Resolução de problemas do agente SIEM

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Este artigo fornece uma lista de possíveis problemas ao ligar o seu SIEM a Cloud App Security e fornece possíveis resoluções.

Recuperar eventos de atividade desaparecidos em Cloud App Security Agente SIEM

Antes de prosseguir, verifique se a sua licença de Cloud App Security suporta a integração do SIEM que está a tentar configurar.

Se recebeu um alerta de sistema sobre um problema de entrega de atividade através do agente SIEM, siga os passos abaixo para recuperar os eventos de atividade no prazo da emissão. Estes passos irão guiá-lo através da criação de um novo agente SIEM de recuperação que irá funcionar em paralelo e reenviá-los os eventos de atividade para o seu SIEM.

Nota

O processo de recuperação reensificará todos os eventos de atividade no prazo descrito no alerta do sistema. Se o seu SIEM já contiver eventos de atividade a partir deste período de tempo, irá experienciar eventos duplicados após esta recuperação.

Passo 1 - Configurar um novo Agente SIEM em paralelo com o seu agente existente

  1. No portal Cloud App Security,aceda à página De Extensões de Segurança.

  2. No separador Agentes SIEM, selecione adicionar um novo agente SIEMe utilizar o assistente para configurar os dados de ligação ao seu SIEM. Por exemplo, pode criar um novo agente SIEM com a seguinte configuração:

    • Protocolo: TCP
    • Anfitrião remoto: Qualquer dispositivo onde possa ouvir uma porta. Por exemplo, uma solução simples seria utilizar o mesmo dispositivo que o agente e definir o endereço IP do anfitrião remoto para 127.0.0.1
    • Porta: Qualquer porta que possa ouvir no dispositivo de anfitrião remoto

    Nota

    Este agente deve funcionar paralelamente ao existente, pelo que a configuração da rede pode não ser idêntica.

  3. No assistente, configuure os Tipos de Dados para incluir apenas atividades e aplique o mesmo filtro de atividade que foi utilizado no seu agente SIEM original (se existir).

  4. Guarde as definições.

  5. Executar o novo agente usando o símbolo gerado.

Passo 2 – Validar a entrega de dados bem sucedida ao seu SIEM

Utilize os seguintes passos para validar a sua configuração:

  1. Ligação ao seu SIEM e verifique se os novos dados são recebidos do novo agente SIEM que configuraste.

Nota

O agente só enviará atividades no prazo da emissão em que foi alertado.

  1. Se os dados não forem recebidos pelo seu SIEM, então no novo dispositivo de agente SIEM, tente ouvir a porta que configura para encaminhar as atividades para ver se os dados estão a ser enviados do agente para o SIEM. Por exemplo, corra netcat -l <port> onde está o número de porta <port> previamente configurado.

Nota

Se estiver a ncat utilizar, certifique-se de que especifica a bandeira ipv4 -4 .

  1. Se os dados forem enviados pelo agente mas não recebidos pelo seu SIEM, verifique o registo do agente SIEM. Se conseguir ver mensagens de "ligação recusada", certifique-se de que o seu agente SIEM está configurado para utilizar o TLS 1.2 ou mais recente.

Passo 3 - Remover o agente SIEM de recuperação

  1. O agente SIEM de recuperação deixará automaticamente de enviar dados e será desativado assim que chegar à data de fim.
  2. Valide no seu SIEM que nenhum novo dado seja enviado pelo agente SIEM de recuperação.
  3. Pare a execução do agente no seu dispositivo.
  4. No portal, aceda à página do Agente SIEM e remova o agente SIEM de recuperação.
  5. Certifique-se de que o seu agente SIEM original ainda está a funcionar corretamente.

Resolução geral de problemas

Certifique-se de que o estado do agente SIEM no portal Microsoft Cloud App Security não é erro de ligação ou desligado e não existem notificações de agente. O estado mostra como erro de ligação se a ligação estiver avariada por mais de duas horas. O estado muda para Desligado se a ligação estiver desligada durante mais de 12 horas.

