SIEM 統合のトラブルシューティング

  • [アーティクル]

この記事では、SIEM を Defender for Cloud Apps に接続した場合に発生するおそれのある問題のリストと、それぞれに対する考えられる解決策を提供します。

Defender for Cloud Apps SIEM エージェントで不足しているアクティビティ イベントを回復する

続ける前に、構成しようとしている SIEM 統合が Defender for Cloud Apps ライセンスでサポートされていることをご確認ください。

SIEM エージェントを介したアクティビティ配信の問題に関するシステム アラートを受信した場合は、次の手順に従って、問題の期間内のアクティビティ イベントを回復します。 これらの手順では、並行して実行され、アクティビティ イベントを SIEM に再送信する新しい回復 SIEM エージェントをセットアップする手順を説明します。

Note

回復プロセスでは、システム アラートに記載されている期間内にすべてのアクティビティ イベントが再送信されます。 SIEM にこの期間のアクティビティ イベントがすでに含まれている場合、この回復後にイベントが重複して発生します。

ステップ 1 – 既存のエージェントと並行して新しい SIEM エージェントを構成する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [システム] で、[SIEM エージェント] を選択します。 次に、[新しい SIEM エージェントを追加] を選択し、ウィザードを使用して SIEM への接続の詳細を構成します。 たとえば、次の構成で新しい SIEM エージェントを作成できます。

    • プロトコル: TCP
    • リモートホスト: ポートをリッスンできる任意のデバイス。 たとえば、簡単な解決策は、エージェントと同じデバイスを使用し、リモート ホストの IP アドレスを 127.0.0.1 に設定することです。
    • ポート: リモート ホスト デバイスでリッスンできる任意のポート

    Note

    このエージェントは既存のエージェントと並行して実行する必要があるため、ネットワーク構成は同一ではない可能性があります。

  3. ウィザードで、アクティビティのみを含むようにデータ タイプを構成し、元の SIEM エージェント (存在する場合) で使用されていたのと同じアクティビティ フィルタを適用します。

  4. 設定を保存します。

  5. 生成されたトークンを使用して新しいエージェントを実行します。

ステップ 2 – SIEM へのデータ配信が成功したかどうかを検証する

構成を検証するには、次の手順を使用します。

  1. SIEM に接続し、構成した新しい SIEM エージェントから新しいデータが受信されることを確認します。

Note

エージェントは、警告を受けた問題の期間内にのみアクティビティを送信します。

  1. SIEM でデータが受信されない場合は、新しい SIEM エージェント デバイスで、アクティビティを転送するように構成したポートをリッスンして、データがエージェントから SIEM に送信されているかどうかを確認します。 たとえば、<port>が以前に構成したポート番号であるnetcat -l <port>を実行します。

Note

ncatを使用している場合は、必ず ipv4 フラグ -4 を指定してください。

  1. データがエージェントによって送信されているが、SIEM によって受信されていない場合は、SIEM エージェントのログを確認してください。 「接続が拒否されました」というメッセージが表示される場合は、SIEM エージェントが TLS 1.2 以降を使用するように構成されていることを確認してください。

ステップ 3 – 回復 SIEM エージェントを削除する

  1. 回復 SIEM エージェントは、終了日に達するとデータの送信を自動的に停止し、無効になります。
  2. 回復 SIEM エージェントによって新しいデータが送信されないことを SIEM で検証します。
  3. デバイス上のエージェントの実行を停止します。
  4. ポータルで、SIEM エージェント ページに移動し、回復 SIEM エージェントを削除します。
  5. 元の SIEM エージェントがまだ適切に実行されていることを確認してください。

一般的なトラブルシューティング

Microsoft Defender for Cloud Apps ポータルで SIEM エージェントの状態が [接続エラー] または [切断] ではないことと、エージェント通知がないことを確認します。 接続が 2 時間以上停止した場合、状態が [接続エラー] として表示されます。 接続の停止時間が 12 時間を超えると、状態が [切断] に変わります。

