Megosztás a következőn keresztül:

A SIEM-integráció hibaelhárítása

  • Cikk

Ez a cikk az SIEM Defender for Cloud Apps való csatlakoztatásakor felmerülő lehetséges problémák listáját és a lehetséges megoldásokat tartalmazza.

Hiányzó tevékenységesemények helyreállítása Defender for Cloud Apps SIEM-ügynökben

Mielőtt továbblép, ellenőrizze, hogy a Defender for Cloud Apps licence támogatja-e a konfigurálni kívánt SIEM-integrációt.

Ha rendszerriasztást kapott a tevékenység SIEM-ügynökön keresztüli kézbesítésével kapcsolatos problémáról, kövesse az alábbi lépéseket a tevékenységesemények helyreállításához a probléma időkeretében. Ezek a lépések végigvezetik egy új helyreállítási SIEM-ügynök beállításán, amely párhuzamosan fog futni, és újra elküldi a tevékenységeseményeket a SIEM-nek.

Megjegyzés:

A helyreállítási folyamat újraküldi az összes tevékenységeseményt a rendszerriasztásban leírt időkeretben. Ha az SIEM már tartalmaz tevékenységeseményeket ebből az időkeretből, a helyreállítás után ismétlődő eseményeket fog tapasztalni.

1. lépés – Új SIEM-ügynök konfigurálása a meglévő ügynökkel párhuzamosan

  1. A Microsoft Defender Portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.

  2. A Rendszer területen válassza az SIEM-ügynök lehetőséget. Ezután válassza az Új SIEM-ügynök hozzáadása lehetőséget, és a varázslóval konfigurálja a kapcsolat részleteit az SIEM-hez. Létrehozhat például egy új SIEM-ügynököt a következő konfigurációval:

    • Protokoll: TCP
    • Távoli gazdagép: Bármely olyan eszköz, amelyen egy portot figyelhet. Egy egyszerű megoldás lehet például, ha ugyanazt az eszközt használja, mint az ügynök, és a távoli gazdagép IP-címét 127.0.0.1-ra állítja
    • Port: Bármely port, amely a távoli gazdaeszközön hallgatható

    Megjegyzés:

    Ennek az ügynöknek a meglévőével párhuzamosan kell futnia, így előfordulhat, hogy a hálózati konfiguráció nem azonos.

  3. A varázslóban konfigurálja úgy az adattípusokat, hogy csak a Tevékenységek elemet tartalmazzák, és alkalmazza ugyanazt a tevékenységszűrőt, amelyet az eredeti SIEM-ügynökben használt (ha létezik).

  4. Mentse a beállításokat.

  5. Futtassa az új ügynököt a létrehozott jogkivonattal.

2. lépés – A SIEM-be történő sikeres adatkézbesítés ellenőrzése

A konfiguráció ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Csatlakozzon a SIEM-hez, és ellenőrizze, hogy az új adatok a konfigurált új SIEM-ügynöktől érkeznek-e.

Megjegyzés:

Az ügynök csak abban az időkeretben küld tevékenységeket, amellyel kapcsolatban riasztást kapott.

  1. Ha a SIEM nem fogad adatokat, akkor az új SIEM-ügynökeszközön kísérelje meg figyelni a tevékenységek továbbítására konfigurált portot, és ellenőrizze, hogy az ügynök küld-e adatokat az SIEM-nek. Futtassa például a parancsot netcat -l <port><port> a korábban konfigurált portszámmal.

Megjegyzés:

Ha a -t használja ncat, győződjön meg arról, hogy az ipv4 jelzőt -4adja meg.

  1. Ha az ügynök adatokat küld, de nem kapja meg az SIEM-et, ellenőrizze az SIEM-ügynök naplóját. Ha a "kapcsolat elutasítva" üzeneteket látja, győződjön meg arról, hogy az SIEM-ügynök tLS 1.2-s vagy újabb használatára van konfigurálva.

3. lépés – A helyreállítási SIEM-ügynök eltávolítása

  1. A helyreállítási SIEM-ügynök automatikusan leállítja az adatok küldését, és a befejezési dátum elérése után le lesz tiltva.
  2. Ellenőrizze a SIEM-ben, hogy a helyreállítási SIEM-ügynök nem küld új adatokat.
  3. Állítsa le az ügynök végrehajtását az eszközön.
  4. A portálon lépjen a SIEM-ügynök oldalra, és távolítsa el a helyreállítási SIEM-ügynököt.
  5. Győződjön meg arról, hogy az eredeti SIEM-ügynök továbbra is megfelelően fut.

Általános hibaelhárítás

Győződjön meg arról, hogy a SIEM-ügynök állapota Microsoft Defender for Cloud Apps nem Csatlakozási hiba vagy Leválasztva, és nincsenek ügynökértesítések. Az állapot kapcsolati hibaként jelenik meg, ha a kapcsolat két óránál hosszabb ideig nem működik. Ha a kapcsolat több mint 12 órán keresztül nem működik, az állapot Leválasztva értékre változik.

