SIEM-integráció hibáinak elhárítása

  • Cikk

Ez a cikk felsorolja azokat a lehetséges problémákat, amelyek a SIEM Felhőhöz készült Defender-alkalmazásokhoz való csatlakoztatása során merülnek fel, és lehetséges megoldásokat biztosít.

Hiányzó tevékenységesemények helyreállítása Felhőhöz készült Defender Apps SIEM-ügynökben

Mielőtt továbblép, ellenőrizze, hogy a Felhőhöz készült Defender Apps-licenc támogatja-e a konfigurálni kívánt SIEM-integrációt.

Ha rendszerriasztást kapott a SIEM-ügynökön keresztüli tevékenységkézbesítéssel kapcsolatos problémáról, kövesse az alábbi lépéseket a tevékenységesemények helyreállításához a probléma időkeretében. Ezek a lépések végigvezetik egy új helyreállítási SIEM-ügynök beállításán, amely párhuzamosan fog futni, és újraküldi a tevékenységeseményeket a SIEM-nek.

Feljegyzés

A helyreállítási folyamat újraküldi az összes tevékenységeseményt a rendszerriasztásban leírt időkeretben. Ha a SIEM már tartalmaz tevékenységeseményeket ebből az időkeretből, a helyreállítás után ismétlődő eseményeket fog tapasztalni.

1. lépés – Új SIEM-ügynök konfigurálása a meglévő ügynökkel párhuzamosan

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Rendszer területen válassza a SIEM-ügynököt. Ezután válassza az új SIEM-ügynök hozzáadását, és a varázslóval konfigurálja a kapcsolat részleteit a SIEM-hez. Létrehozhat például egy új SIEM-ügynököt a következő konfigurációval:

    • Protokoll: TCP
    • Távoli gazdagép: Minden olyan eszköz, ahol meghallgathat egy portot. Egy egyszerű megoldás például az lenne, ha ugyanazt az eszközt használná, mint az ügynök, és a távoli gazdagép IP-címét a 127.0.0.1 értékre állítja
    • Port: Bármely port, amely a távoli gazdaeszközön hallgatható

    Feljegyzés

    Ennek az ügynöknek a meglévőnel párhuzamosan kell futnia, így előfordulhat, hogy a hálózati konfiguráció nem azonos.

  3. A varázslóban konfigurálja úgy az adattípusokat, hogy csak tevékenységeket tartalmazzon, és alkalmazza ugyanazt a tevékenységszűrőt, amelyet az eredeti SIEM-ügynökben használt (ha létezik).

  4. Mentse a beállításokat.

  5. Futtassa az új ügynököt a létrehozott jogkivonat használatával.

2. lépés – A SIEM-be történő sikeres adatkézbesítés ellenőrzése

A konfiguráció ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Csatlakozás a SIEM-hez, és ellenőrizze, hogy az új adatok a konfigurált új SIEM-ügynöktől érkeznek-e.

Feljegyzés

Az ügynök csak annak a problémának az időkeretében küld tevékenységeket, amelyről riasztást kapott.

  1. Ha a SIEM nem fogad adatokat, akkor az új SIEM-ügynökeszközön próbálja meg figyelni a tevékenységek továbbítására konfigurált portot, és ellenőrizze, hogy az ügynöktől érkező adatok el lesznek-e küldve a SIEM-nek. Futtassa netcat -l <port><port> például a korábban konfigurált portszámot.

Feljegyzés

Ha használja ncat, adja meg az ipv4 jelölőt -4.

  1. Ha az ügynök adatokat küld, de nem kapja meg az SIEM-et, ellenőrizze a SIEM-ügynök naplóját. Ha "a kapcsolat megtagadva" üzeneteket lát, győződjön meg arról, hogy a SIEM-ügynök TLS 1.2 vagy újabb használatára van konfigurálva.

3. lépés – A Recovery SIEM-ügynök eltávolítása

  1. A helyreállítási SIEM-ügynök automatikusan leállítja az adatok küldését, és a befejezési dátum elérése után le lesz tiltva.
  2. Ellenőrizze a SIEM-ben, hogy a helyreállítási SIEM-ügynök nem küld új adatokat.
  3. Állítsa le az ügynök végrehajtását az eszközön.
  4. A portálon lépjen a SIEM-ügynök lapjára, és távolítsa el a helyreállítási SIEM-ügynököt.
  5. Győződjön meg arról, hogy az eredeti SIEM-ügynök továbbra is megfelelően működik.

Általános hibaelhárítás

Győződjön meg arról, hogy a SIEM-ügynök állapota az Felhőhöz készült Microsoft Defender Alkalmazások portálon nem Csatlakozás ion hiba vagy kapcsolat nélküli, és nincsenek ügynökértesítések. Az állapot Csatlakozás ion hibaként jelenik meg, ha a kapcsolat két óránál hosszabb ideig nem működik. Az állapot megszakad, ha a kapcsolat több mint 12 órán keresztül megszakadt.

