Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведен список возможных проблем при подключении SIEM к Defender for Cloud Apps и возможные способы их устранения.
Восстановить отсутствующие события активности в агенте SIEM Defender for Cloud Apps
Прежде чем продолжить, проверьте, поддерживает ли ваша лицензия Defender for Cloud Apps интеграцию SIEM, которую вы пытаетесь настроить.
Если вы получили системное оповещение о проблеме с доставкой действий через агент SIEM, выполните приведенные ниже действия, чтобы восстановить события активности в период возникновения проблемы. Эти шаги помогут вам настроить новый агент Recovery SIEM, который будет работать параллельно и повторно отправлять события активности в вашу систему SIEM.
Примечание.
Процесс восстановления повторно отправляет все события действий за период, описанный в системном оповещении. Если ваш SIEM уже содержит события активности за этот период, после выполнения этого восстановления появятся повторяющиеся события.
Шаг 1. Настройка нового агента SIEM параллельно с существующим агентом
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.
В разделе Система выберите Агент SIEM. Затем выберите добавить новый агент SIEM и с помощью мастера настройте сведения о подключении к SIEM. Например, можно создать агент SIEM со следующей конфигурацией:
- Протокол: TCP
- Удаленный хост: любое устройство, на котором можно прослушивать порт. Например, простое решение — использовать то же устройство, что и агент, и задать IP-адрес удаленного узла 127.0.0.1.
- Порт: любой порт, который можно прослушивать на удаленном хост-устройстве.
Примечание.
Этот агент должен выполняться параллельно существующему агенту, поэтому конфигурация сети может не совпадать.
В мастере настройте типы данных, чтобы включить только действия и применить тот же фильтр действий, который использовался в исходном агенте SIEM (если он существует).
Сохраните параметры.
Запустите новый агент, используя сгенерированный токен.
Шаг 2. Проверка успешной доставки данных в SIEM
Чтобы проверить конфигурацию, выполните следующие действия.
Подключитесь к SIEM и проверьте, что новые данные поступают от нового агента SIEM, который вы настроили.
Примечание.
Агент будет отправлять действия только за период, относящийся к проблеме, о которой вы получили оповещение.
Если SIEM не получает данные, то на устройстве с новым агентом SIEM попробуйте прослушать порт, который вы настроили для перенаправления событий, чтобы проверить, отправляет ли агент данные в SIEM. Например, выполните команду
netcat -l <port>, где<port>— это ранее настроенный номер порта.Примечание.
Если вы используете
ncat, убедитесь, что вы указали флаг-4ipv4 .Если данные отправляются агентом, но не поступают в вашу SIEM-систему, проверьте журнал агента SIEM. Если отображаются сообщения об отказе подключения, убедитесь, что агент SIEM настроен для использования TLS 1.2 или более поздней версии.
Шаг 3. Удаление агента SIEM для восстановления
- Агент SIEM восстановления автоматически прекратит отправку данных и будет отключен после достижения даты окончания.
- В SIEM убедитесь, что агент SIEM для восстановления не отправляет новые данные.
- Остановите выполнение агента на вашем устройстве.
- В портале перейдите на страницу SIEM Agent и удалите агент SIEM для восстановления.
- Убедитесь, что исходный агент SIEM по-прежнему работает правильно.
Устранение общих неполадок
Убедитесь, что состояние агента SIEM в Microsoft Defender for Cloud Apps не является ошибкой подключения или отключено, а уведомления агента отсутствуют. Состояние отображается как Ошибка подключения , если подключение не работает более двух часов. Если подключение не работает более 12 часов, состояние меняется на Отключено .
