Resolução de problemas de integração da SIEM
Este artigo fornece uma lista de possíveis problemas ao conectar seu SIEM ao Defender for Cloud Apps e fornece possíveis resoluções.
Recuperar eventos de atividade ausentes no Agente SIEM do Defender for Cloud Apps
Antes de continuar, verifique se sua licença do Defender for Cloud Apps suporta a integração SIEM que você está tentando configurar.
Se você recebeu um alerta do sistema sobre um problema com a entrega de atividades por meio do agente SIEM, siga as etapas abaixo para recuperar os eventos de atividade no período de tempo do problema. Estas etapas irão guiá-lo através da configuração de um novo agente SIEM de recuperação que será executado em paralelo e reenviará os eventos de atividade para o seu SIEM.
Nota
O processo de recuperação reenviará todos os eventos de atividade no período de tempo descrito no alerta do sistema. Se o SIEM já contiver eventos de atividade desse período, você enfrentará eventos duplicados após essa recuperação.
Etapa 1 – Configurar um novo Agente SIEM em paralelo ao seu agente existente
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Sistema, selecione Agente SIEM. Em seguida, selecione adicionar um novo agente SIEM e use o assistente para configurar os detalhes da conexão com seu SIEM. Por exemplo, você pode criar um novo agente SIEM com a seguinte configuração:
- Protocolo: TCP
- Host remoto: Qualquer dispositivo onde você pode ouvir uma porta. Por exemplo, uma solução simples seria usar o mesmo dispositivo que o agente e definir o endereço IP do host remoto como 127.0.0.1
- Porta: qualquer porta que você possa ouvir no dispositivo host remoto
Nota
Esse agente deve ser executado em paralelo ao existente, portanto, a configuração da rede pode não ser idêntica.
No assistente, configure os Tipos de Dados para incluir apenas Atividades e aplique o mesmo filtro de atividade que foi usado no agente SIEM original (se existir).
Guardar as definições.
Execute o novo agente usando o token gerado.
Etapa 2 – Validar a entrega bem-sucedida de dados ao seu SIEM
Use as seguintes etapas para validar sua configuração:
- Conecte-se ao seu SIEM e verifique se novos dados foram recebidos do novo agente SIEM que você configurou.
Nota
O agente só enviará atividades no período de tempo do problema sobre o qual você foi alertado.
- Se os dados não forem recebidos pelo SIEM, no novo dispositivo do agente SIEM, tente ouvir a porta que você configurou para encaminhar atividades para ver se os dados estão sendo enviados do agente para o SIEM. Por exemplo, execute
netcat -l <port>onde<port>é o número da porta configurado anteriormente.
Nota
Se você estiver usando ncato , certifique-se de especificar o sinalizador -4ipv4 .
- Se os dados estiverem sendo enviados pelo agente, mas não forem recebidos pelo seu SIEM, verifique o log do agente do SIEM. Se você puder ver mensagens de "conexão recusada", certifique-se de que seu agente SIEM esteja configurado para usar TLS 1.2 ou mais recente.
Etapa 3 – Remover o agente SIEM de recuperação
- O agente SIEM de recuperação interromperá automaticamente o envio de dados e será desativado assim que atingir a data final.
- Valide em seu SIEM que nenhum novo dado é enviado pelo agente SIEM de recuperação.
- Pare a execução do agente no seu dispositivo.
- No portal, vá para a página Agente SIEM e remova o agente SIEM de recuperação.
- Verifique se o Agente SIEM original ainda está funcionando corretamente.
Resolução de problemas gerais
Verifique se o status do agente SIEM no portal do Microsoft Defender for Cloud Apps não é Erro de conexão ou Desconectado e se não há notificações do agente. O status é exibido como Erro de conexão se a conexão estiver inativa por mais de duas horas. O status muda para Desconectado se a conexão estiver inativa por mais de 12 horas.