エージェントを実行しているときにコマンド プロンプト ウィンドウに次のようなエラーのいずれかが表示された場合は、以下の手順を使用して問題を修正します。

エラー 説明 解像度
General error during bootstrap エージェントのブートストラップ中の予期しないエラーです。 サポートにお問い合せください。
Too many critical errors コンソールの接続中に発生する重大なエラーが多すぎます。 シャットダウンします。 サポートにお問い合せください。
Invalid token 指定されたトークンが有効ではありません。 正しいトークンをコピーしたことを確認してください。 上記のプロセスを使用することで、トークンを再生成できます。
無効なプロキシ アドレス 指定されたプロキシ アドレスが有効ではありません。 正しいプロキシとポートを入力したことを確認してください。

エージェントを作成したら、Defender for Cloud Apps ポータルの SIEM エージェント ページを確認します。 次のエージェントの通知のいずれかが表示された場合は、以下の手順を使用して問題を修正します。

エラー 説明 解像度
内部エラー SIEM エージェントで不明なエラーが発生しました。 サポートにお問い合せください。
データ サーバー送信エラー TCP 経由で Syslog サーバーを使用している場合、このエラーが発生することがあります。 SIEM エージェントが Syslog サーバーに接続できません。 このエラーが発生した場合、エージェントは修正されるまで新しいアクティビティの取得を停止します。 エラーが表示されなくなるまで修正手順に従ってください。 1. Syslog サーバーが正しく定義されていることを確認します。Defender for Cloud Apps UI で、前述のように SIEM エージェントを編集します。 サーバー名を正しく記述したことを確認して、正しいポートを設定します。
2. Syslog サーバーへの接続を確認する: ファイアウォールで通信がブロックされていないことを確認します。
データ サーバー接続エラー TCP 経由で Syslog サーバーを使用している場合、このエラーが発生することがあります。 SIEM エージェントが Syslog サーバーに接続できません。 このエラーが発生した場合、エージェントは修正されるまで新しいアクティビティの取得を停止します。 エラーが表示されなくなるまで修正手順に従ってください。 1. Syslog サーバーが正しく定義されていることを確認します。Defender for Cloud Apps UI で、前述のように SIEM エージェントを編集します。 サーバー名を正しく記述したことを確認して、正しいポートを設定します。
2. Syslog サーバーへの接続を確認する: ファイアウォールで通信がブロックされていないことを確認します。
SIEM エージェント エラー SIEM エージェントの接続が X 時間以上切断されている Defender for Cloud Apps ポータルの SIEM 構成に変更を加えていないことを確認します。 そうしないと、このエラーは、Defender for Cloud Apps と SIEM エージェントを実行しているコンピューター間の接続の問題を示す場合があります。
SIEM エージェント通知エラー SIEM エージェント通知エラーが SIEM エージェントから受信されました。 このエラーは、SIEM エージェントと SIEM サーバー間の接続に関するエラーを受け取ったことを示します。 SIEM サーバーまたは SIEM エージェントを実行しているコンピューターでファイアウォールがブロックしていないことを確認します。 SIEM サーバーの IP アドレスが変更されていないことも確認してください。 Java Runtime Engine (JRE) Update 291 以降をインストールしている場合は、「新しいバージョンの Java に関する問題」の手順に従ってください。

新しいバージョンの Java に関する問題

新しいバージョンの Java では、SIEM エージェントで問題が発生する可能性があります。 Java Runtime Engine (JRE) アップデート 291 以降をインストールしている場合は、次の手順に従います。

  1. 管理者特権での PowerShell プロンプトで、Java インストール bin フォルダーに切り替えます。

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. 次の Azure TLS 発行 CA 証明書をそれぞれダウンロードします。

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. デフォルトのキーストア パスワード changeit を使用して、各 CA 証明書 CRT ファイルを Java キーストアにインポートします。

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. 確認するには、上記の CA 証明書エイリアスを発行する Azure TLS の Java キーストアを表示します。

        keytool -list -keystore ..\lib\security\cacerts

  5. SIEM エージェントを起動し、新しいトレース ログ ファイルを確認して、接続が成功したことを確認します。

次のステップ

組織を保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。