Устранение неполадок интеграции SIEM

  • Статья

В этой статье приведен список возможных проблем при подключении SIEM к Defender для облака приложениям и предоставляет возможные решения.

Восстановление отсутствующих событий действий в агенте SIEM приложений Defender для облака

Прежде чем продолжить, проверка, что лицензия Defender для облака Apps поддерживает интеграцию SIEM, которую вы пытаетесь настроить.

Если вы получили системное оповещение о проблеме с доставкой действий через агент SIEM, выполните приведенные ниже действия, чтобы восстановить события действий в временном интервале проблемы. Эти действия помогут вам настроить новый агент SIEM восстановления, который будет выполняться параллельно и повторно отправлять события действий в SIEM.

Примечание.

Процесс восстановления будет повторно отправлять все события действий в интервале времени, описанном в системном оповещении. Если SIEM уже содержит события действий из этого периода времени, после этого восстановления будут возникать повторяющиеся события.

Шаг 1. Настройка нового агента SIEM параллельно с существующим агентом

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе "Система" выберите агент SIEM. Затем выберите новый агент SIEM и используйте мастер для настройки сведений о подключении к SIEM. Например, можно создать новый агент SIEM со следующей конфигурацией:

    • Протокол: TCP
    • Удаленный узел: любое устройство, где можно прослушивать порт. Например, простое решение будет использовать то же устройство, что и агент, и задать IP-адрес удаленного узла 127.0.0.1
    • Порт: любой порт, который можно прослушивать на удаленном устройстве узла

    Примечание.

    Этот агент должен выполняться параллельно с существующим, поэтому конфигурация сети может не совпадать.

  3. В мастере настройте типы данных, чтобы включить только действия и применить тот же фильтр действий, который использовался в исходном агенте SIEM (если он существует).

  4. Сохранить параметры.

  5. Запустите новый агент с помощью созданного маркера.

Шаг 2. Проверка успешной доставки данных в SIEM

Чтобы проверить конфигурацию, выполните следующие действия.

  1. Подключение в SIEM и проверка, что новые данные получены от нового агента SIEM, настроенного вами.

Примечание.

Агент будет отправлять действия только в период времени проблемы, по которой вы были оповещены.

  1. Если данные не получены siEM, то на новом устройстве агента SIEM попробуйте прослушивать порт, настроенный для пересылки действий, чтобы узнать, отправляются ли данные из агента в SIEM. Например, запустите netcat -l <port> место, где <port> находится ранее настроенный номер порта.

Примечание.

При использовании ncatубедитесь, что вы указали флаг -4ipv4.

  1. Если данные отправляются агентом, но не получаются в SIEM, проверка журнал агента SIEM. Если вы видите сообщения об отказе подключения, убедитесь, что агент SIEM настроен для использования TLS 1.2 или более поздней версии.

Шаг 3. Удаление агента SIEM восстановления

  1. Агент SIEM восстановления автоматически останавливает отправку данных и отключается после достижения даты окончания.
  2. Проверьте в SIEM, что новые данные не отправляются агентом SIEM восстановления.
  3. Остановите выполнение агента на устройстве.
  4. На портале перейдите на страницу агента SIEM и удалите агент SIEM восстановления.
  5. Убедитесь, что исходный агент SIEM по-прежнему работает правильно.

Общие действия по устранению неполадок

Убедитесь, что состояние агента SIEM на портале приложений Microsoft Defender для облака не является ошибкой Подключение ion или Отключено, а уведомления об агенте отсутствуют. Состояние Ошибка подключения возникает, если подключение отсутствует более двух часов. Состояние меняется на Отключен, если подключение отсутствует более 12 часов.

