Felsöka SIEM-integrering

  • Artikel

Den här artikeln innehåller en lista över möjliga problem när du ansluter din SIEM till Defender för molnet-appar och innehåller möjliga lösningar.

Återställa saknade aktivitetshändelser i SIEM-agenten för Defender för molnet Apps

Innan du fortsätter kontrollerar du att licensen för Defender för molnet Apps stöder DEN SIEM-integrering som du försöker konfigurera.

Om du har fått en systemavisering om ett problem med aktivitetsleverans via SIEM-agenten följer du stegen nedan för att återställa aktivitetshändelserna inom tidsramen för problemet. De här stegen vägleder dig genom att konfigurera en ny Recovery SIEM-agent som körs parallellt och skicka om aktivitetshändelserna till SIEM.

Kommentar

Återställningsprocessen skickar om alla aktivitetshändelser i den tidsram som beskrivs i systemaviseringen. Om din SIEM redan innehåller aktivitetshändelser från den här tidsramen kommer du att uppleva duplicerade händelser efter den här återställningen.

Steg 1 – Konfigurera en ny SIEM-agent parallellt med din befintliga agent

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under System väljer du SIEM-agent. Välj sedan lägg till en ny SIEM-agent och använd guiden för att konfigurera anslutningsinformationen till SIEM. Du kan till exempel skapa en ny SIEM-agent med följande konfiguration:

    • Protokoll: TCP
    • Fjärrvärd: Alla enheter där du kan lyssna på en port. En enkel lösning skulle till exempel vara att använda samma enhet som agenten och ange fjärrvärdens IP-adress till 127.0.0.1
    • Port: Alla portar som du kan lyssna på på fjärrvärdenheten

    Kommentar

    Den här agenten bör köras parallellt med den befintliga, så nätverkskonfigurationen kanske inte är identisk.

  3. I guiden konfigurerar du datatyperna så att de endast innehåller aktiviteter och tillämpar samma aktivitetsfilter som användes i den ursprungliga SIEM-agenten (om den finns).

  4. Spara inställningarna.

  5. Kör den nya agenten med den genererade token.

Steg 2 – Verifiera lyckad dataleverans till SIEM

Använd följande steg för att verifiera konfigurationen:

  1. Anslut till SIEM och kontrollera att nya data tas emot från den nya SIEM-agenten som du har konfigurerat.

Kommentar

Agenten skickar endast aktiviteter inom tidsramen för det problem som du fick aviseringar om.

  1. Om data inte tas emot av SIEM kan du på den nya SIEM-agentenheten försöka lyssna på porten som du har konfigurerat för att vidarebefordra aktiviteter för att se om data skickas från agenten till SIEM. Kör till exempel netcat -l <port> där <port> är det tidigare konfigurerade portnumret.

Kommentar

Om du använder ncatkontrollerar du att du anger ipv4-flaggan -4.

  1. Om data skickas av agenten men inte tas emot av SIEM kontrollerar du SIEM-agentloggen. Om du kan se meddelanden om att anslutningen har nekats kontrollerar du att SIEM-agenten är konfigurerad att använda TLS 1.2 eller senare.

Steg 3 – Ta bort SIEM-agenten för återställning

  1. SIEM-agenten för återställning slutar automatiskt att skicka data och inaktiveras när den når slutdatumet.
  2. Verifiera i SIEM att inga nya data skickas av SIEM-agenten för återställning.
  3. Stoppa körningen av agenten på enheten.
  4. I portalen går du till SIEM-agentsidan och tar bort SIEM-agenten för återställning.
  5. Kontrollera att den ursprungliga SIEM-agenten fortfarande körs korrekt.

Allmän felsökning

Kontrollera att SIEM-agentens status i Microsoft Defender för molnet Apps-portalen inte är Anslut ionsfel eller frånkopplad och att det inte finns några agentmeddelanden. Statusen visas som Anslut ionsfel om anslutningen är nere i mer än två timmar. Statusen ändras till Frånkopplad om anslutningen är avstängd i över 12 timmar.