Если во время запуска агента в командной строке отображается одна из следующих ошибок, выполните следующие действия, чтобы устранить проблему:
| Ошибка | Описание | Решение |
|---|---|---|
| Общая ошибка во время начальной загрузки | Непредвиденная ошибка при начальной загрузке агента. | Обратитесь за поддержкой. |
| Слишком много критических ошибок | При подключении консоли произошло слишком много критических ошибок. Завершает работу. | Обратитесь за поддержкой. |
| Недопустимый токен | Предоставленный токен недействителен. | Убедитесь, что вы скопировали правильный токен. Для повторного создания маркера можно использовать описанный выше процесс. |
| Недопустимый адрес прокси-сервера | Указанный адрес прокси-сервера недопустим. | Убедитесь, что вы ввели правильный прокси-сервер и порт. |
После создания агента проверьте страницу агента SIEM в Defender for Cloud Apps. Если вы видите одно из следующих уведомлений агента, выполните следующие действия, чтобы устранить проблему:
| Ошибка | Описание | Решение |
|---|---|---|
| Внутренняя ошибка | Что-то неизвестное пошло не так с агентом SIEM. | Обратитесь за поддержкой. |
| Ошибка отправки сервера данных | Эта ошибка может возникнуть, если вы работаете с сервером Системного журнала по протоколу TCP. Агент SIEM не может подключиться к серверу Syslog. Если возникает эта ошибка, агент перестанет получать новые задачи, пока она не будет устранена. Обязательно следуйте инструкциям по исправлению, пока ошибка не перестанет появляться. | 1. Убедитесь, что сервер системного журнала правильно определен. В пользовательском интерфейсе Defender for Cloud Apps измените агент SIEM, как описано выше. Убедитесь, что вы правильно написали имя сервера и настроили правильный порт.
2. Проверьте подключение к серверу Syslog. Убедитесь, что брандмауэр не блокирует обмен данными. |
| Ошибка подключения к серверу данных | Эта ошибка может возникнуть, если вы работаете с сервером Системного журнала по протоколу TCP. Агент SIEM не может подключиться к серверу Syslog. Если появляется эта ошибка, агент перестает получать новые задачи, пока она не будет исправлена. Обязательно следуйте инструкциям по исправлению, пока ошибка не перестанет появляться. | 1. Убедитесь, что сервер системного журнала правильно определен. В пользовательском интерфейсе Defender for Cloud Apps измените агент SIEM, как описано выше. Убедитесь, что вы правильно написали имя сервера и настроили правильный порт.
2. Проверьте подключение к серверу Syslog. Убедитесь, что брандмауэр не блокирует обмен данными. |
| Ошибка агента SIEM | Агент SIEM отключен более чем на X часов | Убедитесь, что вы не изменили конфигурацию SIEM в Defender for Cloud Apps. В противном случае эта ошибка может указывать на проблемы с подключением между Defender for Cloud Apps и компьютером, на котором запущен агент SIEM. |
| Ошибка уведомления агента SIEM | Уведомления агента SIEM об ошибках пересылки получены от агента SIEM. | Эта ошибка означает, что были получены сообщения об ошибках, связанных с подключением между агентом SIEM и сервером SIEM. Убедитесь, что брандмауэр не блокирует сервер SIEM или компьютер, на котором запущен агент SIEM. Кроме того, проверка, что IP-адрес сервера SIEM не был изменен. Если вы установили java Runtime Engine (JRE) с обновлением 291 или более поздней версии, следуйте инструкциям в статье Проблема с новыми версиями Java. |
Проблема с новыми версиями Java
Более новые версии Java могут вызвать проблемы с агентом SIEM. Если вы установили java Runtime Engine (JRE) с обновлением 291 или более поздней версии, выполните следующие действия.
В командной строке PowerShell с повышенными привилегиями переключитесь в папку java install bin.
cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"Скачайте все следующие сертификаты выдающего центра сертификации Azure TLS.
Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt" Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"cd /tmp wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crtИмпортируйте каждый файл CRT сертификата ЦС в хранилище ключей Java, используя пароль хранилища ключей по умолчанию: changeit.
keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitkeytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeitЧтобы проверить это, просмотрите хранилище ключей Java для Azure TLS, выдающего перечисленные выше псевдонимы сертификатов ЦС.
keytool -list -keystore ..\lib\security\cacertsЗапустите агент SIEM и просмотрите новый файл журнала трассировки, чтобы подтвердить успешное подключение.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.