SIEM-integráció hibáinak elhárítása
Ez a cikk felsorolja azokat a lehetséges problémákat, amelyek a SIEM Felhőhöz készült Defender-alkalmazásokhoz való csatlakoztatása során merülnek fel, és lehetséges megoldásokat biztosít.
Hiányzó tevékenységesemények helyreállítása Felhőhöz készült Defender Apps SIEM-ügynökben
Mielőtt továbblép, ellenőrizze, hogy a Felhőhöz készült Defender Apps-licenc támogatja-e a konfigurálni kívánt SIEM-integrációt.
Ha rendszerriasztást kapott a SIEM-ügynökön keresztüli tevékenységkézbesítéssel kapcsolatos problémáról, kövesse az alábbi lépéseket a tevékenységesemények helyreállításához a probléma időkeretében. Ezek a lépések végigvezetik egy új helyreállítási SIEM-ügynök beállításán, amely párhuzamosan fog futni, és újraküldi a tevékenységeseményeket a SIEM-nek.
Feljegyzés
A helyreállítási folyamat újraküldi az összes tevékenységeseményt a rendszerriasztásban leírt időkeretben. Ha a SIEM már tartalmaz tevékenységeseményeket ebből az időkeretből, a helyreállítás után ismétlődő eseményeket fog tapasztalni.
1. lépés – Új SIEM-ügynök konfigurálása a meglévő ügynökkel párhuzamosan
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Rendszer területen válassza a SIEM-ügynököt. Ezután válassza az új SIEM-ügynök hozzáadását, és a varázslóval konfigurálja a kapcsolat részleteit a SIEM-hez. Létrehozhat például egy új SIEM-ügynököt a következő konfigurációval:
- Protokoll: TCP
- Távoli gazdagép: Minden olyan eszköz, ahol meghallgathat egy portot. Egy egyszerű megoldás például az lenne, ha ugyanazt az eszközt használná, mint az ügynök, és a távoli gazdagép IP-címét a 127.0.0.1 értékre állítja
- Port: Bármely port, amely a távoli gazdaeszközön hallgatható
Feljegyzés
Ennek az ügynöknek a meglévőnel párhuzamosan kell futnia, így előfordulhat, hogy a hálózati konfiguráció nem azonos.
A varázslóban konfigurálja úgy az adattípusokat, hogy csak tevékenységeket tartalmazzon, és alkalmazza ugyanazt a tevékenységszűrőt, amelyet az eredeti SIEM-ügynökben használt (ha létezik).
Mentse a beállításokat.
Futtassa az új ügynököt a létrehozott jogkivonat használatával.
2. lépés – A SIEM-be történő sikeres adatkézbesítés ellenőrzése
A konfiguráció ellenőrzéséhez kövesse az alábbi lépéseket:
- Csatlakozás a SIEM-hez, és ellenőrizze, hogy az új adatok a konfigurált új SIEM-ügynöktől érkeznek-e.
Feljegyzés
Az ügynök csak annak a problémának az időkeretében küld tevékenységeket, amelyről riasztást kapott.
- Ha a SIEM nem fogad adatokat, akkor az új SIEM-ügynökeszközön próbálja meg figyelni a tevékenységek továbbítására konfigurált portot, és ellenőrizze, hogy az ügynöktől érkező adatok el lesznek-e küldve a SIEM-nek. Futtassa
netcat -l <port>
<port>
például a korábban konfigurált portszámot.
Feljegyzés
Ha használja ncat
, adja meg az ipv4 jelölőt -4
.
- Ha az ügynök adatokat küld, de nem kapja meg az SIEM-et, ellenőrizze a SIEM-ügynök naplóját. Ha "a kapcsolat megtagadva" üzeneteket lát, győződjön meg arról, hogy a SIEM-ügynök TLS 1.2 vagy újabb használatára van konfigurálva.
3. lépés – A Recovery SIEM-ügynök eltávolítása
- A helyreállítási SIEM-ügynök automatikusan leállítja az adatok küldését, és a befejezési dátum elérése után le lesz tiltva.
- Ellenőrizze a SIEM-ben, hogy a helyreállítási SIEM-ügynök nem küld új adatokat.
- Állítsa le az ügynök végrehajtását az eszközön.
- A portálon lépjen a SIEM-ügynök lapjára, és távolítsa el a helyreállítási SIEM-ügynököt.
- Győződjön meg arról, hogy az eredeti SIEM-ügynök továbbra is megfelelően működik.
Általános hibaelhárítás
Győződjön meg arról, hogy a SIEM-ügynök állapota az Felhőhöz készült Microsoft Defender Alkalmazások portálon nem Csatlakozás ion hiba vagy kapcsolat nélküli, és nincsenek ügynökértesítések. Az állapot Csatlakozás ion hibaként jelenik meg, ha a kapcsolat két óránál hosszabb ideig nem működik. Az állapot megszakad, ha a kapcsolat több mint 12 órán keresztül megszakadt.
