다음을 통해 공유


SIEM 통합 문제 해결

이 문서에서는 SIEM을 Defender for Cloud Apps 연결할 때 발생할 수 있는 문제 목록을 제공하고 가능한 해결 방법을 제공합니다.

Defender for Cloud Apps SIEM 에이전트에서 누락된 활동 이벤트 복구

계속하기 전에 Defender for Cloud Apps 라이선스가 구성하려는 SIEM 통합을 지원하는지 검사.

SIEM 에이전트를 통한 활동 전달 문제와 관련된 시스템 경고를 받은 경우 아래 단계에 따라 문제 기간 내에 활동 이벤트를 복구합니다. 다음 단계에서는 병렬로 실행되고 활동 이벤트를 SIEM에 다시 보내도록 새 Recovery SIEM 에이전트를 설정하는 방법을 안내합니다.

참고

복구 프로세스는 시스템 경고에 설명된 기간의 모든 활동 이벤트를 다시 보냅니다. SIEM에 이 기간의 활동 이벤트가 이미 포함된 경우 이 복구 후에 중복된 이벤트가 발생합니다.

1단계 - 기존 에이전트와 병렬로 새 SIEM 에이전트 구성

  1. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다.

  2. 시스템에서SIEM 에이전트를 선택합니다. 그런 다음 , 새 SIEM 에이전트 추가를 선택하고 마법사를 사용하여 SIEM에 대한 연결 세부 정보를 구성합니다. 예를 들어 다음 구성을 사용하여 새 SIEM 에이전트를 만들 수 있습니다.

    • 프로토콜: TCP
    • 원격 호스트: 포트를 수신 대기할 수 있는 모든 디바이스입니다. 예를 들어 간단한 솔루션은 에이전트와 동일한 디바이스를 사용하고 원격 호스트 IP 주소를 127.0.0.1로 설정하는 것입니다.
    • 포트: 원격 호스트 디바이스에서 수신 대기할 수 있는 모든 포트

    참고

    이 에이전트는 기존 에이전트와 병렬로 실행되어야 하므로 네트워크 구성이 동일하지 않을 수 있습니다.

  3. 마법사에서 활동만 포함하도록 데이터 형식을 구성하고 원래 SIEM 에이전트에 사용된 것과 동일한 활동 필터를 적용합니다(있는 경우).

  4. 설정을 저장합니다.

  5. 생성된 토큰을 사용하여 새 에이전트를 실행합니다.

2단계 - SIEM에 대한 성공적인 데이터 배달 유효성 검사

다음 단계를 사용하여 구성의 유효성을 검사합니다.

  1. SIEM에 연결하고 구성한 새 SIEM 에이전트에서 새 데이터를 수신하도록 검사.

참고

에이전트는 경고를 받은 문제의 기간 내에만 활동을 보냅니다.

  1. SIEM에서 데이터를 받지 못한 경우 새 SIEM 에이전트 디바이스에서 작업을 전달하도록 구성한 포트를 수신 대기하여 데이터가 에이전트에서 SIEM으로 전송되는지 확인합니다. 예를 들어 를 실행 netcat -l <port> 합니다. 여기서 <port> 는 이전에 구성된 포트 번호입니다.

참고

를 사용하는 ncat경우 ipv4 플래그 -4를 지정해야 합니다.

  1. 에이전트에서 데이터를 전송하지만 SIEM에서 수신하지 않는 경우 SIEM 에이전트 로그를 검사. "연결 거부됨" 메시지가 표시되면 SIEM 에이전트가 TLS 1.2 이상을 사용하도록 구성되어 있는지 확인합니다.

