SIEM tümleştirmesi sorunlarını giderme

  • Makale

Bu makalede, SIEM'inizi Bulut için Defender Uygulamalarına bağlarken karşılaşılan olası sorunların listesi sağlanır ve olası çözümler sağlanır.

Bulut için Defender Apps SIEM Aracısı'nda eksik etkinlik olaylarını kurtarma

Devam etmeden önce, Bulut için Defender Apps lisansınızın yapılandırmaya çalıştığınız SIEM tümleştirmesini desteklediğini denetleyin.

SIEM aracısı aracılığıyla etkinlik teslimi ile ilgili bir sorunla ilgili bir sistem uyarısı aldıysanız, sorunun zaman dilimindeki etkinlik olaylarını kurtarmak için aşağıdaki adımları izleyin. Bu adımlar, paralel olarak çalışacak ve etkinlik olaylarını SIEM'inize yeniden gönderecek yeni bir Kurtarma SIEM aracısını ayarlama konusunda size yol gösterir.

Not

Kurtarma işlemi, sistem uyarısında açıklanan zaman çerçevesi içindeki tüm etkinlik olaylarını yeniden gönderecektir. SIEM'iniz bu zaman çerçevesine ait etkinlik olaylarını zaten içeriyorsa, bu kurtarmadan sonra yinelenen olaylarla karşılaşırsınız.

1. Adım – Mevcut aracınıza paralel olarak yeni bir SIEM Aracısı yapılandırma

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Sistem'in altında SIEM Aracısı'yı seçin. Ardından yeni bir SIEM aracısı ekle'yi seçin ve sihirbazı kullanarak SIEM'inize bağlantı ayrıntılarını yapılandırın. Örneğin, aşağıdaki yapılandırmayla yeni bir SIEM aracısı oluşturabilirsiniz:

    • Protokol: TCP
    • Uzak ana bilgisayar: Bağlantı noktasını dinleyebileceğiniz herhangi bir cihaz. Örneğin, basit bir çözüm aracıyla aynı cihazı kullanmak ve uzak ana bilgisayar IP adresini 127.0.0.1 olarak ayarlamaktır
    • Bağlantı noktası: Uzak konak cihazında dinleyebileceğiniz herhangi bir bağlantı noktası

    Not

    Bu aracı, var olan aracıya paralel olarak çalıştırılmalıdır, bu nedenle ağ yapılandırması aynı olmayabilir.

  3. Sihirbazda, Veri Türlerini yalnızca Etkinlikleri içerecek şekilde yapılandırın ve özgün SIEM aracınızda kullanılan etkinlik filtresini (varsa) uygulayın.

  4. Ayarları kaydedin.

  5. Oluşturulan belirteci kullanarak yeni aracıyı çalıştırın.

2. Adım : SIEM'inize başarılı veri teslimini doğrulama

Yapılandırmanızı doğrulamak için aşağıdaki adımları kullanın:

  1. SIEM'inize Bağlan ve yapılandırdığınız yeni SIEM aracısından yeni verilerin alınıp alındığını denetleyin.

Not

Aracı yalnızca uyarıldığınız sorunun zaman çerçevesi içindeki etkinlikleri gönderir.

  1. Veriler SIEM'iniz tarafından alınmazsa, yeni SIEM aracı cihazında, aracıdan SIEM'e veri gönderilip gönderilmediğini görmek için etkinlikleri iletmek için yapılandırdığınız bağlantı noktasını dinlemeyi deneyin. Örneğin, daha önce yapılandırılan bağlantı noktası numarasının nerede olduğunu <port> çalıştırınnetcat -l <port>.

Not

kullanıyorsanız ncat, ipv4 bayrağını -4belirttiğinizden emin olun.

  1. Veriler aracı tarafından gönderiliyor ancak SIEM'niz tarafından alınmıyorsa, SIEM aracı günlüğünü denetleyin. "Bağlantı reddedildi" iletilerini görebiliyorsanız, SIEM aracınızın TLS 1.2 veya üzerini kullanacak şekilde yapılandırıldığından emin olun.

Adım 3 – Kurtarma SIEM aracısını kaldırma

  1. Kurtarma SIEM aracısı, verileri göndermeyi otomatik olarak durdurur ve bitiş tarihine ulaştığında devre dışı bırakılır.
  2. SIEM'inizde kurtarma SIEM aracısı tarafından yeni veri gönderilmediğini doğrulayın.
  3. Cihazınızda aracının yürütülmesini durdurun.
  4. Portalda SIEM Aracısı sayfasına gidin ve kurtarma SIEM aracısını kaldırın.
  5. Özgün SIEM Aracınızın hala düzgün çalıştığından emin olun.

Genel sorun giderme

Bulut için Microsoft Defender Uygulamaları portalında SIEM aracısının durumunun Bağlan ion hatası veya Bağlantısı kesildi olmadığından ve aracı bildirimi olmadığından emin olun. Bağlantı iki saatten uzun süredir çalışmıyorsa durum Bağlan ion hatası olarak gösterilir. Bağlantı 12 saatten fazla süreyle kesintiye uğrarsa durum Bağlantısı Kesildi olarak değişir.