Ha az ügynök futtatásakor a parancssorban az alábbi hibák valamelyikét látja, a következő lépésekkel háríthatja el a problémát:
Hiba | Leírás | Resolution (Osztás) |
---|---|---|
Általános hiba történt a rendszerindítás közben | Váratlan hiba történt az ügynök rendszerindítása közben. | Kapcsolatfelvétel az ügyfélszolgálattal. |
Túl sok kritikus hiba | Túl sok kritikus hiba történt a konzolhoz történő kapcsolódás közben. Leállás. | Kapcsolatfelvétel az ügyfélszolgálattal. |
Érvénytelen jogkivonat | A megadott jogkivonat érvénytelen. | Ellenőrizze, hogy a megfelelő jogkivonatról készített-e másolatot. A fenti eljárással végezheti el a jogkivonat újragenerálását. |
Érvénytelen proxycím | A megadott proxycím érvénytelen. | Ellenőrizze, hogy a megfelelő proxyt és portot adta-e meg. |
Az ügynök létrehozása után ellenőrizze a SIEM-ügynök oldalát az Felhőhöz készült Defender Apps portálon. Ha az alábbi ügynökértesítések egyikét látja, a következő lépésekkel háríthatja el a problémát:
Hiba | Leírás | Resolution (Osztás) |
---|---|---|
Belső hiba | Ismeretlen hiba történt az SIEM-ügynökön. | Kapcsolatfelvétel az ügyfélszolgálattal. |
Küldési hiba történt az adatkiszolgálón | Ez a hiba akkor jelenhet meg, ha TCP-en keresztüli Syslog-kiszolgálóval dolgozik. A SIEM-ügynök nem tud csatlakozni a Syslog-kiszolgálóhoz. Ha ezt a hibát kapja, az ügynök leállítja az új tevékenységek lekérését, amíg ki nem javítják. Ügyeljen arra, hogy kövesse a szervizelési lépéseket, amíg a hiba nem jelenik meg. | 1. Győződjön meg arról, hogy megfelelően definiálta a Syslog-kiszolgálót: Az Felhőhöz készült Defender Apps felhasználói felületén szerkessze sIEM-ügynökét a fent leírtak szerint. Győződjön meg arról, hogy helyesen írta meg a kiszolgáló nevét, és állítsa be a megfelelő portot. 2. A Syslog-kiszolgáló hálózati csatlakozásának ellenőrzése: Győződjön meg arról, hogy nem blokkolja-e tűzfal a kommunikációt. |
Csatlakozási hiba történt az adatkiszolgálón | Ez a hiba akkor jelenhet meg, ha TCP-en keresztüli Syslog-kiszolgálóval dolgozik. A SIEM-ügynök nem tud csatlakozni a Syslog-kiszolgálóhoz. Ha ezt a hibát kapja, az ügynök leállítja az új tevékenységek lekérését, amíg ki nem javítják. Ügyeljen arra, hogy kövesse a szervizelési lépéseket, amíg a hiba nem jelenik meg. | 1. Győződjön meg arról, hogy megfelelően definiálta a Syslog-kiszolgálót: Az Felhőhöz készült Defender Apps felhasználói felületén szerkessze sIEM-ügynökét a fent leírtak szerint. Győződjön meg arról, hogy helyesen írta meg a kiszolgáló nevét, és állítsa be a megfelelő portot. 2. A Syslog-kiszolgáló hálózati csatlakozásának ellenőrzése: Győződjön meg arról, hogy nem blokkolja-e tűzfal a kommunikációt. |
SIEM-ügynök hibája | Az SIEM-ügynök több, mint X órája megszakadt | Győződjön meg arról, hogy nem módosította a SIEM-konfigurációt a Felhőhöz készült Defender Apps portálon. Ellenkező esetben ez a hiba kapcsolati problémákat jelezhet Felhőhöz készült Defender Apps és azon számítógép között, amelyen a SIEM-ügynököt futtatja. |
SIEM-ügynökértesítési hiba | Egy SIEM-ügynöktől az SIEM-ügynökértesítések továbbításával kapcsolatos hibák érkeztek. | Ez a hiba azt jelzi, hogy hibát kapott a SIEM-ügynök és a SIEM-kiszolgáló közötti kapcsolattal kapcsolatban. Győződjön meg arról, hogy nincs olyan tűzfal, amely blokkolja a SIEM-kiszolgálót vagy azt a számítógépet, amelyen a SIEM-ügynököt futtatja. Ellenőrizze azt is, hogy a SIEM-kiszolgáló IP-címe nem módosult-e. Ha telepítette a Java Runtime Engine (JRE) 291-s vagy újabb frissítését, kövesse a Java új verzióival kapcsolatos problémák című témakör utasításait. |
A Java új verzióival kapcsolatos probléma
A Java újabb verziói problémákat okozhatnak a SIEM-ügynökkel. Ha telepítette a Java Runtime Engine (JRE) 291- vagy újabb verzióját, kövesse az alábbi lépéseket:
Egy emelt szintű PowerShell-parancssorban váltson a Java telepítési bin mappára.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
Töltse le az alábbi Azure TLS hitelesítésszolgáltatói tanúsítványokat.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"
cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt
Importálja az egyes CA-tanúsítvány CRT-fájlokat a Java-kulcstárba az alapértelmezett kulcstárjelszó-módosítási paranccsal.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
Az ellenőrzéshez tekintse meg az Azure TLS-hez tartozó Java-kulcstárat, amely a fent felsorolt hitelesítésszolgáltatói tanúsítvány-aliasokat bocsátja ki.
keytool -list -keystore ..\lib\security\cacerts
Indítsa el a SIEM-ügynököt, és tekintse át az új nyomkövetési naplófájlt a sikeres kapcsolat megerősítéséhez.
Következő lépések
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.