIEM aplikacji Defender dla Chmury

Przed kontynuowaniem sprawdź, czy licencja Defender dla Chmury Apps obsługuje integrację rozwiązania SIEM, którą próbujesz skonfigurować.

Jeśli otrzymano alert systemowy dotyczący problemu z dostarczaniem działań za pośrednictwem agenta SIEM, wykonaj poniższe kroki, aby odzyskać zdarzenia działania w przedziale czasowym problemu. Te kroki przeprowadzą Cię przez proces konfigurowania nowego agenta SIEM odzyskiwania, który będzie uruchamiany równolegle i ponownie wyślij zdarzenia działania do rozwiązania SIEM.

Uwaga

Proces odzyskiwania spowoduje ponowne wysłanie wszystkich zdarzeń działań w przedziale czasowym opisanym w alercie systemowym. Jeśli rozwiązanie SIEM zawiera już zdarzenia działań z tego przedziału czasu, po wykonaniu tego odzyskiwania wystąpią zduplikowane zdarzenia.

Krok 1. Konfigurowanie nowego agenta SIEM równolegle z istniejącym agentem

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze System wybierz pozycję Agent SIEM. Następnie wybierz pozycję dodaj nowego agenta SIEM i użyj kreatora, aby skonfigurować szczegóły połączenia z rozwiązaniem SIEM. Na przykład możesz utworzyć nowego agenta SIEM z następującą konfiguracją:

    • Protokół: TCP
    • Host zdalny: dowolne urządzenie, na którym można nasłuchiwać portu. Na przykład prostym rozwiązaniem byłoby użycie tego samego urządzenia co agent i ustawienie adresu IP hosta zdalnego na 127.0.0.1
    • Port: dowolny port, który można nasłuchiwać na urządzeniu hosta zdalnego

    Uwaga

    Ten agent powinien działać równolegle do istniejącego, więc konfiguracja sieci może nie być identyczna.

  3. W kreatorze skonfiguruj typy danych tak, aby zawierały tylko działania i zastosuj ten sam filtr działania, który został użyty w oryginalnym agencie SIEM (jeśli istnieje).

  4. Zapisz ustawienia.

  5. Uruchom nowego agenta przy użyciu wygenerowanego tokenu.

Krok 2. Weryfikowanie pomyślnego dostarczania danych do rozwiązania SIEM

Aby zweryfikować konfigurację, wykonaj następujące kroki:

  1. Połączenie do rozwiązania SIEM i sprawdź, czy nowe dane są odbierane z nowo skonfigurowanego agenta SIEM.

Uwaga

Agent będzie wysyłać działania tylko w przedziale czasowym problemu, w którym został wyświetlony alert.

  1. Jeśli dane nie są odbierane przez rozwiązanie SIEM, na nowym urządzeniu agenta SIEM spróbuj nasłuchiwać portu skonfigurowanego do przekazywania działań, aby sprawdzić, czy dane są wysyłane z agenta do rozwiązania SIEM. Na przykład uruchom polecenie netcat -l <port> where <port> is the previously skonfigurowany numer portu.

Uwaga

Jeśli używasz polecenia ncat, upewnij się, że określono flagę -4ipv4 .

  1. Jeśli dane są wysyłane przez agenta, ale nie są odbierane przez rozwiązanie SIEM, sprawdź dziennik agenta SIEM. Jeśli widzisz komunikaty "odmowa połączenia", upewnij się, że agent SIEM jest skonfigurowany do używania protokołu TLS 1.2 lub nowszego.

Krok 3. Usuwanie agenta SIEM odzyskiwania

  1. Agent SIEM odzyskiwania automatycznie przestanie wysyłać dane i zostanie wyłączony po osiągnięciu daty zakończenia.
  2. Sprawdź w rozwiązaniu SIEM, że żadne nowe dane nie są wysyłane przez agenta SIEM odzyskiwania.
  3. Zatrzymaj wykonywanie agenta na urządzeniu.
  4. W portalu przejdź do strony Agent SIEM i usuń agenta SIEM odzyskiwania SIEM.
  5. Upewnij się, że oryginalny agent SIEM nadal działa prawidłowo.

Ogólne wskazówki dotyczące rozwiązywania problemów

Upewnij się, że stan agenta SIEM w portalu Microsoft Defender dla Chmury Apps nie jest błędem Połączenie ion ani rozłączony i nie ma powiadomień agenta. Stan jest wyświetlany jako błąd Połączenie ion, jeśli połączenie nie działa przez więcej niż dwie godziny. Stan zmieni się na Rozłączono , jeśli połączenie nie działa przez ponad 12 godzin.