3단계 - 복구 SIEM 에이전트 제거

  1. 복구 SIEM 에이전트는 데이터 전송을 자동으로 중지하고 종료 날짜에 도달하면 사용하지 않도록 설정됩니다.
  2. SIEM에서 복구 SIEM 에이전트가 새 데이터를 보내지 않는지 확인합니다.
  3. 디바이스에서 에이전트 실행을 중지합니다.
  4. 포털에서 SIEM 에이전트 페이지로 이동하여 복구 SIEM 에이전트를 제거합니다.
  5. 원래 SIEM 에이전트가 여전히 제대로 실행되고 있는지 확인합니다.

일반 문제 해결

Microsoft Defender for Cloud Apps 포털에서 SIEM 에이전트의 상태 연결 오류 또는 연결 끊김이 아니고 에이전트 알림이 없는지 확인합니다. 연결이 2시간 이상 중단된 경우 상태 연결 오류로 표시됩니다. 연결이 12시간 이상 끊어진 경우 상태 연결 끊김으로 변경됩니다.

에이전트를 실행하는 동안 cmd 프롬프트에 다음 오류 중 하나가 표시되는 경우 다음 단계를 사용하여 문제를 해결합니다.

오류 설명 해결 방법
부트스트랩 중 일반적인 오류 에이전트 부트스트랩 중 예기치 않은 오류입니다. 고객 지원에 문의하세요.
너무 많은 중요 오류 콘솔을 연결하는 동안 너무 많은 심각한 오류가 발생했습니다. 종료. 고객 지원에 문의하세요.
잘못된 토큰 제공된 토큰이 잘못되었습니다. 올바른 토큰을 복사했는지 확인합니다. 위의 프로세스를 사용하여 토큰을 다시 생성할 수 있습니다.
잘못된 프록시 주소 제공된 프록시 주소가 잘못되었습니다. 올바른 프록시 및 포트를 입력했는지 확인합니다.

에이전트를 만든 후 Defender for Cloud Apps 포털에서 SIEM 에이전트 페이지를 검사. 다음 에이전트 알림 중 하나가 표시되는 경우 다음 단계를 사용하여 문제를 해결합니다.

오류 설명 해결 방법
내부 오류 SIEM 에이전트에 알 수 없는 문제가 발생했습니다. 고객 지원에 문의하세요.
데이터 서버 보내기 오류 TCP를 통해 Syslog 서버로 작업하는 경우 이 오류가 발생할 수 있습니다. SIEM 에이전트는 Syslog 서버에 연결할 수 없습니다. 이 오류가 발생하면 에이전트가 수정될 때까지 새 활동 끌어오기를 중지합니다. 오류가 나타날 때까지 수정 단계를 따라야 합니다. 1. Syslog 서버를 올바르게 정의했는지 확인합니다. Defender for Cloud Apps UI에서 위에서 설명한 대로 SIEM 에이전트를 편집합니다. 서버 이름을 올바르게 작성하고 올바른 포트를 설정했는지 확인합니다.
2. Syslog 서버에 대한 연결 확인: 방화벽이 통신을 차단하지 않는지 확인합니다.
데이터 서버 연결 오류 TCP를 통해 Syslog 서버로 작업하는 경우 이 오류가 발생할 수 있습니다. SIEM 에이전트는 Syslog 서버에 연결할 수 없습니다. 이 오류가 발생하면 에이전트가 수정될 때까지 새 활동 끌어오기를 중지합니다. 오류가 나타날 때까지 수정 단계를 따라야 합니다. 1. Syslog 서버를 올바르게 정의했는지 확인합니다. Defender for Cloud Apps UI에서 위에서 설명한 대로 SIEM 에이전트를 편집합니다. 서버 이름을 올바르게 작성하고 올바른 포트를 설정했는지 확인합니다.
2. Syslog 서버에 대한 연결 확인: 방화벽이 통신을 차단하지 않는지 확인합니다.
SIEM 에이전트 오류 SIEM 에이전트가 X시간 이상 연결이 끊어졌습니다. Defender for Cloud Apps 포털에서 SIEM 구성을 변경하지 않았는지 확인합니다. 그렇지 않으면 이 오류는 SIEM 에이전트를 실행하는 컴퓨터와 Defender for Cloud Apps 간의 연결 문제를 나타낼 수 있습니다.
SIEM 에이전트 알림 오류 SIEM 에이전트 알림 전달 오류가 SIEM 에이전트에서 수신되었습니다. 이 오류는 SIEM 에이전트와 SIEM 서버 간의 연결에 대한 오류를 수신했음을 나타냅니다. SIEM 서버 또는 SIEM 에이전트를 실행하는 컴퓨터를 차단하는 방화벽이 없는지 확인합니다. 또한 SIEM 서버의 IP 주소가 변경되지 않았음을 검사. JRE(Java 런타임 엔진) 업데이트 291 이상을 설치한 경우 새 버전의 Java 문제에서 지침을 따릅니다.

