針對 SIEM 整合進行疑難排解

  • 發行項

本文提供將 SIEM 連線到 適用於雲端的 Defender Apps 時可能發生的問題清單,並提供可能的解決方案。

在 適用於雲端的 Defender Apps SIEM 代理程式中復原遺漏的活動事件

繼續之前,請檢查您的 適用於雲端的 Defender Apps 授權是否支援您嘗試設定的 SIEM 整合。

如果您收到有關透過 SIEM 代理程式傳遞活動問題的系統警示,請遵循下列步驟,在問題的時間範圍內復原活動事件。 這些步驟將引導您設定新的復原 SIEM 代理程式,以平行方式執行,並將活動事件重新傳送至 SIEM。

注意

復原程式將會在系統警示中所述的時間範圍內重新傳送所有活動事件。 如果您的 SIEM 已經包含此時間範圍內的活動事件,您將在此復原之後遇到重複的事件。

步驟 1 – 將新的 SIEM 代理程式與現有的代理程式平行設定

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 在 [系統] 底下,選取 [SIEM 代理程式]。 然後選取 [新增 SIEM 代理程式],然後使用精靈來設定 SIEM 的連線詳細數據。 例如,您可以使用下列設定來建立新的 SIEM 代理程式:

    • 通訊協定: TCP
    • 遠端主機:您可以在其中接聽埠的任何裝置。 例如,簡單的解決方案是使用與代理程式相同的裝置,並將遠端主機IP位址設定為127.0.0.1
    • :您可以在遠端主機裝置上接聽的任何埠

    注意

    此代理程式應該與現有的代理程式平行執行,因此網路設定可能不相同。

  3. 在精靈中,將 [數據類型] 設定為只包含 [活動 ],並套用原始 SIEM 代理程式中使用的相同活動篩選條件(如果有的話)。

  4. 儲存設定。

  5. 使用產生的令牌執行新的代理程式。

步驟 2 – 驗證成功將數據傳遞至 SIEM

使用下列步驟來驗證您的設定:

  1. 連線 至您的 SIEM,並檢查是否已從您設定的新 SIEM 代理程式收到新的數據。

注意

代理程式只會在您收到警示的問題時間範圍內傳送活動。

  1. 如果您的 SIEM 未收到數據,請在新的 SIEM 代理程式裝置上,嘗試接聽您設定轉送活動的埠,以查看資料是否從代理程式傳送至 SIEM。 例如,執行 netcat -l <port> where <port> 是先前設定的埠號碼。

注意

如果您使用 ncat,請務必指定 ipv4 旗標 -4

  1. 如果代理程式正在傳送數據,但未由 SIEM 接收,請檢查 SIEM 代理程式記錄檔。 如果您可以看到「連線被拒絕」訊息,請確定您的 SIEM 代理程式已設定為使用 TLS 1.2 或更新版本。

步驟 3 – 移除復原 SIEM 代理程式

  1. 復原 SIEM 代理程式會自動停止傳送數據,並在數據到達結束日期後停用。
  2. 在 SIEM 中驗證復原 SIEM 代理程式不會傳送任何新數據。
  3. 停止在您的裝置上執行代理程式。
  4. 在入口網站中,移至 [SIEM 代理程式] 頁面,並移除復原 SIEM 代理程式。
  5. 請確定原始 SIEM 代理程式仍然正常執行。

一般疑難排解

請確定 適用於雲端的 Microsoft Defender Apps 入口網站中 SIEM 代理程式的狀態未 連線 錯誤已中斷連線,而且沒有代理程式通知。 如果連線關閉超過兩個小時,則狀態會顯示為 [連線錯誤]。 如果連線關閉超過 12 個小時,則狀態會變更為 [已中斷連線]

