Risoluzione dei problemi di integrazione SIEM

  • Articolo

Questo articolo fornisce un elenco dei possibili problemi durante la connessione del sistema SIEM alle app di Defender per il cloud e offre possibili soluzioni.

Ripristinare gli eventi di attività mancanti nell'agente SIEM delle app Defender per il cloud

Prima di procedere, verificare che la licenza di Defender per il cloud Apps supporti l'integrazione SIEM che si sta tentando di configurare.

Se è stato ricevuto un avviso di sistema relativo a un problema relativo al recapito di attività tramite l'agente SIEM, seguire questa procedura per recuperare gli eventi di attività nell'intervallo di tempo del problema. Questi passaggi consentono di configurare un nuovo agente SIEM di ripristino che verrà eseguito in parallelo e di inviare di nuovo gli eventi di attività al siem.

Nota

Il processo di ripristino invierà nuovamente tutti gli eventi di attività nell'intervallo di tempo descritto nell'avviso di sistema. Se il siem contiene già eventi di attività da questo intervallo di tempo, si verificano eventi duplicati dopo questo ripristino.

Passaggio 1: Configurare un nuovo agente SIEM in parallelo all'agente esistente

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In Sistema selezionare Agente SIEM. Selezionare quindi aggiungi un nuovo agente SIEM e usare la procedura guidata per configurare i dettagli della connessione al sistema SIEM. Ad esempio, è possibile creare un nuovo agente SIEM con la configurazione seguente:

    • Protocollo: TCP
    • Host remoto: qualsiasi dispositivo in cui è possibile restare in ascolto di una porta. Ad esempio, una soluzione semplice consiste nell'usare lo stesso dispositivo dell'agente e impostare l'indirizzo IP dell'host remoto su 127.0.0.1
    • Porta: qualsiasi porta che è possibile restare in ascolto nel dispositivo host remoto

    Nota

    Questo agente deve essere eseguito in parallelo a quello esistente, quindi la configurazione di rete potrebbe non essere identica.

  3. Nella procedura guidata configurare i tipi di dati in modo che includano solo Attività e applichino lo stesso filtro attività usato nell'agente SIEM originale (se esistente).

  4. Salva le impostazioni.

  5. Eseguire il nuovo agente usando il token generato.

Passaggio 2: convalidare la corretta distribuzione dei dati nel sistema SIEM

Per convalidare la configurazione, seguire questa procedura:

  1. Connessione al siem e verificare che i nuovi dati vengano ricevuti dal nuovo agente SIEM configurato.

Nota

L'agente invierà attività solo nell'intervallo di tempo del problema in cui si è verificato l'avviso.

  1. Se i dati non vengono ricevuti dal sistema SIEM, nel nuovo dispositivo agente SIEM provare ad ascoltare la porta configurata per inoltrare le attività per verificare se i dati vengono inviati dall'agente al siem. Ad esempio, eseguire netcat -l <port> dove <port> è il numero di porta configurato in precedenza.

Nota

Se si usa ncat, assicurarsi di specificare il flag -4ipv4 .

  1. Se i dati vengono inviati dall'agente ma non ricevuti dal siem, controllare il log dell'agente SIEM. Se è possibile visualizzare i messaggi "connessione rifiutata", assicurarsi che l'agente SIEM sia configurato per l'uso di TLS 1.2 o versione successiva.

Passaggio 3: Rimuovere l'agente SIEM di ripristino

  1. L'agente SIEM di ripristino interromperà automaticamente l'invio dei dati e verrà disabilitato quando raggiunge la data di fine.
  2. Verificare nel sistema SIEM che non vengano inviati nuovi dati dall'agente SIEM di ripristino.
  3. Arrestare l'esecuzione dell'agente nel dispositivo.
  4. Nel portale passare alla pagina agente SIEM e rimuovere l'agente SIEM di ripristino.
  5. Assicurarsi che l'agente SIEM originale sia ancora in esecuzione correttamente.

Risoluzione dei problemi generali

Assicurarsi che lo stato dell'agente SIEM nel portale delle app di Microsoft Defender per il cloud non sia Connessione oerrore di disconnessione e che non siano presenti notifiche dell'agente. Lo stato risulta Errore di connessione se la connessione è inattiva da più di due ore. Lo stato diventa Disconnesso se la connessione rimane inattiva per più di 12 ore.

