SIEM tümleştirme sorunlarını giderme
Bu makale, SIEM'inizi Defender for Cloud Apps bağlarken karşılaşılan olası sorunların listesini sağlar ve olası çözümleri sağlar.
Defender for Cloud Apps SIEM Aracısı'nda eksik etkinlik olaylarını kurtarma
Devam etmeden önce, Defender for Cloud Apps lisansınızın yapılandırmaya çalıştığınız SIEM tümleştirmesini desteklediğini denetleyin.
SIEM aracısı aracılığıyla etkinlik teslimi ile ilgili bir sorunla ilgili bir sistem uyarısı aldıysanız, sorunun zaman aralığındaki etkinlik olaylarını kurtarmak için aşağıdaki adımları izleyin. Bu adımlar, paralel olarak çalışacak ve etkinlik olaylarını SIEM'inize yeniden gönderecek yeni bir Kurtarma SIEM aracısını ayarlama konusunda size yol gösterir.
Not
Kurtarma işlemi, sistem uyarısında açıklanan zaman aralığındaki tüm etkinlik olaylarını yeniden aktarır. SIEM'iniz bu zaman çerçevesine ait etkinlik olaylarını zaten içeriyorsa, bu kurtarmadan sonra yinelenen olaylarla karşılaşırsınız.
1. Adım : Mevcut aracınıza paralel olarak yeni bir SIEM Aracısı yapılandırma
Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.
Sistem'in altında SIEM Aracısı'yı seçin. Ardından yeni bir SIEM aracısı ekle'yi seçin ve SIEM'inize bağlantı ayrıntılarını yapılandırmak için sihirbazı kullanın. Örneğin, aşağıdaki yapılandırmayla yeni bir SIEM aracısı oluşturabilirsiniz:
- Protokol: TCP
- Uzak konak: Bağlantı noktasını dinleyebileceğiniz herhangi bir cihaz. Örneğin, basit bir çözüm aracıyla aynı cihazı kullanmak ve uzak ana bilgisayar IP adresini 127.0.0.1 olarak ayarlamak olabilir
- Bağlantı noktası: Uzak konak cihazında dinleyebileceğiniz herhangi bir bağlantı noktası
Not
Bu aracı var olan aracıyla paralel çalışmalıdır, bu nedenle ağ yapılandırması aynı olmayabilir.
Sihirbazda Veri Türlerini yalnızca Etkinlikleri içerecek şekilde yapılandırın ve özgün SIEM aracınızda kullanılan etkinlik filtresini (varsa) uygulayın.
Ayarları kaydedin.
Oluşturulan belirteci kullanarak yeni aracıyı çalıştırın.
2. Adım : SIEM'inize başarılı veri teslimini doğrulama
Yapılandırmanızı doğrulamak için aşağıdaki adımları kullanın:
- SIEM'inize bağlanın ve yapılandırdığınız yeni SIEM aracısından yeni verilerin alınıp alındığını denetleyin.
Not
Aracı yalnızca uyarıldığınız sorunun zaman aralığındaki etkinlikleri gönderir.
- Veriler SIEM'iniz tarafından alınmazsa, yeni SIEM aracı cihazında, verilerin aracıdan SIEM'e gönderilip gönderilmediğini görmek için etkinlikleri iletmek için yapılandırdığınız bağlantı noktasını dinlemeyi deneyin. Örneğin, daha önce yapılandırılmış bağlantı noktası numarasının nerede olduğunu
<port>çalıştırınnetcat -l <port>.
Not
kullanıyorsanız ncat, ipv4 bayrağını -4belirttiğinizden emin olun.
- Veriler aracı tarafından gönderiliyor ancak SIEM'iniz tarafından alınmıyorsa, SIEM aracı günlüğünü denetleyin. "Bağlantı reddedildi" iletilerini görebiliyorsanız SIEM aracınızın TLS 1.2 veya üzerini kullanacak şekilde yapılandırıldığından emin olun.
3. Adım – Kurtarma SIEM aracısını kaldırma
- Kurtarma SIEM aracısı otomatik olarak veri göndermeyi durdurur ve bitiş tarihine ulaştığında devre dışı bırakılır.
- SIEM'inizde kurtarma SIEM aracısı tarafından yeni veri gönderilmediğini doğrulayın.
- Cihazınızda aracının yürütülmesini durdurun.
- Portalda SIEM Aracısı sayfasına gidin ve kurtarma SIEM aracısını kaldırın.
- Özgün SIEM Aracınızın hala düzgün çalıştığından emin olun.
Genel sorun giderme
Microsoft Defender for Cloud Apps'da SIEM aracısının durumunun Bağlantı hatası veya Bağlantısı kesildi olmadığından ve aracı bildirimi olmadığından emin olun. Bağlantı iki saatten uzun süre çalışmıyorsa durum Bağlantı hatası olarak gösterilir. Bağlantı 12 saatten fazla kesintiye uğrarsa durum Bağlantısı Kesildi olarak değişir.
