A SIEM-integráció hibaelhárítása
Ez a cikk az SIEM Defender for Cloud Apps való csatlakoztatásakor felmerülő lehetséges problémák listáját és a lehetséges megoldásokat tartalmazza.
Hiányzó tevékenységesemények helyreállítása Defender for Cloud Apps SIEM-ügynökben
Mielőtt továbblép, ellenőrizze, hogy a Defender for Cloud Apps licence támogatja-e a konfigurálni kívánt SIEM-integrációt.
Ha rendszerriasztást kapott a tevékenység SIEM-ügynökön keresztüli kézbesítésével kapcsolatos problémáról, kövesse az alábbi lépéseket a tevékenységesemények helyreállításához a probléma időkeretében. Ezek a lépések végigvezetik egy új helyreállítási SIEM-ügynök beállításán, amely párhuzamosan fog futni, és újra elküldi a tevékenységeseményeket a SIEM-nek.
Megjegyzés:
A helyreállítási folyamat újraküldi az összes tevékenységeseményt a rendszerriasztásban leírt időkeretben. Ha az SIEM már tartalmaz tevékenységeseményeket ebből az időkeretből, a helyreállítás után ismétlődő eseményeket fog tapasztalni.
1. lépés – Új SIEM-ügynök konfigurálása a meglévő ügynökkel párhuzamosan
A Microsoft Defender Portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.
A Rendszer területen válassza az SIEM-ügynök lehetőséget. Ezután válassza az Új SIEM-ügynök hozzáadása lehetőséget, és a varázslóval konfigurálja a kapcsolat részleteit az SIEM-hez. Létrehozhat például egy új SIEM-ügynököt a következő konfigurációval:
- Protokoll: TCP
- Távoli gazdagép: Bármely olyan eszköz, amelyen egy portot figyelhet. Egy egyszerű megoldás lehet például, ha ugyanazt az eszközt használja, mint az ügynök, és a távoli gazdagép IP-címét 127.0.0.1-ra állítja
- Port: Bármely port, amely a távoli gazdaeszközön hallgatható
Megjegyzés:
Ennek az ügynöknek a meglévőével párhuzamosan kell futnia, így előfordulhat, hogy a hálózati konfiguráció nem azonos.
A varázslóban konfigurálja úgy az adattípusokat, hogy csak a Tevékenységek elemet tartalmazzák, és alkalmazza ugyanazt a tevékenységszűrőt, amelyet az eredeti SIEM-ügynökben használt (ha létezik).
Mentse a beállításokat.
Futtassa az új ügynököt a létrehozott jogkivonattal.
2. lépés – A SIEM-be történő sikeres adatkézbesítés ellenőrzése
A konfiguráció ellenőrzéséhez kövesse az alábbi lépéseket:
- Csatlakozzon a SIEM-hez, és ellenőrizze, hogy az új adatok a konfigurált új SIEM-ügynöktől érkeznek-e.
Megjegyzés:
Az ügynök csak abban az időkeretben küld tevékenységeket, amellyel kapcsolatban riasztást kapott.
- Ha a SIEM nem fogad adatokat, akkor az új SIEM-ügynökeszközön kísérelje meg figyelni a tevékenységek továbbítására konfigurált portot, és ellenőrizze, hogy az ügynök küld-e adatokat az SIEM-nek. Futtassa például a parancsot
netcat -l <port>
<port>
a korábban konfigurált portszámmal.
Megjegyzés:
Ha a -t használja ncat
, győződjön meg arról, hogy az ipv4 jelzőt -4
adja meg.
- Ha az ügynök adatokat küld, de nem kapja meg az SIEM-et, ellenőrizze az SIEM-ügynök naplóját. Ha a "kapcsolat elutasítva" üzeneteket látja, győződjön meg arról, hogy az SIEM-ügynök tLS 1.2-s vagy újabb használatára van konfigurálva.
3. lépés – A helyreállítási SIEM-ügynök eltávolítása
- A helyreállítási SIEM-ügynök automatikusan leállítja az adatok küldését, és a befejezési dátum elérése után le lesz tiltva.
- Ellenőrizze a SIEM-ben, hogy a helyreállítási SIEM-ügynök nem küld új adatokat.
- Állítsa le az ügynök végrehajtását az eszközön.
- A portálon lépjen a SIEM-ügynök oldalra, és távolítsa el a helyreállítási SIEM-ügynököt.
- Győződjön meg arról, hogy az eredeti SIEM-ügynök továbbra is megfelelően fut.
Általános hibaelhárítás
Győződjön meg arról, hogy a SIEM-ügynök állapota Microsoft Defender for Cloud Apps nem Csatlakozási hiba vagy Leválasztva, és nincsenek ügynökértesítések. Az állapot kapcsolati hibaként jelenik meg, ha a kapcsolat két óránál hosszabb ideig nem működik. Ha a kapcsolat több mint 12 órán keresztül nem működik, az állapot Leválasztva értékre változik.