Se vir um dos seguintes erros na linha de comandos ao executar o agente, utilize os seguintes passos para resolver o problema:

Erro Descrição Resolução
Erro geral durante o arranque Erro inesperado durante o arranque do agente. Contacte o suporte.
Demasiados erros críticos Ocorreram demasiados erros críticos ao ligar a consola. A encerrar. Contacte o suporte.
Token inválido O símbolo fornecido não é válido. Certifique-se de que copiou o token correto. Pode utilizar o processo acima para voltar a gerar o token.
Endereço proxy inválido O endereço de procuração fornecido não é válido. Certifique-se de que introduziu o proxy e porta corretos.

Depois de criar o agente, consulte a página do agente SIEM no portal Cloud App Security. Se vir uma das seguintes notificações do Agente, utilize as seguintes medidas para remediar o problema:

Erro Descrição Resolução
Erro interno Ocorreu um problema desconhecido com o agente SIEM. Contacte o suporte.
Erro de envio do servidor de dados Pode obter este erro se estiver a trabalhar com um servidor Syslog sobre o TCP. O agente SIEM não consegue ligar-se ao seu servidor Syslog. Se cometer este erro, o agente deixará de puxar novas atividades até que seja corrigido. Certifique-se de que segue os passos de reparação até que o erro deixe de aparecer. 1. Certifique-se de que definiu corretamente o seu servidor Syslog: Na UI Cloud App Security, edite o seu agente SIEM como descrito acima. Certifique-se de que escreveu o nome do servidor corretamente e desagure a porta certa.
2. Verifique a conectividade do seu servidor Syslog: Certifique-se de que a firewall não está a bloquear a comunicação.
Erro de ligação do servidor de dados Pode obter este erro se estiver a trabalhar com um servidor Syslog sobre o TCP. O agente SIEM não consegue ligar-se ao seu servidor Syslog. Se cometer este erro, o agente deixará de puxar novas atividades até que seja corrigido. Certifique-se de que segue os passos de reparação até que o erro deixe de aparecer. 1. Certifique-se de que definiu corretamente o seu servidor Syslog: Na UI Cloud App Security, edite o seu agente SIEM como descrito acima. Certifique-se de que escreveu o nome do servidor corretamente e desagure a porta certa.
2. Verifique a conectividade do seu servidor Syslog: Certifique-se de que a firewall não está a bloquear a comunicação.
Erro do agente SIEM O agente SIEM está desativado há mais de X horas Certifique-se de que não alterou a configuração da SIEM no portal do Cloud App Security. Caso contrário, este erro pode indicar problemas de conectividade entre Cloud App Security e o computador em que está a executar o agente SIEM.
Erro de notificação do agente SIEM Foram recebidos erros de envio de notificações do agente SIEM a partir de um agente SIEM. Este erro indica que recebeu erros sobre a ligação entre o agente SIEM e o seu servidor SIEM. Certifique-se de que não existe uma firewall a bloquear o servidor SIEM ou o computador no qual está a executar o agente SIEM. Além disso, verifique se o endereço IP do servidor SIEM não foi alterado. Se instalou a atualização 291 ou superior do Java Runtime Engine (JRE), siga as instruções em Emissão com novas versões de Java.

Emissão com novas versões de Java

Versões mais recentes de Java podem causar problemas com o agente SIEM. Se instalou a atualização 291 ou superior do Java Runtime Engine (JRE), siga estes passos:

  1. Numa eduque powerShell elevada, mude para a pasta de instalação Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
    
  2. Descarregue cada um dos quatro certificados Azure TLS Issuing CA.

    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    
  3. Importe cada ficheiro CRT de certificado CA para a loja de chaves Java, utilizando a alteração da palavra-passe por defeito da loja de chaves .

    keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    
  4. Para verificar, consulte a loja de chaves Java para a Azure TLS que emite pseudónimos de certificado ca listado acima.

    keytool -list -keystore ..\lib\security\cacerts
    
  5. Inicie o agente SIEM e reveja o novo ficheiro de registo de vestígios para confirmar uma ligação bem sucedida.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.