Если вы видите одну из следующих ошибок в командной строке во время работы агента, выполните следующие действия для решения проблемы:

Ошибка Описание Решение
General error during bootstrap (Общая ошибка во время начальной загрузки) Во время начальной загрузки агента произошла непредвиденная ошибка. Обратитесь в службу поддержки.
Too many critical errors (Слишком много критических ошибок) При подключении консоли возникло слишком много критических ошибок. Ее работа завершается. Обратитесь в службу поддержки.
Invalid token (Недопустимый токен) Указанный токен недопустим. Убедитесь, что вы скопировали правильный токен. Вы можете повторно создать токен при помощи описанного выше процесса.
Invalid proxy address (Недопустимый адрес прокси-сервера) Указанный адрес прокси-сервера недопустим. Убедитесь, что вы ввели правильный адрес прокси-сервера и номер порта.

После создания агента проверка страницу агента SIEM на портале приложений Defender для облака. Если вы видите одно из следующих уведомлений агента, выполните следующие действия для решения проблемы.

Ошибка Описание Решение
Internal error (Внутренняя ошибка) В агенте SIEM возникла неизвестная проблема. Обратитесь в службу поддержки.
Data server send error (Ошибка отправки на сервере данных) Эта ошибка может возникнуть, если вы работаете с сервером с системными журналами по протоколу TCP. Агент SIEM не может подключиться к серверу с системными журналами. Если вы получите эту ошибку, агент перестанет извлекать новые действия, пока не будет исправлено. Выполните действия про решению проблемы, чтобы ошибка больше не появлялась. 1. Убедитесь, что вы правильно определили сервер Syslog: в пользовательском интерфейсе приложений Defender для облака измените агент SIEM, как описано выше. Убедитесь, что вы указали правильное название сервера и номер порта.
2. Проверьте подключение к серверу с системными журналами: убедитесь, что подключение не блокируется брандмауэром.
Data server connection error (Ошибка подключения к серверу данных) Эта ошибка может возникнуть, если вы работаете с сервером с системными журналами по протоколу TCP. Агент SIEM не может подключиться к серверу с системными журналами. Если вы получите эту ошибку, агент перестанет извлекать новые действия, пока не будет исправлено. Выполните действия про решению проблемы, чтобы ошибка больше не появлялась. 1. Убедитесь, что вы правильно определили сервер Syslog: в пользовательском интерфейсе приложений Defender для облака измените агент SIEM, как описано выше. Убедитесь, что вы указали правильное название сервера и номер порта.
2. Проверьте подключение к серверу с системными журналами: убедитесь, что подключение не блокируется брандмауэром.
Ошибка агента SIEM Подключение к агенту SIEM отсутствует более X часов Убедитесь, что вы не изменили конфигурацию SIEM на портале Defender для облака Apps. В противном случае эта ошибка может указывать на проблемы с подключением между Defender для облака Приложениями и компьютером, на котором выполняется агент SIEM.
Ошибка уведомления агента SIEM От агента SIEM получены ошибки перенаправления уведомлений. Эта ошибка означает, что вы получили ошибки о соединении между агентом SIEM и сервером SIEM. Убедитесь, что сервер SIEM или компьютер, на котором работает агент SIEM, не заблокирован брандмауэром. Также убедитесь, что IP-адрес сервера SIEM не изменился. Если вы установили модуль среды выполнения Java (JRE) с обновлением 291 или более поздней версии, следуйте инструкциям в статье "Проблема с новыми версиями Java".

Проблема с новыми версиями Java

Более новые версии Java могут вызвать проблемы с агентом SIEM. Если вы установили модуль среды выполнения Java (JRE) с обновлением 291 или выше, выполните следующие действия.

  1. В командной строке PowerShell с повышенными привилегиями перейдите в папку корзины установки Java.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Скачайте каждый из следующих сертификатов ЦС, выдаваемых в Azure TLS.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Импортируйте каждый CRT-файл сертификата ЦС в хранилище ключей Java с помощью изменения пароля хранилища ключей по умолчанию.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Чтобы проверить, просмотрите хранилище ключей Java для Azure TLS, выдавая псевдонимы сертификата ЦС, перечисленные выше.

        keytool -list -keystore ..\lib\security\cacerts

  5. Запустите агент SIEM и просмотрите новый файл журнала трассировки, чтобы подтвердить успешное подключение.

Следующие шаги

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.