새 버전의 Java 문제

최신 버전의 Java는 SIEM 에이전트에 문제를 일으킬 수 있습니다. JRE(Java Runtime Engine) 업데이트 291 이상을 설치한 경우 다음 단계를 수행합니다.

  1. 관리자 권한 PowerShell 프롬프트에서 Java install bin 폴더로 전환합니다.

    cd "C:\Program Files (x86)\Java\jre1.8.0_291\bin"
    
  2. 다음 Azure TLS 발급 CA 인증서를 각각 다운로드합니다.

        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt" -OutFile "$env:temp\azuretls01.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt" -OutFile "$env:temp\azuretls02.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt" -OutFile "$env:temp\azuretls05.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt" -OutFile "$env:temp\azuretls06.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt" -OutFile "$env:temp\azuretls03.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt" -OutFile "$env:temp\azuretls04.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt" -OutFile "$env:temp\azuretls07.crt"
        Invoke-WebRequest -Uri "https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt" -OutFile "$env:temp\azuretls08.crt"
    
        cd /tmp
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2001%20-%20xsign.crt -O azuretls01.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2002%20-%20xsign.crt -O azuretls02.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2005%20-%20xsign.crt -O azuretls05.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20TLS%20Issuing%20CA%2006%20-%20xsign.crt -O azuretls06.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2003%20-%20xsign.crt -O azuretls03.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2004%20-%20xsign.crt -O azuretls04.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2007%20-%20xsign.crt -O azuretls07.crt
        wget https://www.microsoft.com/pkiops/certs/Microsoft%20Azure%20RSA%20TLS%20Issuing%20CA%2008%20-%20xsign.crt -O azuretls08.crt
    
  3. 기본 키 저장소 암호 changeit를 사용하여 각 CA 인증서 CRT 파일을 Java 키 저장소로 가져옵니다.

        keytool -importcert -file "$env:temp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
        keytool -importcert -file "$env:temp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
    
        keytool -importcert -file "\tmp\azuretls01.crt" -keystore ..\lib\security\cacerts -alias azuretls01crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls02.crt" -keystore ..\lib\security\cacerts -alias azuretls02crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls05.crt" -keystore ..\lib\security\cacerts -alias azuretls05crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls06.crt" -keystore ..\lib\security\cacerts -alias azuretls06crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls03.crt" -keystore ..\lib\security\cacerts -alias azuretls03crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls04.crt" -keystore ..\lib\security\cacerts -alias azuretls04crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls07.crt" -keystore ..\lib\security\cacerts -alias azuretls07crt -storepass changeit
        keytool -importcert -file "\tmp\azuretls08.crt" -keystore ..\lib\security\cacerts -alias azuretls08crt -storepass changeit
    
  4. 확인하려면 위에 나열된 AZURE TLS 발급 CA 인증서 별칭에 대한 Java 키 저장소를 확인합니다.

        keytool -list -keystore ..\lib\security\cacerts
    
  5. SIEM 에이전트를 시작하고 새 추적 로그 파일을 검토하여 성공적인 연결을 확인합니다.

다음 단계

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.