Solução de problemas de integração de SIEM

  • Artigo

Este artigo fornece uma lista de possíveis problemas ao conectar seu SIEM ao Defender para Aplicativos de Nuvem e fornece possíveis resoluções.

Recuperar eventos de atividade ausentes no agente SIEM do Defender para aplicativos de nuvem

Antes de continuar, verifique se sua licença do Defender para aplicativos de nuvem oferece suporte à integração SIEM que está tentando configurar.

Se você recebeu um alerta do sistema sobre um problema com a entrega de atividades por meio do agente SIEM, siga as etapas abaixo para recuperar os eventos de atividade no prazo do problema. Essas etapas guiarão você durante a configuração de um novo agente SIEM de recuperação que será executado em paralelo e reenviará os eventos de atividade para seu SIEM.

Observação

O processo de recuperação reenviará todos os eventos de atividade no prazo descrito no alerta do sistema. Se o seu SIEM já contém eventos de atividade desse prazo, você terá eventos duplicados após essa recuperação.

Etapa 1 - Configure um novo agente SIEM em paralelo ao seu agente existente

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

  2. Em Sistema, selecione agente SIEM. Em seguida, selecione adicionar um novo agente SIEM e use o assistente para configurar os detalhes da conexão com seu SIEM. Por exemplo, você pode criar um novo agente SIEM com a seguinte configuração:

    • Protocolo: TCP
    • Host remoto: qualquer dispositivo onde você possa escutar uma porta. Por exemplo, uma solução simples seria usar o mesmo dispositivo que o agente e definir o endereço IP do host remoto como 127.0.0.1
    • Porta: qualquer porta que você possa escutar no dispositivo host remoto

    Observação

    Esse agente deve ser executado em paralelo ao existente, portanto, a configuração de rede pode não ser idêntica.

  3. No assistente, configure os tipos de dados para incluir apenas Atividades e aplique o mesmo filtro de atividade usado no agente SIEM original (se existir).

  4. Salve as configurações.

  5. Execute o novo agente usando o token gerado.

Etapa 2 - valide a entrega bem-sucedida de dados para o seu SIEM

Use as etapas a seguir para validar sua configuração:

  1. Conecte-se ao seu SIEM e verifique se novos dados são recebidos do novo agente SIEM que você configurou.

Observação

O agente só enviará atividades no prazo do problema sobre o qual você foi alertado.

  1. Se os dados não forem recebidos pelo SIEM, no novo dispositivo do agente SIEM, tente ouvir a porta que você configurou para encaminhar atividades para ver se os dados estão sendo enviados do agente para o SIEM. Por exemplo, execute netcat -l <port>, em que <port> é o número da porta configurado anteriormente.

Observação

Se você estiver usando ncat, certifique-se de especificar o sinalizador ipv4 -4.

  1. Se os dados estiverem sendo enviados pelo agente, mas não forem recebidos pelo SIEM, verifique o log do agente do SIEM. Se você puder ver mensagens de "conexão recusada", verifique se o agente SIEM está configurado para usar TLS 1.2 ou mais recente.

Etapa 3 - remova o agente SIEM de recuperação

  1. O agente SIEM de recuperação parará automaticamente o envio de dados e será desativado assim que atingir a data de término.
  2. Valide em seu SIEM que nenhum novo dado é enviado pelo agente SIEM de recuperação.
  3. Pare a execução do agente no seu dispositivo.
  4. No portal, vá para a página Agente SIEM e remova o agente SIEM de recuperação.
  5. Verifique se o Agente SIEM original continua sendo executado corretamente.

Solução de problemas gerais

Verifique se o status do agente SIEM no portal do Microsoft Defender para aplicativos de nuvem não está como Erro de conexão ou Desconectado e se não há nenhuma notificação do agente. O status será mostrado como Erro de conexão se a conexão estiver inativa por mais de duas horas. O status será alterado para Desconectado se a conexão estiver inativa por mais de 12 horas.

