共用方式為

疑難排解 SIEM 整合

本文提供將 SIEM 連線到適用於 Defender for Cloud Apps 時可能發生的問題清單,並提供可能的解決方案。

復原 Defender for Cloud Apps SIEM 代理程式中遺漏的活動事件

繼續之前,請檢查您的 Defender for Cloud Apps 授權是否支援您嘗試設定的 SIEM 整合。

如果您收到有關透過 SIEM 代理程式傳遞活動問題的系統警示,請遵循下列步驟,在問題的時間範圍內復原活動事件。 這些步驟會引導您設定新的復原 SIEM 代理程式,該代理程式將平行執行,並將活動事件重新傳送至 SIEM。

注意事項

復原程序會在系統警示中說明的時間範圍內重新傳送所有活動事件。 如果您的 SIEM 已包含此時間範圍內的活動事件,則在此復原之後您會遇到重複的事件。

步驟 1 – 與現有代理程式平行設定新的 SIEM 代理程式

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。

  2. [系統] 底下,選取 [SIEM 代理程式]。 然後選取新增 SIEM 代理程式,並使用精靈來設定 SIEM 的連線詳細資料。 例如,您可以使用下列組態建立新的 SIEM 代理程式:

    • 協定:TCP
    • 遠端主機:您可以監聽連接埠的任何裝置。 例如,一個簡單的解決方案是使用與代理相同的裝置,並將遠端主機IP地址設定為127.0.0.1
    • 連接埠:您可以在遠端主機裝置上監聽的任何連接埠

    注意事項

    此代理程式應該與現有代理程式平行執行,因此網路設定可能不相同。

  3. 在精靈中,將資料類型設定為僅包含 活動, 並套用原始 SIEM 代理程式 (中使用的相同活動篩選器 (如果存在) )。

  4. 儲存設定。

  5. 使用產生的權杖執行新的代理程式。

步驟 2 – 驗證資料是否成功傳遞至 SIEM

使用下列步驟來驗證您的組態:

  1. 連線至您的 SIEM,並檢查是否從您設定的新 SIEM 代理程式收到新資料。

    注意事項

    代理程式只會在您收到警示的問題時間範圍內傳送活動。

  2. 如果您的 SIEM 未收到資料,則在新的 SIEM 代理程式裝置上,嘗試接聽您設定為轉送活動的連接埠,以查看資料是否從代理程式傳送至 SIEM。 例如,執行 netcat -l <port> where 是 <port> 先前設定的埠號。

    注意事項

    如果您使用 ncat,請確定您指定 ipv4 旗標 -4

  3. 如果代理程式正在傳送資料,但 SIEM 未收到資料,請檢查 SIEM 代理程式記錄。 如果您可以看到「連線拒絕」訊息,請確定您的 SIEM 代理程式已設定為使用 TLS 1.2 或更新版本。

步驟 3 – 移除復原 SIEM 代理程式

  1. 復原 SIEM 代理程式會自動停止傳送資料,並在達到結束日期後停用。
  2. 在您的 SIEM 中驗證復原 SIEM 代理程式不會傳送任何新資料。
  3. 停止在裝置上執行代理程式。
  4. 在入口網站中,移至 [SIEM 代理程式] 頁面,並移除復原 SIEM 代理程式。
  5. 請確定您的原始 SIEM 代理程式仍正常執行。

一般疑難排解

請確定 Microsoft Defender for Cloud Apps 中 SIEM 代理程式的狀態不是 [連線錯誤] 或 [中斷連線],而且沒有代理程式通知。 如果連線中斷超過兩小時,狀態會顯示為 連線錯誤 。 如果連線中斷超過 12 小時,狀態會變更為 [ 已中斷連線 ]。

如果您在執行代理程式時在 cmd 提示中看到下列其中一個錯誤,請使用下列步驟來修復問題:

