مشاركة عبر

استكشاف أخطاء تكامل SIEM وإصلاحها

  • مقالة

توفر هذه المقالة قائمة بالمشكلات المحتملة عند توصيل SIEM Defender for Cloud Apps وتوفر الحلول الممكنة.

استرداد أحداث النشاط المفقودة في Defender for Cloud Apps SIEM Agent

قبل المتابعة، تحقق من أن ترخيص Defender for Cloud Apps يدعم تكامل SIEM الذي تحاول تكوينه.

إذا تلقيت تنبيها للنظام بشأن مشكلة في تسليم النشاط من خلال عامل SIEM، فاتبع الخطوات أدناه لاسترداد أحداث النشاط في الإطار الزمني للمشكلة. ترشدك هذه الخطوات خلال إعداد عامل استرداد SIEM جديد سيتم تشغيله بالتوازي وإعادة إرسال أحداث النشاط إلى SIEM الخاص بك.

ملاحظة

تعيد عملية الاسترداد إرسال جميع أحداث النشاط في الإطار الزمني الموضح في تنبيه النظام. إذا كان SIEM يحتوي بالفعل على أحداث نشاط من هذا الإطار الزمني، فستواجه أحداثا مكررة بعد هذا الاسترداد.

الخطوة 1 - تكوين عامل SIEM جديد بالتوازي مع وكيلك الحالي

  1. في مدخل Microsoft Defender، حدد الإعدادات. ثم اختر تطبيقات السحابة.

  2. ضمن System، حدد SIEM Agent. ثم حدد إضافة عامل SIEM جديد، واستخدم المعالج لتكوين تفاصيل الاتصال ب SIEM الخاص بك. على سبيل المثال، يمكنك إنشاء عامل SIEM جديد بالتكوين التالي:

    • البروتوكول: TCP
    • المضيف البعيد: أي جهاز حيث يمكنك الاستماع إلى منفذ. على سبيل المثال، سيكون الحل البسيط هو استخدام نفس الجهاز مثل العامل وتعيين عنوان IP المضيف البعيد إلى 127.0.0.1
    • المنفذ: أي منفذ يمكنك الاستماع إليه على الجهاز المضيف البعيد

    ملاحظة

    يجب تشغيل هذا العامل بالتوازي مع العامل الموجود، لذلك قد لا يكون تكوين الشبكة متطابقا.

  3. في المعالج، قم بتكوين أنواع البيانات لتضمين الأنشطة فقط وتطبيق عامل تصفية النشاط نفسه الذي تم استخدامه في عامل SIEM الأصلي (إذا كان موجودا).

  4. احفظ الإعدادات.

  5. قم بتشغيل العامل الجديد باستخدام الرمز المميز الذي تم إنشاؤه.

الخطوة 2 - التحقق من صحة تسليم البيانات الناجح إلى SIEM الخاص بك

استخدم الخطوات التالية للتحقق من صحة التكوين الخاص بك:

  1. اتصل ب SIEM وتحقق من تلقي بيانات جديدة من عامل SIEM الجديد الذي قمت بتكوينه.

ملاحظة

سيرسل العامل الأنشطة فقط في الإطار الزمني للمشكلة التي تم تنبيهك بشأنها.

  1. إذا لم يتم تلقي البيانات من قبل SIEM الخاص بك، فحاول الاستماع إلى المنفذ الذي قمت بتكوينه لإعادة توجيه الأنشطة لمعرفة ما إذا كان يتم إرسال البيانات من العامل إلى SIEM. على سبيل المثال، قم بتشغيل netcat -l <port> حيث <port> هو رقم المنفذ الذي تم تكوينه مسبقا.

ملاحظة

إذا كنت تستخدم ncat، فتأكد من تحديد علامة -4ipv4 .

  1. إذا كان العامل يرسل البيانات ولكن لم يتلقها SIEM، فتحقق من سجل عامل SIEM. إذا كان بإمكانك رؤية رسائل "تم رفض الاتصال"، فتأكد من تكوين عامل SIEM لاستخدام TLS 1.2 أو أحدث.

الخطوة 3 - إزالة عامل الاسترداد SIEM

  1. سيتوقف عامل SIEM للاسترداد تلقائيا عن إرسال البيانات وسيتم تعطيله بمجرد وصوله إلى تاريخ الانتهاء.
  2. تحقق في SIEM من عدم إرسال أي بيانات جديدة بواسطة عامل SIEM للاسترداد.
  3. أوقف تنفيذ العامل على جهازك.
  4. في المدخل، انتقل إلى صفحة SIEM Agent وقم بإزالة عامل SIEM للاسترداد.
  5. تأكد من أن عامل SIEM الأصلي الخاص بك لا يزال يعمل بشكل صحيح.

استكشاف الأخطاء وإصلاحها بشكل عام

تأكد من أن حالة عامل SIEM في Microsoft Defender for Cloud Apps ليست خطأ في الاتصال أو غير متصل ولا توجد إعلامات عامل. تظهر الحالة كخطأ في الاتصال إذا كان الاتصال معزولا لأكثر من ساعتين. تتغير الحالة إلى غير متصل إذا كان الاتصال معزولا لأكثر من 12 ساعة.