Ha az ügynök futtatása közben az alábbi hibák valamelyikét látja a parancssorban, a következő lépésekkel háríthatja el a problémát:
Hiba | Leírás | Megoldás |
---|---|---|
Általános hiba a rendszerindítás során | Váratlan hiba történt az ügynök rendszerindítása során. | Lépjen kapcsolatba a támogatási szolgálattal. |
Túl sok kritikus hiba | Túl sok kritikus hiba történt a konzol csatlakoztatásakor. Leállítása. | Lépjen kapcsolatba a támogatási szolgálattal. |
Érvénytelen jogkivonat | A megadott jogkivonat érvénytelen. | Győződjön meg arról, hogy a megfelelő jogkivonatot másolta. A fenti folyamattal újragenerálhatja a jogkivonatot. |
Érvénytelen proxycím | A megadott proxycím érvénytelen. | Győződjön meg arról, hogy a megfelelő proxyt és portot adta meg. |
Az ügynök létrehozása után ellenőrizze a SIEM-ügynök oldalát a Defender for Cloud Apps. Ha a következő ügynökértesítések egyikét látja, a következő lépésekkel háríthatja el a problémát:
Hiba | Leírás | Megoldás |
---|---|---|
Belső hiba | Ismeretlen hiba történt a SIEM-ügynökkel kapcsolatban. | Lépjen kapcsolatba a támogatási szolgálattal. |
Adatkiszolgálói küldési hiba | Ez a hiba akkor jelenhet meg, ha TCP-kapcsolaton keresztüli Syslog-kiszolgálóval dolgozik. A SIEM-ügynök nem tud csatlakozni a Syslog-kiszolgálóhoz. Ha ezt a hibát kapja, az ügynök leállítja az új tevékenységek lekérését, amíg ki nem javítják. Kövesse a javítási lépéseket, amíg a hiba nem jelenik meg. | 1. Győződjön meg arról, hogy megfelelően definiálta a Syslog-kiszolgálót: A Defender for Cloud Apps felhasználói felületén szerkessze az SIEM-ügynököt a fent leírtak szerint. Győződjön meg arról, hogy megfelelően írta be a kiszolgáló nevét, és állítsa be a megfelelő portot.
2. Ellenőrizze a Syslog-kiszolgálóval való kapcsolatot: Győződjön meg arról, hogy a tűzfal nem blokkolja a kommunikációt. |
Adatkiszolgáló csatlakozási hibája | Ez a hiba akkor jelenhet meg, ha TCP-kapcsolaton keresztüli Syslog-kiszolgálóval dolgozik. A SIEM-ügynök nem tud csatlakozni a Syslog-kiszolgálóhoz. Ha ezt a hibát kapja, az ügynök leállítja az új tevékenységek lekérését, amíg ki nem javítják. Kövesse a javítási lépéseket, amíg a hiba nem jelenik meg. | 1. Győződjön meg arról, hogy megfelelően definiálta a Syslog-kiszolgálót: A Defender for Cloud Apps felhasználói felületén szerkessze az SIEM-ügynököt a fent leírtak szerint. Győződjön meg arról, hogy megfelelően írta be a kiszolgáló nevét, és állítsa be a megfelelő portot.
2. Ellenőrizze a Syslog-kiszolgálóval való kapcsolatot: Győződjön meg arról, hogy a tűzfal nem blokkolja a kommunikációt. |
SIEM-ügynök hibája | Az SIEM-ügynök kapcsolata több mint X órája megszakadt | Győződjön meg arról, hogy nem módosította a SIEM-konfigurációt Defender for Cloud Apps. Ellenkező esetben ez a hiba csatlakozási problémákat jelezhet a Defender for Cloud Apps és a számítógép között, amelyen az SIEM-ügynököt futtatja. |
SIEM-ügynök értesítési hibája | A SIEM-ügynök értesítéseinek továbbítási hibái egy SIEM-ügynöktől érkeztek. | Ez a hiba azt jelzi, hogy hibákat kapott a SIEM-ügynök és a SIEM-kiszolgáló közötti kapcsolattal kapcsolatban. Győződjön meg arról, hogy nincs olyan tűzfal, amely blokkolja az SIEM-kiszolgálót vagy azt a számítógépet, amelyen az SIEM-ügynököt futtatja. Ellenőrizze azt is, hogy a SIEM-kiszolgáló IP-címe nem módosult-e. Ha telepítette a Java Runtime Engine (JRE) 291-s vagy újabb frissítését, kövesse a Java új verzióival kapcsolatos probléma című témakör utasításait. |
A Java új verzióival kapcsolatos probléma
A Java újabb verziói problémákat okozhatnak az SIEM-ügynökkel. Ha telepítette a Java Runtime Engine (JRE) 291-s vagy újabb frissítését, kövesse az alábbi lépéseket:
Egy emelt szintű PowerShell-parancssorban váltson a Java telepítési bin mappájára.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
Töltse le az alábbi Azure TLS-tanúsítványokat kiállító hitelesítésszolgáltatói tanúsítványokat.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"
cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt
Importálja a hitelesítésszolgáltatói tanúsítvány CRT-fájlokat a Java-kulcstárba az alapértelmezett kulcstárjelszó-módosítás használatával.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
Az ellenőrzéshez tekintse meg a fent felsorolt, az Azure TLS-t kiállító hitelesítésszolgáltatói tanúsítványaliasok Java-kulcstárát.
keytool -list -keystore ..\lib\security\cacerts
Indítsa el az SIEM-ügynököt, és tekintse át az új nyomkövetési naplófájlt a sikeres kapcsolat megerősítéséhez.
Következő lépések
Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.