Устранение неполадок интеграции SIEM

В этой статье приведен список возможных проблем при подключении SIEM к Defender for Cloud Apps и возможные способы их устранения.

Восстановить отсутствующие события активности в агенте SIEM Defender for Cloud Apps

Прежде чем продолжить, проверьте, поддерживает ли ваша лицензия Defender for Cloud Apps интеграцию SIEM, которую вы пытаетесь настроить.

Если вы получили системное оповещение о проблеме с доставкой действий через агент SIEM, выполните приведенные ниже действия, чтобы восстановить события активности в период возникновения проблемы. Эти шаги помогут вам настроить новый агент Recovery SIEM, который будет работать параллельно и повторно отправлять события активности в вашу систему SIEM.

Примечание.

Процесс восстановления повторно отправляет все события действий за период, описанный в системном оповещении. Если ваш SIEM уже содержит события активности за этот период, после выполнения этого восстановления появятся повторяющиеся события.

Шаг 1. Настройка нового агента SIEM параллельно с существующим агентом

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.

  2. В разделе Система выберите Агент SIEM. Затем выберите добавить новый агент SIEM и с помощью мастера настройте сведения о подключении к SIEM. Например, можно создать агент SIEM со следующей конфигурацией:

    • Протокол: TCP
    • Удаленный хост: любое устройство, на котором можно прослушивать порт. Например, простое решение — использовать то же устройство, что и агент, и задать IP-адрес удаленного узла 127.0.0.1.
    • Порт: любой порт, который можно прослушивать на удаленном хост-устройстве.

    Примечание.

    Этот агент должен выполняться параллельно существующему агенту, поэтому конфигурация сети может не совпадать.

  3. В мастере настройте типы данных, чтобы включить только действия и применить тот же фильтр действий, который использовался в исходном агенте SIEM (если он существует).

  4. Сохраните параметры.

  5. Запустите новый агент, используя сгенерированный токен.

Шаг 2. Проверка успешной доставки данных в SIEM

Чтобы проверить конфигурацию, выполните следующие действия.

  1. Подключитесь к SIEM и проверьте, что новые данные поступают от нового агента SIEM, который вы настроили.

    Примечание.

    Агент будет отправлять действия только за период, относящийся к проблеме, о которой вы получили оповещение.

  2. Если SIEM не получает данные, то на устройстве с новым агентом SIEM попробуйте прослушать порт, который вы настроили для перенаправления событий, чтобы проверить, отправляет ли агент данные в SIEM. Например, выполните команду netcat -l <port> , где <port> — это ранее настроенный номер порта.

    Примечание.

    Если вы используете ncat, убедитесь, что вы указали флаг -4ipv4 .

  3. Если данные отправляются агентом, но не поступают в вашу SIEM-систему, проверьте журнал агента SIEM. Если отображаются сообщения об отказе подключения, убедитесь, что агент SIEM настроен для использования TLS 1.2 или более поздней версии.

Шаг 3. Удаление агента SIEM для восстановления

  1. Агент SIEM восстановления автоматически прекратит отправку данных и будет отключен после достижения даты окончания.
  2. В SIEM убедитесь, что агент SIEM для восстановления не отправляет новые данные.
  3. Остановите выполнение агента на вашем устройстве.
  4. В портале перейдите на страницу SIEM Agent и удалите агент SIEM для восстановления.
  5. Убедитесь, что исходный агент SIEM по-прежнему работает правильно.

Устранение общих неполадок

Убедитесь, что состояние агента SIEM в Microsoft Defender for Cloud Apps не является ошибкой подключения или отключено, а уведомления агента отсутствуют. Состояние отображается как Ошибка подключения , если подключение не работает более двух часов. Если подключение не работает более 12 часов, состояние меняется на Отключено .