Om du ser något av följande fel i kommandotolken när du kör agenten kan du använda följande steg för att åtgärda problemet:

Fel beskrivning Åtgärd
Allmänna fel vid start Oväntat fel vid agentstart. Kontakta supporten.
För många kritiska fel För många kritiska fel uppstod vid anslutning till konsolen. Avslutas. Kontakta supporten.
Ogiltigt token Den angivna token är inte giltig. Kontrollera att du har kopierat rätt token. Du kan använda processen ovan för att återskapa token.
Ogiltig proxy-adress Den angivna proxyadressen är inte giltig. Kontrollera att du har angett rätt proxyserver och port.

När du har skapat agenten kontrollerar du SIEM-agentsidan i Defender för molnet Apps-portalen. Om du ser någon av följande agentaviseringar använder du följande steg för att åtgärda problemet:

Fel beskrivning Åtgärd
Internt fel Ett okänt fel uppstod med SIEM-agenten. Kontakta supporten.
Skicka dataserverfel Du kan få det här felet om du arbetar med en Syslog-server via TCP. SIEM-agenten kan inte ansluta till Syslog-servern. Om du får det här felet slutar agenten att hämta nya aktiviteter tills det har åtgärdats. Se till att följa reparationsstegen tills felet slutar visas. 1. Kontrollera att du har definierat Syslog-servern korrekt: I användargränssnittet för Defender för molnet-appar redigerar du SIEM-agenten enligt beskrivningen ovan. Kontrollera att du har skrivit namnet på servern korrekt och ange rätt port.
2. Kontrollera anslutningen till Syslog-servern: Kontrollera att brandväggen inte blockerar kommunikation.
Anslutningsfel för dataserver Du kan få det här felet om du arbetar med en Syslog-server via TCP. SIEM-agenten kan inte ansluta till Syslog-servern. Om du får det här felet slutar agenten att hämta nya aktiviteter tills det har åtgärdats. Se till att följa reparationsstegen tills felet slutar visas. 1. Kontrollera att du har definierat Syslog-servern korrekt: I användargränssnittet för Defender för molnet-appar redigerar du SIEM-agenten enligt beskrivningen ovan. Kontrollera att du har skrivit namnet på servern korrekt och ange rätt port.
2. Kontrollera anslutningen till Syslog-servern: Kontrollera att brandväggen inte blockerar kommunikation.
SIEM-agentfel SIEM agenten har frånkopplats i mer än X timmar Kontrollera att du inte har ändrat SIEM-konfigurationen i Defender för molnet Apps-portalen. Annars kan det här felet tyda på anslutningsproblem mellan Defender för molnet-appar och den dator där du kör SIEM-agenten.
Felmeddelande för SIEM-agenten Fel vid vidarebefordrande av meddelanden för SIEM-agenten togs emot från en SIEM-agent. Det här felet anger att du har fått fel om anslutningen mellan SIEM-agenten och SIEM-servern. Kontrollera att det inte finns någon brandvägg som blockerar SIEM-servern eller den dator där du kör SIEM-agenten. Kontrollera också att IP-adressen för SIEM-servern inte har ändrats. Om du har installerat Java Runtime Engine(JRE)-uppdatering 291 eller senare följer du anvisningarna i Problem med nya versioner av Java.

Problem med nya versioner av Java

Nyare versioner av Java kan orsaka problem med SIEM-agenten. Om du har installerat JrE-uppdatering (Java Runtime Engine) 291 eller senare följer du dessa steg:

  1. Växla till mappen Java install bin i en upphöjd PowerShell-prompt.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Ladda ned vart och ett av följande Azure TLS-utfärdande CA-certifikat.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Importera varje CA-certifikat CRT-fil till Java-nyckelarkivet med hjälp av standardnyckellagringslösenordändringen.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. För att verifiera, visa Java-nyckelarkivet för Azure TLS som utfärdar CA-certifikatalias som anges ovan.

        keytool -list -keystore ..\lib\security\cacerts

  5. Starta SIEM-agenten och granska den nya spårningsloggfilen för att bekräfta en lyckad anslutning.

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.