Share via

Solución de problemas de integración de SIEM

  • Artículo

En este artículo se proporciona una lista de posibles problemas al conectar su SIEM con Defender for Cloud Apps, así como posibles soluciones.

Recuperación de eventos de actividad que faltan en el agente SIEM de Defender for Cloud Apps

Antes de continuar, compruebe que la licencia de Defender for Cloud Apps admite la integración de SIEM que intenta configurar.

Si recibió una alerta del sistema con respecto a un problema con la entrega de actividad a través del agente SIEM, siga los pasos siguientes para recuperar los eventos de actividad en el período de tiempo del problema. Estos pasos le guiarán a través de la configuración de un nuevo agente SIEM de recuperación que se ejecutará en paralelo y reenviará los eventos de actividad a su SIEM.

Nota:

El proceso de recuperación volverá a enviar todos los eventos de actividad en el período de tiempo descrito en la alerta del sistema. Si el SIEM ya contiene eventos de actividad de este período de tiempo, experimentará eventos duplicados después de esta recuperación.

Paso 1: configure un nuevo agente SIEM en paralelo al agente existente

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Sistema, seleccione Agente SIEM. A continuación, seleccione Agregar un nuevo agente SIEM y use el asistente para configurar los detalles de conexión en su SIEM. Por ejemplo, puede crear un nuevo agente SIEM con la siguiente configuración:

    • Protocolo: TCP
    • Host remoto: cualquier dispositivo en el que pueda escuchar un puerto. Por ejemplo, una solución sencilla sería usar el mismo dispositivo que el agente y establecer la dirección IP del host remoto en 127.0.0.1
    • Puerto: cualquier puerto que pueda escuchar en el dispositivo host remoto

    Nota:

    Este agente debe ejecutarse en paralelo con el existente, por lo que es posible que la configuración de red no sea idéntica.

  3. En el asistente, configure los tipos de datos para incluir solo actividades y aplique el mismo filtro de actividad que se usó en el agente SIEM original (si existe).

  4. Guarde la configuración.

  5. Ejecute el nuevo agente mediante el token generado.

Paso 2: Validación de la entrega correcta de datos a su SIEM

Siga los siguientes pasos para validar su configuración:

  1. Conectar a su SIEM y compruebe que los nuevos datos se reciben del nuevo agente SIEM que configuró.

Nota:

El agente solo enviará actividades en el período de tiempo del problema en el que se le ha alertado.

  1. Si el SIEM no recibe los datos, en el nuevo dispositivo del agente SIEM, intente escuchar el puerto que configuró para reenviar actividades para ver si los datos se envían desde el agente al SIEM. Por ejemplo, ejecute netcat -l <port> donde <port> es el número de puerto configurado anteriormente.

Nota:

Si usa ncat, asegúrese de especificar la marca ipv4 -4.

  1. Si el agente envía los datos pero no los recibe el SIEM, compruebe el registro del agente de SIEM. Si puede ver mensajes de "conexión rechazada", asegúrese de que el agente SIEM está configurado para usar TLS 1.2 o posterior.

Paso 3: Eliminación del agente SIEM de recuperación

  1. El agente SIEM de recuperación dejará de enviar datos automáticamente y se deshabilitará una vez que llegue a la fecha de finalización.
  2. Valide en el SIEM que el agente de SIEM de recuperación no envía ningún dato nuevo.
  3. Detenga la ejecución del agente en el dispositivo.
  4. En el portal, vaya a la página Agente SIEM y quite el agente SIEM de recuperación.
  5. Asegúrese de que el agente SIEM original sigue ejecutándose correctamente.

Solución general de problemas

Asegúrese de que el estado del agente SIEM en el portal de Microsoft Defender for Cloud Apps no sea Error de conexión ni Desconectado y de que no haya ninguna notificación del agente. El estado se muestra como Error de conexión si la conexión está inactiva durante más de dos horas. El estado cambia a Desconectado si la conexión está inactiva durante más de 12 horas.