錯誤 描述 解決方案
啟動期間的一般錯誤 代理程式啟動期間發生非預期的錯誤。 連絡客戶支援。
嚴重錯誤太多 連線控制台時發生太多嚴重錯誤。 關閉。 連絡客戶支援。
無效的權杖 提供的權杖無效。 請確定您複製了正確的權杖。 您可以使用上述程序來重新產生權杖。
代理位址無效 提供的 Proxy 位址無效。 確保您輸入了正確的代理和端口。

建立代理程式之後,請檢查 Defender for Cloud Apps 中的 SIEM 代理程式頁面。 如果您看到下列 其中一個代理程式通知,請使用下列步驟來修復問題:

錯誤 描述 解決方案
內部錯誤 您的 SIEM 代理程式發生不明問題。 連絡客戶支援。
資料伺服器傳送錯誤 如果您透過 TCP 使用 Syslog 伺服器,可能會收到此錯誤。 SIEM 代理程式無法連線到您的 Syslog 伺服器。 如果您收到此錯誤,代理程式將停止提取新活動,直到修正為止。 請務必遵循補救步驟,直到錯誤停止出現為止。 1. 請確定您已正確定義 Syslog 伺服器:在 Defender for Cloud Apps UI 中,編輯您的 SIEM 代理程式,如上所述。 確保您正確編寫了伺服器名稱並設定了正確的連接埠。
2. 檢查與 Syslog 伺服器的連線: 確保您的防火牆沒有阻止通訊。
資料伺服器連線錯誤 如果您透過 TCP 使用 Syslog 伺服器,可能會收到此錯誤。 SIEM 代理程式無法連線到您的 Syslog 伺服器。 如果您收到此錯誤,代理程式會停止提取新活動,直到修復為止。 請務必遵循補救步驟,直到錯誤停止出現為止。 1. 請確定您已正確定義 Syslog 伺服器:在 Defender for Cloud Apps UI 中,編輯您的 SIEM 代理程式,如上所述。 確保您正確編寫了伺服器名稱並設定了正確的連接埠。
2. 檢查與 Syslog 伺服器的連線: 確保您的防火牆沒有阻止通訊。
SIEM 代理程式錯誤 SIEM 代理程式已中斷連線超過 X 小時 請確定您未變更 Defender for Cloud Apps 中的 SIEM 設定。 否則,此錯誤可能表示 Defender for Cloud Apps 與您執行 SIEM 代理程式的電腦之間的連線問題。
SIEM 代理程式通知錯誤 從 SIEM 代理程式收到 SIEM 代理程式通知轉送錯誤。 此錯誤表示您收到有關 SIEM 代理程式與 SIEM 伺服器之間連線的錯誤。 請確定沒有防火牆封鎖您的 SIEM 伺服器或執行 SIEM 代理程式的電腦。 此外,請檢查 SIEM 伺服器的 IP 位址是否未變更。 如果您已安裝 Java 執行階段引擎 (JRE) 更新 291 或更新版本,請遵循 新版本 Java 問題中的指示。

新版本 Java 的問題

較新版本的 Java 可能會導致 SIEM 代理程式發生問題。 如果您已安裝 Java Runtime Engine (JRE) 更新 291 或更新版本,請遵循下列步驟:

  1. 在提升許可權的 PowerShell 提示字元中,切換至 Java 安裝 bin 資料夾。

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. 下載下列每個 Azure TLS 發行 CA 憑證。

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. 使用預設金鑰儲存庫密碼 changeit ,將每一個 CA 憑證 CRT 檔案匯入至 Java 金鑰儲存庫。

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. 若要驗證,請檢視上述 Azure TLS 發行 CA 憑證別名的 Java 金鑰存放區。

        keytool -list -keystore ..\lib\security\cacerts

  5. 啟動 SIEM 代理程式並檢閱新的追蹤記錄檔,以確認連線成功。

後續步驟

保護組織的最佳做法

如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證

  • Last updated on