Se durante l'esecuzione dell'agente il prompt dei comandi visualizza uno degli errori riportati di seguito, usare la procedura seguente per risolvere il problema:

Errore Descrizione Risoluzione
General error during bootstrap (Errore generale durante l'avvio) Errore imprevisto durante l'avvio dell'agente. Contattare il supporto tecnico.
Too many critical errors (Troppi errori critici) Si sono verificati troppi errori critici durante la connessione della console. Arresto. Contattare il supporto tecnico.
Token non valido Il token specificato non è valido. Assicurarsi di aver copiato il token corretto. È possibile rigenerare il token tramite il processo descritto in precedenza.
Indirizzo proxy non valido L'indirizzo proxy specificato non è valido. Assicurarsi di aver immesso il proxy e la porta corretti.

Dopo aver creato l'agente, controllare la pagina dell'agente SIEM nel portale delle app di Defender per il cloud. Se viene visualizzata una delle notifiche dell'agente seguenti, usare questa procedura per correggere il problema:

Errore Descrizione Risoluzione
Errore interno Si è verificato un errore sconosciuto dell'agente SIEM. Contattare il supporto tecnico.
Data server send error (Errore di invio server dati) Questo errore può verificarsi se si usa un server Syslog tramite il protocollo TCP. L'agente di informazioni di sicurezza e gestione degli eventi non riesce a connettersi al server Syslog. Se viene visualizzato questo errore, l'agente smetterà di eseguire il pull di nuove attività fino a quando non viene risolto. Assicurarsi di seguire la procedura di correzione finché l'errore non viene più visualizzato. 1. Assicurarsi di aver definito correttamente il server Syslog: nell'interfaccia utente delle app Defender per il cloud modificare l'agente SIEM come descritto in precedenza. Verificare di aver scritto correttamente il nome del server e di aver impostato la porta corretta.
2. Verificare la connessione al server syslog: assicurarsi che il firewall non blocchi la comunicazione.
Data server connection error (Errore di connessione server dati) Questo errore può verificarsi se si usa un server Syslog tramite il protocollo TCP. L'agente di informazioni di sicurezza e gestione degli eventi non riesce a connettersi al server Syslog. Se viene visualizzato questo errore, l'agente smetterà di eseguire il pull di nuove attività fino a quando non viene risolto. Assicurarsi di seguire la procedura di correzione finché l'errore non viene più visualizzato. 1. Assicurarsi di aver definito correttamente il server Syslog: nell'interfaccia utente delle app Defender per il cloud modificare l'agente SIEM come descritto in precedenza. Verificare di aver scritto correttamente il nome del server e di aver impostato la porta corretta.
2. Verificare la connessione al server syslog: assicurarsi che il firewall non blocchi la comunicazione.
SIEM agent error (Errore dell'agente SIEM) L'agente SIEM è disconnesso da oltre X ore. Assicurarsi di non aver modificato la configurazione SIEM nel portale delle app di Defender per il cloud. In caso contrario, questo errore potrebbe indicare problemi di connettività tra Defender per il cloud App e il computer in cui si esegue l'agente SIEM.
SIEM agent notification error (Errore di notifica dell'agente SIEM) Un agente SIEM ha ricevuto errori di inoltro notifiche. Questo errore indica che sono stati ricevuti errori relativi alla connessione tra l'agente SIEM e il server SIEM. Assicurarsi che il server di informazioni di sicurezza e gestione degli eventi o il computer in cui è in esecuzione l'agente di informazioni di sicurezza e gestione degli eventi non sia bloccato da un firewall. Verificare inoltre che l'indirizzo IP del server di informazioni di sicurezza e gestione degli eventi non sia cambiato. Se è stato installato Java Runtime Engine (JRE) update 291 o versione successiva, seguire le istruzioni in Problema con le nuove versioni di Java.

Problema con le nuove versioni di Java

Le versioni più recenti di Java possono causare problemi con l'agente SIEM. Se è stato installato Java Runtime Engine (JRE) update 291 o versione successiva, seguire questa procedura:

  1. In un prompt di PowerShell con privilegi elevati passare alla cartella bin di installazione Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Scaricare ognuno dei seguenti certificati CA rilasciati da TLS di Azure.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importare ogni file CRT del certificato CA nell'archivio chiavi Java, usando l'impostazione predefinita della modifica della password dell'archivio chiavi.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Per verificare, visualizzare l'archivio chiavi Java per gli alias del certificato CA emittente di Azure TLS elencati in precedenza.

        keytool -list -keystore ..\lib\security\cacerts

  5. Avviare l'agente SIEM ed esaminare il nuovo file di log di traccia per confermare una connessione corretta.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.