Si ve alguno de los errores siguientes en el símbolo del sistema mientras se ejecuta al agente, siga estos pasos para corregir el problema:

Error Descripción Resolución
Error general durante el arranque Error inesperado durante el arranque del agente. Póngase en contacto con el servicio de soporte técnico.
Demasiados errores críticos Se han producido demasiados errores críticos al conectar la consola. Apagando el equipo. Póngase en contacto con el servicio de soporte técnico.
Token no válido El token proporcionado no es válido. Asegúrese de que haya copiado el token adecuado. Puede usar el proceso anterior para volver a generar el token.
Dirección de proxy no válida La dirección de proxy proporcionada no es válida. Asegúrese de que haya escrito el proxy y el puerto correctos.

Después de crear el agente, consulte la página del agente SIEM en el portal de Defender for Cloud Apps. Si ve alguna de las Notificaciones del agente siguientes, siga estos pasos para corregir el problema:

Error Descripción Resolución
Error interno Se ha producido un problema desconocido con el agente SIEM. Póngase en contacto con el servicio de soporte técnico.
Error en el envío al servidor de datos Este error puede aparecer si está trabajando con un servidor de Syslog sobre TCP. El agente SIEM no puede conectarse a su servidor de Syslog. Si se le muestra este error, el agente dejará de extraer nuevas actividades hasta que se solucione. Debe seguir los pasos de corrección indicados hasta que el error deje de aparecer. 1. También es necesario haber definido correctamente el servidor de Syslog: en la UI de Defender for Cloud Apps, edite el agente SIEM como se ha descrito anteriormente. Compruebe que haya escrito correctamente el nombre del servidor y establecido el puerto correcto.
2. Compruebe la conectividad con el servidor de Syslog: asegúrese de que el firewall no esté bloqueando la comunicación.
Error en la conexión al servidor de datos Este error puede aparecer si está trabajando con un servidor de Syslog sobre TCP. El agente SIEM no puede conectarse a su servidor de Syslog. Si se le muestra este error, el agente dejará de extraer nuevas actividades hasta que se solucione. Debe seguir los pasos de corrección indicados hasta que el error deje de aparecer. 1. También es necesario haber definido correctamente el servidor de Syslog: en la UI de Defender for Cloud Apps, edite el agente SIEM como se ha descrito anteriormente. Compruebe que haya escrito correctamente el nombre del servidor y establecido el puerto correcto.
2. Compruebe la conectividad con el servidor de Syslog: asegúrese de que el firewall no esté bloqueando la comunicación.
Error del agente SIEM El agente SIEM ha estado desconectado durante más de X horas. Asegúrese de que no ha cambiado la configuración de SIEM en el portal de Defender for Cloud Apps. De lo contrario, este error podría indicar problemas de conectividad entre Defender for Cloud Apps y el equipo en el que se ejecuta el agente SIEM.
Error de notificación del agente SIEM Se han recibido errores de reenvío de notificación de agente SIEM procedentes de un agente SIEM. Este error indica que ha recibido errores relacionados con la conexión entre el agente SIEM y el servidor SIEM. Asegúrese de que no hay ningún firewall que bloquee el servidor SIEM o el equipo en el que se ejecuta el agente SIEM. Compruebe también que la dirección IP del servidor SIEM no ha cambiado. Si ha instalado la actualización 291 o posterior de Java Runtime Engine (JRE), siga las instrucciones de Problema con las nuevas versiones de Java.

Problema con las nuevas versiones de Java

Las versiones más recientes de Java pueden causar problemas con el agente SIEM. Si ha instalado la actualización 291 o posterior de Java Runtime Engine (JRE), siga estos pasos:

  1. En un símbolo del sistema de PowerShell con privilegios elevados, cambie a la carpeta bin de instalación de Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Descargue cada uno de los siguientes certificados de entidad de certificación emisora de Azure TLS.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importe cada archivo CRT de certificado de entidad de certificación en el almacén de claves de Java mediante el cambio de contraseña del almacén de claves predeterminado changeit.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Para comprobarlo, consulte el almacén de claves de Java para los alias de certificado de entidad de certificación emisora de AZURE TLS enumerados anteriormente.

        keytool -list -keystore ..\lib\security\cacerts

  5. Inicie el agente SIEM y revise el nuevo archivo de registro de seguimiento para confirmar una conexión correcta.

Pasos siguientes

Prácticas recomendadas para proteger su organización

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.