Если во время запуска агента в командной строке отображается одна из следующих ошибок, выполните следующие действия, чтобы устранить проблему:

Ошибка Описание Решение
Общая ошибка во время начальной загрузки Непредвиденная ошибка при начальной загрузке агента. Обратитесь за поддержкой.
Слишком много критических ошибок При подключении консоли произошло слишком много критических ошибок. Завершает работу. Обратитесь за поддержкой.
Недопустимый токен Предоставленный токен недействителен. Убедитесь, что вы скопировали правильный токен. Для повторного создания маркера можно использовать описанный выше процесс.
Недопустимый адрес прокси-сервера Указанный адрес прокси-сервера недопустим. Убедитесь, что вы ввели правильный прокси-сервер и порт.

После создания агента проверьте страницу агента SIEM в Defender for Cloud Apps. Если вы видите одно из следующих уведомлений агента, выполните следующие действия, чтобы устранить проблему:

Ошибка Описание Решение
Внутренняя ошибка Что-то неизвестное пошло не так с агентом SIEM. Обратитесь за поддержкой.
Ошибка отправки сервера данных Эта ошибка может возникнуть, если вы работаете с сервером Системного журнала по протоколу TCP. Агент SIEM не может подключиться к серверу Syslog. Если возникает эта ошибка, агент перестанет получать новые задачи, пока она не будет устранена. Обязательно следуйте инструкциям по исправлению, пока ошибка не перестанет появляться. 1. Убедитесь, что сервер системного журнала правильно определен. В пользовательском интерфейсе Defender for Cloud Apps измените агент SIEM, как описано выше. Убедитесь, что вы правильно написали имя сервера и настроили правильный порт.
2. Проверьте подключение к серверу Syslog. Убедитесь, что брандмауэр не блокирует обмен данными.
Ошибка подключения к серверу данных Эта ошибка может возникнуть, если вы работаете с сервером Системного журнала по протоколу TCP. Агент SIEM не может подключиться к серверу Syslog. Если появляется эта ошибка, агент перестает получать новые задачи, пока она не будет исправлена. Обязательно следуйте инструкциям по исправлению, пока ошибка не перестанет появляться. 1. Убедитесь, что сервер системного журнала правильно определен. В пользовательском интерфейсе Defender for Cloud Apps измените агент SIEM, как описано выше. Убедитесь, что вы правильно написали имя сервера и настроили правильный порт.
2. Проверьте подключение к серверу Syslog. Убедитесь, что брандмауэр не блокирует обмен данными.
Ошибка агента SIEM Агент SIEM отключен более чем на X часов Убедитесь, что вы не изменили конфигурацию SIEM в Defender for Cloud Apps. В противном случае эта ошибка может указывать на проблемы с подключением между Defender for Cloud Apps и компьютером, на котором запущен агент SIEM.
Ошибка уведомления агента SIEM Уведомления агента SIEM об ошибках пересылки получены от агента SIEM. Эта ошибка означает, что были получены сообщения об ошибках, связанных с подключением между агентом SIEM и сервером SIEM. Убедитесь, что брандмауэр не блокирует сервер SIEM или компьютер, на котором запущен агент SIEM. Кроме того, проверка, что IP-адрес сервера SIEM не был изменен. Если вы установили java Runtime Engine (JRE) с обновлением 291 или более поздней версии, следуйте инструкциям в статье Проблема с новыми версиями Java.

Проблема с новыми версиями Java

Более новые версии Java могут вызвать проблемы с агентом SIEM. Если вы установили java Runtime Engine (JRE) с обновлением 291 или более поздней версии, выполните следующие действия.

  1. В командной строке PowerShell с повышенными привилегиями переключитесь в папку java install bin.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
    
  2. Скачайте все следующие сертификаты выдающего центра сертификации Azure TLS.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"
    
        cd /tmp
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt
    
  3. Импортируйте каждый файл CRT сертификата ЦС в хранилище ключей Java, используя пароль хранилища ключей по умолчанию: changeit.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
    
        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
    
  4. Чтобы проверить это, просмотрите хранилище ключей Java для Azure TLS, выдающего перечисленные выше псевдонимы сертификатов ЦС.

        keytool -list -keystore ..\lib\security\cacerts
    
  5. Запустите агент SIEM и просмотрите новый файл журнала трассировки, чтобы подтвердить успешное подключение.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.