Se vir um dos seguintes erros na linha de comandos ao executar o agente, utilize os seguintes passos para resolver o problema:
| Erro | Description | Resolução |
|---|---|---|
| Erro geral durante o arranque | Erro inesperado durante o arranque do agente. | Contacte o suporte. |
| Demasiados erros críticos | Ocorreram demasiados erros críticos ao ligar a consola. A encerrar. | Contacte o suporte. |
| Token inválido | O token fornecido não é válido. | Certifique-se de que copiou o token correto. Pode utilizar o processo acima para voltar a gerar o token. |
| Endereço proxy inválido | O endereço de proxy fornecido não é válido. | Certifique-se de que introduziu o proxy e porta corretos. |
Depois de criar o agente, verifique a página do agente SIEM no portal do Defender for Cloud Apps. Se você vir uma das seguintes notificações do agente, use as seguintes etapas para corrigir o problema:
| Erro | Description | Resolução |
|---|---|---|
| Erro interno | Ocorreu um problema desconhecido com o agente SIEM. | Contacte o suporte. |
| Erro de envio do servidor de dados | Pode obter este erro se estiver a trabalhar com um servidor Syslog através de TCP. O agente SIEM não pode se conectar ao servidor Syslog. Se você receber esse erro, o agente parará de puxar novas atividades até que ele seja corrigido. Certifique-se de seguir as etapas de correção até que o erro pare de aparecer. | 1. Certifique-se de que definiu corretamente o seu servidor Syslog: Na IU do Defender for Cloud Apps, edite o seu agente SIEM conforme descrito acima. Certifique-se de que escreveu o nome do servidor corretamente e defina a porta correta. 2. Verifique a ligação ao seu servidor Syslog: certifique-se de que a firewall não está a bloquear a ligação. |
| Erro de ligação do servidor de dados | Pode obter este erro se estiver a trabalhar com um servidor Syslog através de TCP. O agente SIEM não pode se conectar ao servidor Syslog. Se você receber esse erro, o agente parará de puxar novas atividades até que ele seja corrigido. Certifique-se de seguir as etapas de correção até que o erro pare de aparecer. | 1. Certifique-se de que definiu corretamente o seu servidor Syslog: Na IU do Defender for Cloud Apps, edite o seu agente SIEM conforme descrito acima. Certifique-se de que escreveu o nome do servidor corretamente e defina a porta correta. 2. Verifique a ligação ao seu servidor Syslog: certifique-se de que a firewall não está a bloquear a ligação. |
| Erro do agente SIEM | O agente SIEM está desativado há mais de X horas | Certifique-se de que não alterou a configuração do SIEM no portal do Defender for Cloud Apps. Caso contrário, esse erro pode indicar problemas de conectividade entre o Defender for Cloud Apps e o computador no qual você está executando o agente SIEM. |
| Erro de notificação do agente SIEM | Foram recebidos erros de envio de notificações do agente SIEM a partir de um agente SIEM. | Esse erro indica que você recebeu erros sobre a conexão entre o agente SIEM e seu servidor SIEM. Verifique se não há um firewall bloqueando seu servidor SIEM ou o computador no qual você está executando o agente SIEM. Além disso, verifique se o endereço IP do servidor SIEM não foi alterado. Se você instalou o Java Runtime Engine (JRE) update 291 ou superior, siga as instruções em Problema com novas versões do Java. |
Problema com novas versões do Java
Versões mais recentes do Java podem causar problemas com o agente SIEM. Se você instalou o Java Runtime Engine (JRE) update 291 ou superior, siga estas etapas:
Em um prompt do PowerShell com privilégios elevados, alterne para a pasta bin de instalação do Java.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Baixe cada um dos seguintes certificados de CA de emissão do Azure TLS.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtImporte cada arquivo CRT de certificado de CA para o keystore Java, usando a senha padrão do keystore changeit.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitPara verificar, exiba o keystore Java para os aliases de certificado de CA de emissão do Azure TLS listados acima.
keytool -list -keystore ..\lib\security\cacertsInicie o agente SIEM e examine o novo arquivo de log de rastreamento para confirmar uma conexão bem-sucedida.
Próximos passos
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.