次の方法で共有

SIEM 統合のトラブルシューティング

この記事では、SIEM をDefender for Cloud Appsに接続するときに発生する可能性のある問題の一覧と、考えられる解決策について説明します。

SIEM エージェントで不足しているアクティビティ イベントDefender for Cloud Apps回復する

続行する前に、Defender for Cloud Apps ライセンスで構成しようとしている SIEM 統合がサポートされていることをチェックします。

SIEM エージェントを介したアクティビティ配信に関する問題に関するシステム アラートを受け取った場合は、次の手順に従って、問題の期間内にアクティビティ イベントを回復します。 これらの手順では、並列で実行され、アクティビティ イベントを SIEM に再送信する新しい Recovery SIEM エージェントを設定する方法について説明します。

注:

復旧プロセスは、システム アラートで説明されている期間内にすべてのアクティビティ イベントを再送信します。 SIEM にこの期間のアクティビティ イベントが既に含まれている場合は、この復旧後に重複したイベントが発生します。

手順 1 – 既存のエージェントと並行して新しい SIEM エージェントを構成する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

  2. [ システム] で、[ SIEM エージェント] を選択します。 次 に、[新しい SIEM エージェントの追加] を選択し、ウィザードを使用して SIEM への接続の詳細を構成します。 たとえば、次の構成で新しい SIEM エージェントを作成できます。

    • プロトコル:TCP
    • リモート ホスト: ポートをリッスンできる任意のデバイス。 たとえば、簡単な解決策は、エージェントと同じデバイスを使用し、リモート ホスト IP アドレスを 127.0.0.1 に設定することです。
    • ポート: リモート ホスト デバイスでリッスンできる任意のポート

    注:

    このエージェントは既存のエージェントと並行して実行する必要があるため、ネットワーク構成が同一ではない可能性があります。

  3. ウィザードで、 アクティビティのみを 含むようにデータ型を構成し、元の SIEM エージェントで使用されたのと同じアクティビティ フィルターを適用します (存在する場合)。

  4. 設定を保存します。

  5. 生成されたトークンを使用して新しいエージェントを実行します。

手順 2 – SIEM への正常なデータ配信を検証する

構成を検証するには、次の手順に従います。

  1. SIEM に接続し、構成した新しい SIEM エージェントから新しいデータが受信されたことをチェックします。

    注:

    エージェントは、アラートが発生した問題の期間内にのみアクティビティを送信します。

  2. SIEM によってデータが受信されない場合は、新しい SIEM エージェント デバイスで、アクティビティを転送するように構成したポートをリッスンして、エージェントから SIEM にデータが送信されているかどうかを確認してください。 たとえば、 netcat -l <port> を実行します。ここで、 <port> は前に構成したポート番号です。

    注:

    ncatを使用している場合は、必ず ipv4 フラグ -4を指定してください。

  3. エージェントによってデータが送信されていても SIEM によって受信されない場合は、SIEM エージェント ログをチェックします。 "接続拒否" メッセージが表示される場合は、SIEM エージェントが TLS 1.2 以降を使用するように構成されていることを確認してください。

手順 3 – Recovery SIEM エージェントを削除する

  1. 復旧 SIEM エージェントは、データの送信を自動的に停止し、終了日に達すると無効になります。
  2. 復旧 SIEM エージェントによって新しいデータが送信されていないことを SIEM で検証します。
  3. デバイスでのエージェントの実行を停止します。
  4. ポータルで、[SIEM エージェント] ページに移動し、復旧 SIEM エージェントを削除します。
  5. 元の SIEM エージェントがまだ正常に実行されていることを確認します。

一般的なトラブルシューティング

Microsoft Defender for Cloud Appsの SIEM エージェントの状態が接続エラーまたは切断されていないことを確認し、エージェント通知がないことを確認します。 接続が 2 時間以上停止している場合、状態は接続エラーとして表示 されます 。 接続が 12 時間以上停止している場合、状態は [切断 ] に変わります。

