SIEM 集成疑难解答

本文列出了将 SIEM 连接到 Defender for Cloud Apps 时可能出现的问题，并提供了可能的解决方法。

恢复 Defender for Cloud Apps SIEM 代理中缺少的活动事件

在继续操作之前，确认你的 Defender for Cloud Apps 许可证支持你尝试配置的 SIEM 集成。

如果收到有关通过 SIEM 代理的活动传送问题的系统警报，请按照以下步骤，恢复该问题的时间范围内的活动事件。 这些步骤将引导你设置一个新的恢复 SIEM 代理，该代理将并行运行，并将活动事件重新发送到 SIEM。

注意

恢复过程将在系统警报中所述的时间范围内，重新发送所有活动事件。 如果 SIEM 已包含此时间范围中的活动事件，则在此次恢复之后，将遇到重复的事件。

步骤 1 - 将新的 SIEM 代理与现有代理并行配置

1. 在 Microsoft 365 Defender 门户中，选择“设置”。 然后选择“云应用”。

2. 在“系统”下，选择“SIEM 代理”。 然后选择“添加新的 SIEM 代理”，并使用向导来配置与 SIEM 的连接详细信息。 例如，可使用以下配置，创建新的 SIEM 代理：

   • 协议：TCP
   • 远程主机：你可以侦听端口的设备。 例如，简单的解决方案是使用与代理相同的设备，将远程主机 IP 地址设置为 127.0.0.1
   • 端口：你可在远程主机设备上侦听的端口

   注意

   此代理应与现有代理并行运行，因而网络配置可能不相同。

3. 在向导中，将数据类型配置为仅包括活动，并应用在原始 SIEM 代理中使用的相同活动筛选器（如果存在）。

4. 保存 设置。

5. 使用生成的令牌，运行新代理。

步骤 2 – 验证数据已成功传送到 SIEM

可使用以下步骤验证你的配置：

1. 连接到 SIEM，并确认从你配置的新 SIEM 代理接收了新数据。

注意

代理仅在发出警报的问题的时间范围内发送活动。

1. 如果 SIEM 未收到数据，则在新的 SIEM 代理设备上，尝试侦听配置为转发活动的端口，以查看数据是否正从代理发送到 SIEM。 例如运行 netcat -l <port> ，其中 <port> 是以前配置的端口号。

注意

如果使用 ncat，请务必指定 ipv4 标志 -4。

1. 如果数据由代理发送，但 SIEM 没有收到，请检查 SIEM 代理日志。 如果你可以看到“连接被拒绝”消息，请确认 SIEM 代理配置为使用 TLS 1.2 或更高版本。

步骤 3 – 删除恢复 SIEM 代理

1. 一旦到达结束日期，恢复 SIEM 代理将自动停止发送数据，并被禁用。
2. 在 SIEM 中确认恢复 SIEM 代理没有发送任何新数据。
3. 停止在设备上执行代理。
4. 在门户中，转到“SIEM 代理”页面，并删除恢复 SIEM 代理。
5. 请确保原始 SIEM 代理仍在正常运行。

常规故障排除

请确保 Microsoft Defender for Cloud Apps 门户中的 SIEM 代理状态不是“连接错误”，也不是“已断开连接”，并且没有任何代理通知。 如果连接断开超过两个小时，状态将显示为“连接错误”。 如果连接断开超过 12 小时，状态将更改为“已断开连接”。

如果运行代理时在 cmd 提示符中看到下列错误之一，请按照以下步骤修正该问题：

错误	说明	解决方法
启动过程中的一般错误	代理启动过程中发生意外错误。	请联系支持人员。
太多严重错误	连接控制台时发生太多严重错误。 正在关闭。	请联系支持人员。
无效令牌	提供的令牌无效。	确保复制正确的令牌。 可使用上述过程重新生成令牌。
代理地址无效	提供的代理地址无效。	确保输入正确的代理和端口。

创建代理后，检查 Defender for Cloud Apps 门户中的 SIEM 代理页面。 如果看到以下代理通知之一，请按照以下步骤来修正问题：

错误	说明	解决方案
内部错误	SIEM 代理出现了未知问题。	请联系支持人员。
数据服务器发送错误	如果正在通过 TCP 使用 Syslog 服务器，可能遇到错误。 SIEM 代理无法连接到 Syslog 服务器。 如果收到此错误，代理将停止请求新活动，直到修复为止。 请务必按照修正步骤操作，直到错误停止出现。	1. 确认已正确定义 Syslog 服务器：在 Defender for Cloud Apps 用户界面中，按照上文所述编辑 SIEM 代理。 确保已正确编写服务器名称并设置正确的端口。 2. 检查与 Syslog 服务器的连接：确保防火墙不会阻止通信。
数据服务器连接错误	如果正在通过 TCP 使用 Syslog 服务器，可能遇到错误。 SIEM 代理无法连接到 Syslog 服务器。 如果收到此错误，代理将停止请求新活动，直到修复为止。 请务必按照修正步骤操作，直到错误停止出现。	1. 确认已正确定义 Syslog 服务器：在 Defender for Cloud Apps 用户界面中，按照上文所述编辑 SIEM 代理。 确保已正确编写服务器名称并设置正确的端口。 2. 检查与 Syslog 服务器的连接：确保防火墙不会阻止通信。
SIEM 代理错误	SIEM 代理已断开连接超过 X 小时	请确认未更改 Defender for Cloud Apps 门户中的 SIEM 配置。 否则，该错误可能指示 Defender for Cloud Apps 和运行 SIEM 代理的计算机之间存在连接问题。
SIEM 代理通知错误	SIEM 代理通知转发错误接收自 SIEM 代理。	该错误表示你已收到有关 SIEM 代理和 SIEM 服务器之间的连接错误。 请确保没有防火墙阻止你的 SIEM 服务器或运行 SIEM 代理的计算机。 另外，确保 SIEM 服务器的 IP 地址未更改。 如果已安装 Java 运行时引擎 (JRE) 更新 291 或更高版本，请按照 Java 新版本的问题中的说明进行操作。

Java 新版本的问题

较新版本的 Java 可能导致 SIEM 代理出现问题。 如果已安装 Java 运行时引擎 (JRE) 更新 291 或更高版本，请执行以下步骤：

1. 在提升的 PowerShell 提示符中，切换到 Java 安装 bin 文件夹。

   cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
   

2. 下载以下每个 Azure TLS 颁发 CA 证书。

       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
       Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"
   

       cd /tmp
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
       wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt
   

3. 使用默认的密钥存储密码 changeit，将每个 CA 证书 CRT 文件导入 Java 密钥存储。

       keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
       keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
   

       keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
       keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
   

4. 如果要验证，请查看上面列出的 Azure TLS 颁发 CA 证书别名的 Java 密钥存储。

       keytool -list -keystore ..\lib\security\cacerts
   

5. 启动 SIEM 代理并查看新的跟踪日志文件，确认连接成功。

后续步骤

保护组织的最佳做法

如果遇到任何问题，我们可以提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。