Aracıyı çalıştırırken cmd isteminde aşağıdaki hatalardan birini görürseniz, sorunu düzeltmek için aşağıdaki adımları kullanın:
| Error | Açıklama | Çözüm |
|---|---|---|
| Önyükleme sırasında genel hata | Aracı önyüklemesi sırasında beklenmeyen hata. | Desteğe başvurun. |
| Çok fazla kritik hata | Konsol bağlanırken çok fazla kritik hata oluştu. Kapatma. | Desteğe başvurun. |
| Geçersiz belirteç | Sağlanan belirteç geçerli değil. | Doğru belirteci kopyaladığınızdan emin olun. Belirteci yeniden oluşturmak için yukarıdaki işlemi kullanabilirsiniz. |
| Geçersiz proxy adresi | Sağlanan proxy adresi geçerli değil. | Doğru ara sunucuyu ve bağlantı noktasını girdiğinizden emin olun. |
Aracıyı oluşturduktan sonra Defender for Cloud Apps SIEM aracısı sayfasını denetleyin. Aşağıdaki Aracı bildirimlerinden birini görürseniz, sorunu düzeltmek için aşağıdaki adımları kullanın:
| Error | Açıklama | Çözüm |
|---|---|---|
| İç hata | SIEM temsilcinizde bilinmeyen bir sorun oluştu. | Desteğe başvurun. |
| Veri sunucusu gönderme hatası | TCP üzerinden bir Syslog sunucusuyla çalışıyorsanız bu hatayı alabilirsiniz. SIEM aracısı Syslog sunucunuza bağlanamıyor. Bu hatayı alırsanız, aracı düzeltene kadar yeni etkinlikleri çekmeyi durdurur. Hata görünene kadar düzeltme adımlarını izlediğinden emin olun. | 1. Syslog sunucunuzu düzgün tanımladığınızdan emin olun: Defender for Cloud Apps kullanıcı arabiriminde, yukarıda açıklandığı gibi SIEM aracınızı düzenleyin. Sunucunun adını doğru yazdığınızdan ve doğru bağlantı noktasını ayarladığınızdan emin olun.
2. Syslog sunucunuza bağlantıyı denetleyin: Güvenlik duvarınızın iletişimi engellemediğinden emin olun. |
| Veri sunucusu bağlantı hatası | TCP üzerinden bir Syslog sunucusuyla çalışıyorsanız bu hatayı alabilirsiniz. SIEM aracısı Syslog sunucunuza bağlanamıyor. Bu hatayı alırsanız, aracı düzeltene kadar yeni etkinlikleri çekmeyi durdurur. Hata görünene kadar düzeltme adımlarını izlediğinden emin olun. | 1. Syslog sunucunuzu düzgün tanımladığınızdan emin olun: Defender for Cloud Apps kullanıcı arabiriminde, yukarıda açıklandığı gibi SIEM aracınızı düzenleyin. Sunucunun adını doğru yazdığınızdan ve doğru bağlantı noktasını ayarladığınızdan emin olun.
2. Syslog sunucunuza bağlantıyı denetleyin: Güvenlik duvarınızın iletişimi engellemediğinden emin olun. |
| SIEM aracısı hatası | SIEM aracısının bağlantısı X saatten uzun süredir kesik | Defender for Cloud Apps'da SIEM yapılandırmasını değiştirmediğinizden emin olun. Aksi takdirde, bu hata Defender for Cloud Apps ile SIEM aracısını çalıştırdığınız bilgisayar arasındaki bağlantı sorunlarını gösterebilir. |
| SIEM aracısı bildirim hatası | SIEM aracısı bildirimleri iletme hataları bir SIEM aracısından alındı. | Bu hata, SIEM aracısı ile SIEM sunucunuz arasındaki bağlantı hakkında hatalar aldığınızı gösterir. SIEM sunucunuzu veya SIEM aracısını çalıştırdığınız bilgisayarı engelleyen bir güvenlik duvarı olmadığından emin olun. Ayrıca, SIEM sunucusunun IP adresinin değiştirilmediğini denetleyin. Java Runtime Engine (JRE) güncelleştirmesi 291 veya üzerini yüklediyseniz Java'nın yeni sürümleriyle ilgili sorun başlığı altında verilen yönergeleri izleyin. |
Java'nın yeni sürümleriyle ilgili sorun
Java'nın daha yeni sürümleri SIEM aracısıyla ilgili sorunlara neden olabilir. Java Runtime Engine (JRE) güncelleştirmesi 291 veya üzerini yüklediyseniz şu adımları izleyin:
Yükseltilmiş bir PowerShell isteminde Java yükleme kutusu klasörüne geçin.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Aşağıdaki Azure TLS Veren CA sertifikalarının her birini indirin.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtVarsayılan keystore parola değişikliğini kullanarak her CA sertifikası CRT dosyasını Java anahtar deposuna aktarın.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitDoğrulamak için yukarıda listelenen Azure TLS veren CA sertifika diğer adları için Java anahtar deposunu görüntüleyin.
keytool -list -keystore ..\lib\security\cacertsBaşarılı bir bağlantı olduğunu onaylamak için SIEM aracısını başlatın ve yeni izleme günlüğü dosyasını gözden geçirin.
Sonraki adımlar
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.