Ha az ügynök futtatásakor a parancssorban az alábbi hibák valamelyikét látja, a következő lépésekkel háríthatja el a problémát:

Hiba Leírás Resolution (Osztás)
Általános hiba történt a rendszerindítás közben Váratlan hiba történt az ügynök rendszerindítása közben. Kapcsolatfelvétel az ügyfélszolgálattal.
Túl sok kritikus hiba Túl sok kritikus hiba történt a konzolhoz történő kapcsolódás közben. Leállás. Kapcsolatfelvétel az ügyfélszolgálattal.
Érvénytelen jogkivonat A megadott jogkivonat érvénytelen. Ellenőrizze, hogy a megfelelő jogkivonatról készített-e másolatot. A fenti eljárással végezheti el a jogkivonat újragenerálását.
Érvénytelen proxycím A megadott proxycím érvénytelen. Ellenőrizze, hogy a megfelelő proxyt és portot adta-e meg.

Az ügynök létrehozása után ellenőrizze a SIEM-ügynök oldalát az Felhőhöz készült Defender Apps portálon. Ha az alábbi ügynökértesítések egyikét látja, a következő lépésekkel háríthatja el a problémát:

Hiba Leírás Resolution (Osztás)
Belső hiba Ismeretlen hiba történt az SIEM-ügynökön. Kapcsolatfelvétel az ügyfélszolgálattal.
Küldési hiba történt az adatkiszolgálón Ez a hiba akkor jelenhet meg, ha TCP-en keresztüli Syslog-kiszolgálóval dolgozik. A SIEM-ügynök nem tud csatlakozni a Syslog-kiszolgálóhoz. Ha ezt a hibát kapja, az ügynök leállítja az új tevékenységek lekérését, amíg ki nem javítják. Ügyeljen arra, hogy kövesse a szervizelési lépéseket, amíg a hiba nem jelenik meg. 1. Győződjön meg arról, hogy megfelelően definiálta a Syslog-kiszolgálót: Az Felhőhöz készült Defender Apps felhasználói felületén szerkessze sIEM-ügynökét a fent leírtak szerint. Győződjön meg arról, hogy helyesen írta meg a kiszolgáló nevét, és állítsa be a megfelelő portot.
2. A Syslog-kiszolgáló hálózati csatlakozásának ellenőrzése: Győződjön meg arról, hogy nem blokkolja-e tűzfal a kommunikációt.
Csatlakozási hiba történt az adatkiszolgálón Ez a hiba akkor jelenhet meg, ha TCP-en keresztüli Syslog-kiszolgálóval dolgozik. A SIEM-ügynök nem tud csatlakozni a Syslog-kiszolgálóhoz. Ha ezt a hibát kapja, az ügynök leállítja az új tevékenységek lekérését, amíg ki nem javítják. Ügyeljen arra, hogy kövesse a szervizelési lépéseket, amíg a hiba nem jelenik meg. 1. Győződjön meg arról, hogy megfelelően definiálta a Syslog-kiszolgálót: Az Felhőhöz készült Defender Apps felhasználói felületén szerkessze sIEM-ügynökét a fent leírtak szerint. Győződjön meg arról, hogy helyesen írta meg a kiszolgáló nevét, és állítsa be a megfelelő portot.
2. A Syslog-kiszolgáló hálózati csatlakozásának ellenőrzése: Győződjön meg arról, hogy nem blokkolja-e tűzfal a kommunikációt.
SIEM-ügynök hibája Az SIEM-ügynök több, mint X órája megszakadt Győződjön meg arról, hogy nem módosította a SIEM-konfigurációt a Felhőhöz készült Defender Apps portálon. Ellenkező esetben ez a hiba kapcsolati problémákat jelezhet Felhőhöz készült Defender Apps és azon számítógép között, amelyen a SIEM-ügynököt futtatja.
SIEM-ügynökértesítési hiba Egy SIEM-ügynöktől az SIEM-ügynökértesítések továbbításával kapcsolatos hibák érkeztek. Ez a hiba azt jelzi, hogy hibát kapott a SIEM-ügynök és a SIEM-kiszolgáló közötti kapcsolattal kapcsolatban. Győződjön meg arról, hogy nincs olyan tűzfal, amely blokkolja a SIEM-kiszolgálót vagy azt a számítógépet, amelyen a SIEM-ügynököt futtatja. Ellenőrizze azt is, hogy a SIEM-kiszolgáló IP-címe nem módosult-e. Ha telepítette a Java Runtime Engine (JRE) 291-s vagy újabb frissítését, kövesse a Java új verzióival kapcsolatos problémák című témakör utasításait.

A Java új verzióival kapcsolatos probléma

A Java újabb verziói problémákat okozhatnak a SIEM-ügynökkel. Ha telepítette a Java Runtime Engine (JRE) 291- vagy újabb verzióját, kövesse az alábbi lépéseket:

  1. Egy emelt szintű PowerShell-parancssorban váltson a Java telepítési bin mappára.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Töltse le az alábbi Azure TLS hitelesítésszolgáltatói tanúsítványokat.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importálja az egyes CA-tanúsítvány CRT-fájlokat a Java-kulcstárba az alapértelmezett kulcstárjelszó-módosítási paranccsal.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Az ellenőrzéshez tekintse meg az Azure TLS-hez tartozó Java-kulcstárat, amely a fent felsorolt hitelesítésszolgáltatói tanúsítvány-aliasokat bocsátja ki.

        keytool -list -keystore ..\lib\security\cacerts

  5. Indítsa el a SIEM-ügynököt, és tekintse át az új nyomkövetési naplófájlt a sikeres kapcsolat megerősítéséhez.

Következő lépések

Ajánlott eljárások a szervezet védelméhez

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.