エージェントの実行中に cmd プロンプトに次のいずれかのエラーが表示される場合は、次の手順を使用して問題を修復します。

エラー 説明 解決方法
ブートストラップ中の一般的なエラー エージェントのブートストラップ中に予期しないエラーが発生しました。 サポートに問い合わせてください。
重大なエラーが多すぎます コンソールの接続中に発生した重大なエラーが多すぎます。 シャットダウン。 サポートに問い合わせてください。
無効なトークン 指定されたトークンが無効です。 適切なトークンをコピーしていることを確認します。 上記のプロセスを使用してトークンを再生成できます。
無効なプロキシ アドレス 指定されたプロキシ アドレスが無効です。 適切なプロキシとポートを入力したことを確認します。

エージェントを作成したら、Defender for Cloud Appsの SIEM エージェント ページをチェックします。 次のいずれかの エージェント通知が表示される場合は、次の手順を使用して問題を修復します。

エラー 説明 解決方法
内部エラーです SIEM エージェントで不明な問題が発生しました。 サポートに問い合わせてください。
データ サーバー送信エラー TCP 経由で Syslog サーバーを使用している場合は、このエラーが発生する可能性があります。 SIEM エージェントは Syslog サーバーに接続できません。 このエラーが発生した場合、エージェントは修正されるまで新しいアクティビティのプルを停止します。 エラーが表示されなくなるまで、必ず修復手順に従ってください。 1. Syslog サーバーが適切に定義されていることを確認します。Defender for Cloud Apps UI で、前述のように SIEM エージェントを編集します。 サーバーの名前を正しく記述し、適切なポートを設定していることを確認します。
2. Syslog サーバーへの接続を確認する: ファイアウォールが通信をブロックしていないことを確認します。
データ サーバー接続エラー TCP 経由で Syslog サーバーを使用している場合は、このエラーが発生する可能性があります。 SIEM エージェントは Syslog サーバーに接続できません。 このエラーが発生した場合、エージェントは修正されるまで新しいアクティビティのプルを停止します。 エラーが表示されなくなるまで、必ず修復手順に従ってください。 1. Syslog サーバーが適切に定義されていることを確認します。Defender for Cloud Apps UI で、前述のように SIEM エージェントを編集します。 サーバーの名前を正しく記述し、適切なポートを設定していることを確認します。
2. Syslog サーバーへの接続を確認する: ファイアウォールが通信をブロックしていないことを確認します。
SIEM エージェント エラー SIEM エージェントが X 時間以上切断されている Defender for Cloud Appsで SIEM 構成を変更していないことを確認します。 そうしないと、このエラーは、Defender for Cloud Appsと SIEM エージェントを実行しているコンピューターの間の接続の問題を示している可能性があります。
SIEM エージェント通知エラー SIEM エージェント通知転送エラーが SIEM エージェントから受信されました。 このエラーは、SIEM エージェントと SIEM サーバー間の接続に関するエラーを受け取ったことを示します。 SIEM サーバーまたは SIEM エージェントを実行しているコンピューターをブロックするファイアウォールがないことを確認します。 また、SIEM サーバーの IP アドレスが変更されなかったことをチェックします。 Java ランタイム エンジン (JRE) 更新プログラム 291 以降をインストールしている場合は、「 新しいバージョンの Java に関する問題」の手順に従ってください。

Java の新しいバージョンに関する問題

新しいバージョンの Java では、SIEM エージェントに問題が発生する可能性があります。 Java ランタイム エンジン (JRE) 更新プログラム 291 以降をインストールした場合は、次の手順に従います。

  1. 管理者特権の PowerShell プロンプトで、Java インストール bin フォルダーに切り替えます。

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"

  2. 次の各 Azure TLS 発行元 CA 証明書をダウンロードします。

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
    Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"

        cd /tmp
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
    wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt

  3. 既定のキーストア パスワード 変更を使用して、各 CA 証明書 CRT ファイルを Java キーストアにインポートします。

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
    keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit

  4. 確認するには、上記の CA 証明書エイリアスを発行する Azure TLS 用の Java キーストアを表示します。

        keytool -list -keystore ..\lib\security\cacerts

  5. SIEM エージェントを起動し、新しいトレース ログ ファイルを確認して、接続が成功したことを確認します。

次の手順

組織を保護するためのベスト プラクティス

問題が発生した場合は、こちらにお問い合わせください。 製品の問題に関するサポートを受ける場合は、サポート チケットを開いてください。