Caso veja algum dos seguintes erros no prompt de comando ao executar o agente, use as seguintes etapas para corrigir o problema:

Erro Descrição Resolução
Erro geral durante a inicialização Erro inesperado durante a inicialização do agente. Entre em contato com o suporte.
Muitos erros críticos Muitos erros críticos durante a conexão ao console. Desligue-o. Entre em contato com o suporte.
Token inválido O token fornecido não é válido. Verifique se você copiou o token correto. Você pode usar o processo acima para regenerar o token.
Endereço de proxy inválido O endereço de proxy fornecido não é válido. Verifique se você inseriu o proxy e a porta corretos.

Após criar o agente, verifique a página do agente SIEM no portal do Defender para aplicativos de nuvem. Se aparecer uma das seguintes Notificações do agente, use as seguintes etapas para corrigir o problema:

Erro Descrição Resolução
Erro interno Algo desconhecido deu errado com o agente SIEM. Entre em contato com o suporte.
Erro de envio do servidor de dados Você poderá receber esse erro se estiver trabalhando com um servidor Syslog em TCP. O agente SIEM não pode se conectar ao servidor Syslog. Se esse erro ocorrer, o agente parará de efetuar pull de novas atividades até que seja corrigido. Siga as etapas de correção até que o erro pare de aparecer. 1. Verifique se você definiu corretamente o servidor Syslog: na interface do usuário do Defender para aplicativos de nuvem, edite o agente SIEM conforme descrito acima. Verifique se você escreveu o nome do servidor corretamente e definiu a porta certa.
2. Verifique a conectividade com o servidor Syslog: verifique se o firewall não está bloqueando a comunicação.
Erro de conexão do servidor de dados Você poderá receber esse erro se estiver trabalhando com um servidor Syslog em TCP. O agente SIEM não pode se conectar ao servidor Syslog. Se esse erro ocorrer, o agente parará de efetuar pull de novas atividades até que seja corrigido. Siga as etapas de correção até que o erro pare de aparecer. 1. Verifique se você definiu corretamente o servidor Syslog: na interface do usuário do Defender para aplicativos de nuvem, edite o agente SIEM conforme descrito acima. Verifique se você escreveu o nome do servidor corretamente e definiu a porta certa.
2. Verifique a conectividade com o servidor Syslog: verifique se o firewall não está bloqueando a comunicação.
Erro do agente SIEM O agente SIEM está desconectado há mais de X horas Verifique se você não alterou a configuração do SIEM no Portal do Defender para Aplicativos de Nuvem. Caso contrário, este erro poderá indicar problemas de conectividade entre o Defender para Aplicativos de Nuvem e o computador no qual está a executar o agente SIEM.
Erro de notificação do agente SIEM A notificação do agente SIEM encaminha erros que foram recebidos de um agente SIEM. Este erro indica que você recebeu erros sobre a conexão entre o agente SIEM e o servidor SIEM. Verifique se não há um firewall bloqueando o servidor SIEM ou o computador no qual você está executando o agente SIEM. Além disso, verifique se o endereço IP do servidor SIEM não foi alterado. Se fez a instalação da atualização 291 do Java Runtime Engine (JRE) ou superior, siga as instruções em Problema com novas versões do Java.

Problema com novas versões do Java

Versões mais recentes do Java podem causar problemas com o agente SIEM. Se você instalou a atualização 291 do Java Runtime Engine (JRE) ou superior, siga estas etapas:

  1. Em um prompt elevado do PowerShell, alterne para a pasta compartimento de instalação do Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Faça download cada um dos seguintes Certificado de Autoridade de Certificação de emissão de TLS do Azure.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importe cada arquivo CRT de Certificado de Autoridade de Certificação para o repositório de chaves Java, usando a senha padrão do repositório de chaves changeit.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Para verificar, exiba o repositório de chaves Java para aliases de Certificado de Autoridade de Certificação de emissão do TLS do Azure listados acima.

        keytool -list -keystore ..\lib\security\cacerts

  5. Inicie o agente SIEM e examine o novo arquivo de log de rastreamento para confirmar uma conexão bem-sucedida.

Próximas etapas

Melhores práticas para proteger sua organização

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.