Jeśli podczas uruchamiania agenta zobaczysz w wierszu polecenia dowolny z następujących błędów, skorzystaj z poniższych wskazówek w celu rozwiązania problemu:

Błąd opis Rozwiązanie
Błąd ogólny podczas uruchamiania Nieoczekiwany błąd podczas uruchamiania agenta. Skontaktuj się z pomocą techniczną.
Zbyt wiele błędów krytycznych Podczas nawiązywania połączenia z konsolą wystąpiło zbyt wiele błędów krytycznych. Agent jest zamykany. Skontaktuj się z pomocą techniczną.
Nieprawidłowy token Podany token nie jest prawidłowy. Upewnij się, że skopiowano prawidłowy token. W celu ponownego wygenerowania tokenu można skorzystać z powyższej procedury.
Nieprawidłowy adres serwera proxy Podany adres serwera proxy jest nieprawidłowy. Upewnij się, że wprowadzono prawidłowy serwer proxy i port.

Po utworzeniu agenta sprawdź stronę agenta SIEM w portalu Defender dla Chmury Apps. Jeśli widzisz jedno z następujących powiadomień agenta, wykonaj następujące kroki, aby rozwiązać problem:

Błąd opis Rozwiązanie
Błąd wewnętrzny Wystąpił nieznany problem z agentem SIEM. Skontaktuj się z pomocą techniczną.
Błąd wysyłania danych do serwera Ten błąd można uzyskać, jeśli pracujesz z serwerem Syslog za pośrednictwem protokołu TCP. Agent SIEM nie może nawiązać połączenia z serwerem Syslog. Jeśli wystąpi ten błąd, agent przestanie ściągać nowe działania, dopóki nie zostanie naprawiony. Pamiętaj, aby wykonać kroki korygowania, dopóki błąd nie zostanie wyświetlony. 1. Upewnij się, że serwer syslog został prawidłowo zdefiniowany: w interfejsie użytkownika aplikacji Defender dla Chmury edytuj agenta SIEM zgodnie z powyższym opisem. Upewnij się, że poprawnie napisałeś nazwę serwera i ustaw odpowiedni port.
2. Sprawdź łączność z serwerem usługi Syslog: upewnij się, że zapora nie blokuje komunikacji.
Błąd połączenia z serwerem danych Ten błąd można uzyskać, jeśli pracujesz z serwerem Syslog za pośrednictwem protokołu TCP. Agent SIEM nie może nawiązać połączenia z serwerem Syslog. Jeśli wystąpi ten błąd, agent przestanie ściągać nowe działania, dopóki nie zostanie naprawiony. Pamiętaj, aby wykonać kroki korygowania, dopóki błąd nie zostanie wyświetlony. 1. Upewnij się, że serwer syslog został prawidłowo zdefiniowany: w interfejsie użytkownika aplikacji Defender dla Chmury edytuj agenta SIEM zgodnie z powyższym opisem. Upewnij się, że poprawnie napisałeś nazwę serwera i ustaw odpowiedni port.
2. Sprawdź łączność z serwerem usługi Syslog: upewnij się, że zapora nie blokuje komunikacji.
Błąd agenta SIEM Agent SIEM jest odłączony przez więcej niż X godzin Upewnij się, że konfiguracja rozwiązania SIEM nie zmieniła się w portalu Defender dla Chmury Apps. W przeciwnym razie ten błąd może wskazywać na problemy z łącznością między aplikacjami Defender dla Chmury a komputerem, na którym jest uruchomiony agent SIEM.
Błąd powiadomienia agenta SIEM Błędy przekazywania powiadomień agenta SIEM otrzymane od agenta SIEM. Ten błąd wskazuje, że wystąpiły błędy dotyczące połączenia między agentem SIEM a serwerem SIEM. Upewnij się, że nie ma zapory blokującej serwer SIEM lub komputer, na którym jest uruchomiony agent SIEM. Sprawdź również, czy adres IP serwera SIEM nie został zmieniony. Jeśli zainstalowano wersję 291 lub nowszą aparatu java runtime engine (JRE), postępuj zgodnie z instrukcjami w temacie Problem z nowymi wersjami języka Java.

Problem z nowymi wersjami języka Java

Nowsze wersje języka Java mogą powodować problemy z agentem SIEM. Jeśli zainstalowano aktualizację 291 lub nowszą aparat środowiska uruchomieniowego Java Runtime Engine (JRE), wykonaj następujące kroki:

  1. W wierszu polecenia programu PowerShell z podwyższonym poziomem uprawnień przejdź do folderu bin instalacji języka Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Pobierz każdy z następujących certyfikatów urzędu wystawiającego certyfikaty urzędu certyfikacji usługi Azure TLS.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Zaimportuj każdy plik CRT certyfikatu urzędu certyfikacji do magazynu kluczy Java przy użyciu domyślnej zmiany hasła magazynu kluczy.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Aby to sprawdzić, wyświetl magazyn kluczy Java dla aliasów certyfikatów wystawiających certyfikaty urzędu certyfikacji wystawiającego protokół TLS platformy Azure wymienionych powyżej.

        keytool -list -keystore ..\lib\security\cacerts

  5. Uruchom agenta SIEM i przejrzyj nowy plik dziennika śledzenia, aby potwierdzić pomyślne połączenie.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.