如果您在執行代理程式時於命令提示字元中看到下列其中一個錯誤,請使用下列步驟來補救此問題︰

錯誤 描述 解決方案
啟動程序期間的一般錯誤 代理程式啟動程序期間的意外錯誤。 請連絡支援人員。
太多嚴重錯誤 連接主控台時發生太多嚴重錯誤。 正在關閉。 請連絡支援人員。
權杖無效 提供的權杖無效。 請確定您複製的權杖正確。 您可以使用上述程序來重新產生權杖。
Proxy 位址無效 提供的 Proxy 位址無效。 請確定您輸入的 Proxy 和連接埠正確。

建立代理程序之後,請檢查 適用於雲端的 Defender Apps 入口網站中的 SIEM 代理程式頁面。 如果您看到下列其中一個代理程式通知,請使用下列步驟來補救此問題:

錯誤 描述 解決方案
內部錯誤 SIEM 代理程式發生未知錯誤。 請連絡支援人員。
資料伺服器傳送錯誤 如果您透過 TCP 使用 Syslog 伺服器,則會收到此錯誤。 SIEM 代理程式無法連線到 Syslog 伺服器。 如果您收到此錯誤,代理程式將會停止提取新活動,直到其修正為止。 請務必遵循補救步驟,直到錯誤不再出現為止。 1.請確定您已正確定義 Syslog 伺服器:在 適用於雲端的 Defender Apps UI 中,編輯您的 SIEM 代理程式,如上所述。 確定您所撰寫的伺服器名稱正確,且設定正確的連接埠。
2. 檢查 Syslog 伺服器連線︰確定防火牆未封鎖通訊。
資料伺服器連線錯誤 如果您透過 TCP 使用 Syslog 伺服器,則會收到此錯誤。 SIEM 代理程式無法連線到 Syslog 伺服器。 如果您收到此錯誤,代理程式將會停止提取新活動,直到其修正為止。 請務必遵循補救步驟,直到錯誤不再出現為止。 1.請確定您已正確定義 Syslog 伺服器:在 適用於雲端的 Defender Apps UI 中,編輯您的 SIEM 代理程式,如上所述。 確定您所撰寫的伺服器名稱正確,且設定正確的連接埠。
2. 檢查 Syslog 伺服器連線︰確定防火牆未封鎖通訊。
SIEM 代理程式錯誤 SIEM 代理程式已中斷連線超過 X 小時 請確定您未在 適用於雲端的 Defender Apps 入口網站中變更 SIEM 設定。 否則,此錯誤可能表示 適用於雲端的 Defender Apps 與您執行 SIEM 代理程式的電腦之間的連線問題。
SIEM 代理程式通知錯誤 從 SIEM 代理程式收到 SIEM 代理程式通知轉寄錯誤。 此錯誤表示您收到 SIEM 代理程式與 SIEM 伺服器之間連線的相關錯誤。 請確認沒有防火牆封鎖您的 SIEM 伺服器或您執行 SIEM 代理程式的電腦。 另外也請檢查 SIEM 伺服器的 IP 位址未變更。 如果您已安裝 Java 執行時間引擎 (JRE) 更新 291 或更高版本,請遵循新版 Java 的問題中的指示。

新版 Java 的問題

較新版本的 Java 可能會導致 SIEM 代理程式發生問題。 如果您已安裝 Java Runtime Engine (JRE) 更新 291 或更高版本,請遵循下列步驟:

  1. 在提升許可權的 PowerShell 提示字元中,切換至 Java 安裝 bin 資料夾。

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. 下載下列每個 Azure TLS 發行 CA 憑證。

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. 使用預設金鑰存放區密碼 變更,將每個 CA 憑證 CRT 檔案匯入 Java 金鑰存放區。

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. 若要確認,請檢視上面所列 Azure TLS 簽發 CA 憑證別名的 Java 金鑰存放區。

        keytool -list -keystore ..\lib\security\cacerts

  5. 啟動 SIEM 代理程式並檢閱新的追蹤記錄檔,以確認連線成功。

下一步

保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證