Ha az ügynök futtatása közben az alábbi hibák valamelyikét látja a parancssorban, a következő lépésekkel háríthatja el a problémát:

Hiba Leírás Megoldás
Általános hiba a rendszerindítás során Váratlan hiba történt az ügynök rendszerindítása során. Lépjen kapcsolatba a támogatási szolgálattal.
Túl sok kritikus hiba Túl sok kritikus hiba történt a konzol csatlakoztatásakor. Leállítása. Lépjen kapcsolatba a támogatási szolgálattal.
Érvénytelen jogkivonat A megadott jogkivonat érvénytelen. Győződjön meg arról, hogy a megfelelő jogkivonatot másolta. A fenti folyamattal újragenerálhatja a jogkivonatot.
Érvénytelen proxycím A megadott proxycím érvénytelen. Győződjön meg arról, hogy a megfelelő proxyt és portot adta meg.

Az ügynök létrehozása után ellenőrizze a SIEM-ügynök oldalát a Defender for Cloud Apps. Ha a következő ügynökértesítések egyikét látja, a következő lépésekkel háríthatja el a problémát:

Hiba Leírás Megoldás
Belső hiba Ismeretlen hiba történt a SIEM-ügynökkel kapcsolatban. Lépjen kapcsolatba a támogatási szolgálattal.
Adatkiszolgálói küldési hiba Ez a hiba akkor jelenhet meg, ha TCP-kapcsolaton keresztüli Syslog-kiszolgálóval dolgozik. A SIEM-ügynök nem tud csatlakozni a Syslog-kiszolgálóhoz. Ha ezt a hibát kapja, az ügynök leállítja az új tevékenységek lekérését, amíg ki nem javítják. Kövesse a javítási lépéseket, amíg a hiba nem jelenik meg. 1. Győződjön meg arról, hogy megfelelően definiálta a Syslog-kiszolgálót: A Defender for Cloud Apps felhasználói felületén szerkessze az SIEM-ügynököt a fent leírtak szerint. Győződjön meg arról, hogy megfelelően írta be a kiszolgáló nevét, és állítsa be a megfelelő portot.
2. Ellenőrizze a Syslog-kiszolgálóval való kapcsolatot: Győződjön meg arról, hogy a tűzfal nem blokkolja a kommunikációt.
Adatkiszolgáló csatlakozási hibája Ez a hiba akkor jelenhet meg, ha TCP-kapcsolaton keresztüli Syslog-kiszolgálóval dolgozik. A SIEM-ügynök nem tud csatlakozni a Syslog-kiszolgálóhoz. Ha ezt a hibát kapja, az ügynök leállítja az új tevékenységek lekérését, amíg ki nem javítják. Kövesse a javítási lépéseket, amíg a hiba nem jelenik meg. 1. Győződjön meg arról, hogy megfelelően definiálta a Syslog-kiszolgálót: A Defender for Cloud Apps felhasználói felületén szerkessze az SIEM-ügynököt a fent leírtak szerint. Győződjön meg arról, hogy megfelelően írta be a kiszolgáló nevét, és állítsa be a megfelelő portot.
2. Ellenőrizze a Syslog-kiszolgálóval való kapcsolatot: Győződjön meg arról, hogy a tűzfal nem blokkolja a kommunikációt.
SIEM-ügynök hibája Az SIEM-ügynök kapcsolata több mint X órája megszakadt Győződjön meg arról, hogy nem módosította a SIEM-konfigurációt Defender for Cloud Apps. Ellenkező esetben ez a hiba csatlakozási problémákat jelezhet a Defender for Cloud Apps és a számítógép között, amelyen az SIEM-ügynököt futtatja.
SIEM-ügynök értesítési hibája A SIEM-ügynök értesítéseinek továbbítási hibái egy SIEM-ügynöktől érkeztek. Ez a hiba azt jelzi, hogy hibákat kapott a SIEM-ügynök és a SIEM-kiszolgáló közötti kapcsolattal kapcsolatban. Győződjön meg arról, hogy nincs olyan tűzfal, amely blokkolja az SIEM-kiszolgálót vagy azt a számítógépet, amelyen az SIEM-ügynököt futtatja. Ellenőrizze azt is, hogy a SIEM-kiszolgáló IP-címe nem módosult-e. Ha telepítette a Java Runtime Engine (JRE) 291-s vagy újabb frissítését, kövesse a Java új verzióival kapcsolatos probléma című témakör utasításait.

A Java új verzióival kapcsolatos probléma

A Java újabb verziói problémákat okozhatnak az SIEM-ügynökkel. Ha telepítette a Java Runtime Engine (JRE) 291-s vagy újabb frissítését, kövesse az alábbi lépéseket:

  1. Egy emelt szintű PowerShell-parancssorban váltson a Java telepítési bin mappájára.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Töltse le az alábbi Azure TLS-tanúsítványokat kiállító hitelesítésszolgáltatói tanúsítványokat.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importálja a hitelesítésszolgáltatói tanúsítvány CRT-fájlokat a Java-kulcstárba az alapértelmezett kulcstárjelszó-módosítás használatával.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Az ellenőrzéshez tekintse meg a fent felsorolt, az Azure TLS-t kiállító hitelesítésszolgáltatói tanúsítványaliasok Java-kulcstárát.

        keytool -list -keystore ..\lib\security\cacerts

  5. Indítsa el az SIEM-ügynököt, és tekintse át az új nyomkövetési naplófájlt a sikeres kapcsolat megerősítéséhez.

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.