إذا رأيت أحد الأخطاء التالية في موجه cmd أثناء تشغيل العامل، فاستخدم الخطوات التالية لمعالجة المشكلة:

الخطأ الوصف دقة
خطأ عام أثناء bootstrap خطأ غير متوقع أثناء تمهيد العامل. اتصل بالدعم.
عدد كبير جدا من الأخطاء الهامة حدث عدد كبير جدا من الأخطاء الهامة أثناء توصيل وحدة التحكم. ايقاف تشغيل. اتصل بالدعم.
رمز مميز غير صالح الرمز المميز المقدم غير صالح. تأكد من نسخ الرمز المميز الصحيح. يمكنك استخدام العملية أعلاه لإعادة إنشاء الرمز المميز.
عنوان وكيل غير صحيح عنوان الوكيل المقدم غير صحيح. تأكد من إدخال الوكيل والمنفذ الصحيحين.

بعد إنشاء العامل، تحقق من صفحة عامل SIEM في Defender for Cloud Apps. إذا رأيت أحد إعلامات العامل التالية، فاستخدم الخطوات التالية لمعالجة المشكلة:

الخطأ الوصف دقة
خطأ داخلي حدث خطأ غير معروف مع وكيل SIEM الخاص بك. اتصل بالدعم.
خطأ في إرسال خادم البيانات يمكنك الحصول على هذا الخطأ إذا كنت تعمل مع خادم Syslog عبر TCP. لا يمكن لعامل SIEM الاتصال بخادم Syslog الخاص بك. إذا تلقيت هذا الخطأ، فسيتوقف العامل عن سحب أنشطة جديدة حتى يتم إصلاحها. تأكد من اتباع خطوات المعالجة حتى يتوقف ظهور الخطأ. 1. تأكد من تعريف خادم Syslog بشكل صحيح: في واجهة مستخدم Defender for Cloud Apps، قم بتحرير عامل SIEM الخاص بك كما هو موضح أعلاه. تأكد من كتابة اسم الخادم بشكل صحيح وتعيين المنفذ الصحيح.
2. تحقق من الاتصال بخادم Syslog الخاص بك: تأكد من أن جدار الحماية الخاص بك لا يمنع الاتصال.
خطأ في اتصال خادم البيانات يمكنك الحصول على هذا الخطأ إذا كنت تعمل مع خادم Syslog عبر TCP. لا يمكن لعامل SIEM الاتصال بخادم Syslog الخاص بك. إذا تلقيت هذا الخطأ، يتوقف العامل عن سحب أنشطة جديدة حتى يتم إصلاحه. تأكد من اتباع خطوات المعالجة حتى يتوقف ظهور الخطأ. 1. تأكد من تعريف خادم Syslog بشكل صحيح: في واجهة مستخدم Defender for Cloud Apps، قم بتحرير عامل SIEM الخاص بك كما هو موضح أعلاه. تأكد من كتابة اسم الخادم بشكل صحيح وتعيين المنفذ الصحيح.
2. تحقق من الاتصال بخادم Syslog الخاص بك: تأكد من أن جدار الحماية الخاص بك لا يمنع الاتصال.
خطأ عامل SIEM تم قطع اتصال عامل SIEM لأكثر من X ساعات تأكد من عدم تغيير تكوين SIEM في Defender for Cloud Apps. وإلا، قد يشير هذا الخطأ إلى مشكلات الاتصال بين Defender for Cloud Apps والكمبيوتر الذي تقوم بتشغيل عامل SIEM عليه.
خطأ إعلام عامل SIEM تم تلقي أخطاء إعادة توجيه إعلامات عامل SIEM من عامل SIEM. يشير هذا الخطأ إلى أنك تلقيت أخطاء حول الاتصال بين عامل SIEM وخادم SIEM الخاص بك. تأكد من عدم وجود جدار حماية يمنع خادم SIEM أو الكمبيوتر الذي تقوم بتشغيل عامل SIEM عليه. تحقق أيضا من عدم تغيير عنوان IP لخادم SIEM. إذا قمت بتثبيت تحديث Java Runtime Engine (JRE) 291 أو أعلى، فاتبع الإرشادات الواردة في المشكلة مع الإصدارات الجديدة من Java.

مشكلة في الإصدارات الجديدة من Java

يمكن أن تتسبب الإصدارات الأحدث من Java في حدوث مشكلات مع عامل SIEM. إذا قمت بتثبيت تحديث Java Runtime Engine (JRE) 291 أو أعلى، فاتبع الخطوات التالية:

  1. في موجه PowerShell غير مقيد، قم بالتبديل إلى مجلد سلة تثبيت Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. قم بتنزيل كل شهادة من شهادات المرجع المصدق لإصدار Azure TLS التالية.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. قم باستيراد كل ملف CRT لشهادة CA إلى مخزن مفاتيح Java، باستخدام تغيير كلمة مرور مخزن المفاتيح الافتراضية.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. للتحقق، اعرض مخزن مفاتيح Java لإصدار الأسماء المستعارة لشهادة CA لإصدار Azure TLS المذكورة أعلاه.

        keytool -list -keystore ..\lib\security\cacerts

  5. ابدأ تشغيل عامل SIEM وراجع ملف سجل التتبع الجديد لتأكيد اتصال ناجح.

الخطوات التالية

أفضل الممارسات لحماية مؤسستك

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.