Aracıyı çalıştırırken komut isteminde aşağıdaki hatalardan birini görürseniz, sorunu çözmek için şu adımları kullanın:

Hata Açıklama Çözüm
Önyükleme sırasında genel hata Aracının önyüklemesi sırasında beklenmeyen bir hata oluştu. Desteğe başvurun.
Çok fazla kritik hata var Konsolu bağlarken çok fazla kritik hata oluştu. Kapatılıyor. Desteğe başvurun.
Geçersiz belirteç Sağlanan belirteç geçerli değil. Doğru belirteci kopyaladığınızdan emin olun. Belirteci yeniden oluşturmak için yukarıda işlemi kullanabilirsiniz.
Geçersiz proxy adresi Sağlanan proxy adresi geçerli değil. Doğru proxy ve bağlantı noktasını girdiğinizden emin olun.

Aracıyı oluşturduktan sonra, Bulut için Defender Uygulamaları portalında SIEM aracısı sayfasını denetleyin. Aşağıdaki Aracı bildirimlerinden birini görürseniz, sorunu düzeltmek için aşağıdaki adımları kullanın:

Hata Açıklama Çözüm
İç hata SIEm aracınızda doğru olmayan bir şey var. Desteğe başvurun.
Veri sunucusu gönderme hatası TCP üzerinden bir Syslog sunucusuyla çalışıyorsanız bu hatayı alabilirsiniz. SIEM aracısı Syslog sunucunuza bağlanamıyor. Bu hatayı alırsanız, aracı düzeltene kadar yeni etkinlikleri çekmeyi durdurur. Hata görünmeye devam edene kadar düzeltme adımlarını izlediğinden emin olun. 1. Syslog sunucunuzu düzgün tanımladığınızdan emin olun: Bulut için Defender Uygulamaları kullanıcı arabiriminde, SIEM aracınızı yukarıda açıklandığı gibi düzenleyin. Sunucunun adını düzgün yazdığınızdan ve doğru bağlantı noktasını ayarladığınızdan emin olun.
2. Syslog sunucunuzun bağlantısını denetleyin: Güvenlik duvarınızın iletişimi engellemediğinden emin olun.
Veri sunucusu bağlantı hatası TCP üzerinden bir Syslog sunucusuyla çalışıyorsanız bu hatayı alabilirsiniz. SIEM aracısı Syslog sunucunuza bağlanamıyor. Bu hatayı alırsanız, aracı düzeltene kadar yeni etkinlikleri çekmeyi durdurur. Hata görünmeye devam edene kadar düzeltme adımlarını izlediğinden emin olun. 1. Syslog sunucunuzu düzgün tanımladığınızdan emin olun: Bulut için Defender Uygulamaları kullanıcı arabiriminde, SIEM aracınızı yukarıda açıklandığı gibi düzenleyin. Sunucunun adını düzgün yazdığınızdan ve doğru bağlantı noktasını ayarladığınızdan emin olun.
2. Syslog sunucunuzun bağlantısını denetleyin: Güvenlik duvarınızın iletişimi engellemediğinden emin olun.
SIEM aracısı hatası SIEM aracısının bağlantısı X saatten uzun bir süredir kesik Bulut için Defender Uygulamaları portalında SIEM yapılandırmasını değiştirmediğinizden emin olun. Aksi takdirde, bu hata Bulut için Defender Uygulamaları ile SIEM aracısını çalıştırdığınız bilgisayar arasındaki bağlantı sorunlarını gösterebilir.
SIEM aracısı bildirim hatası Bir SIEM aracısından SIEM aracısı bildirim iletme hataları alındı. Bu hata, SIEM aracısı ile SIEM sunucunuz arasındaki bağlantı hakkında hatalar aldığınızı gösterir. SIEM sunucunuzu veya SIEM aracısını çalıştırdığınız bilgisayarı engelleyen bir güvenlik duvarı olmadığından emin olun. Ayrıca, SIEM sunucusunun IP adresinin değiştirilmediğini denetleyin. Java Runtime Engine (JRE) 291 veya üzeri bir güncelleştirme yüklediyseniz, Java'nın yeni sürümleriyle ilgili sorun giderme başlığındaki yönergeleri izleyin.

Java'nın yeni sürümleriyle ilgili sorun

Java'nın daha yeni sürümleri SIEM aracısıyla ilgili sorunlara neden olabilir. Java Runtime Engine (JRE) güncelleştirme 291 veya üzerini yüklediyseniz şu adımları izleyin:

  1. Yükseltilmiş bir PowerShell isteminde Java yükleme kutusu klasörüne geçin.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. Aşağıdaki Azure TLS Veren CA sertifikalarının her birini indirin.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. Varsayılan anahtar deposu parola değişikliğini kullanarak her CA sertifikası CRT dosyasını Java anahtar deposuna aktarın.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. Doğrulamak için yukarıda listelenen Azure TLS veren CA sertifika diğer adları için Java anahtar depolarını görüntüleyin.

        keytool -list -keystore ..\lib\security\cacerts

  5. SIEM aracısını başlatın ve başarılı bir bağlantıyı onaylamak için yeni izleme günlüğü dosyasını gözden geçirin.

Sonraki adımlar

Kuruluşunuzu korumaya yönelik en iyi yöntemler

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.