Como solucionar problemas quando nenhum evento é recebido de uma nova origem de dados
Artigos técnicos ID:
KB82387
Última modificação: 27/01/2021
Ambiente
McAfee SIEM Enterprise Security Manager (NitroView ESM) 9.x
McAfee SIEM Event Receiver (NitroView Receiver) 9.x
Problema
Após adicionar uma nova origem de dados ao SIEM Event Receiver 9.x, nenhum evento é recebido. Além disso, uma origem de dados existente que estava funcionando pode parar de enviar dados.
NOTA: a incapacidade de coletar eventos de uma determinada origem de dados afeta a visibilidade e pode reduzir a conformidade de retenção de dados e registro em log.
Causa
Podem existir várias causas para uma falha na obtenção de eventos. Entretanto, ela geralmente é causada por uma das seguintes:
- A origem de dados não está enviando os dados para o receptor, possivelmente devido à configuração incorreta.
- Um problema no coletor do receptor está fazendo com que o rceptor não armazene os dados de eventos recebidos.
- O processo do analisador não consegue decodificar os logs brutos em eventos.
- Os eventos podem não ser inseridos no banco de dados do ESM.
- A rede ou o firewall está bloqueando uma porta necessária, impedindo o syslog.
- Um problema com a política do SIEM.
Use as soluções a seguir para resolver o problema.
Solução
1
A origem de dados não está enviando dados ao receptor
Verifique se a origem de dados está configurada para enviar dados para o receptor:
- Determine qual adaptador Ethernet está em uso. Em receptores que não são HA, ele geralmente é eth0 e, em receptores HA, ele geralmente é eth1 ou o IP 'flutuante'.
- Conecte-se via SSH ao receptor, digite o comando a seguir e pressione ENTER:
tcpdump –nni ethx host x.x.x.x
em que x.x.x.x é o endereço IP da origem de dados e ethx é o adaptador Ethernet em uso.
NOTA: para origens de dados syslog, você deve ver o tráfego de entrada na porta 514 UDP. As origens de dados mais lentas podem precisar de alguns minutos antes de um pacote ser observado e as mais rápidas, como um firewall, podem ser quase imediatas. Se nenhum pacote for observado, pode haver um problema de firewall ou ponto de extremidade.
- Se não forem observados dados, verifique novamente o número de IP e Ethernet. Se estiverem corretos, o problema provavelmente é no ponto de extremidade (por exemplo, o dispositivo não foi configurado corretamente). Para origens de dados que não são syslog, pode ser necessário executar um teste de conexão a partir da GUI durante a execução de tcpdump. O WMI efetuará pull dos dados pela porta 135, o SQL efetuará pull dos dados pela porta 1433 e assim por diante.
NOTA: se as informações de IP e porta estiverem corretas e o tráfego de entrada não for verificado no tcpdump, o problema também pode estar relacionado a um problema no firewall ou na rede que impede o tráfego de entrada pela porta especificada. Consulte o administrador de rede para obter mais etapas de solução de problemas.
- Digite o comando a seguir e pressione ENTER:
iptables –n –v –L|grep x.x.x.x
NOTA: certifique-se de que exista uma regra em vigor para o endereço IP da origem de dados que a deixará passar pelo firewall. Uma saída típica de iptables incluirá a porta e o endereço IP da origem de dados. Por exemplo, 10.10.10.10 514 para syslog.
- Selecione a origem de dados na interface do usuário do ESM e escolha o dashboard Status do dispositivo. Após o carregamento, role para baixo na janela inferior e localize o número de vipsid da origem de dados.
- Conecte-se via SSH ao receptor e execute o comando a seguir:
ls –al /var/log/data/inline/thirdparty.logs/##/in
em que ## é o número de vipsID.
Se existir um arquivo Data.xxxxxx e ele não possuir 0 bytes, vá para a Solução 2.
Solução
2
Os dados foram recebidos e armazenados no receptor, mas eles não estão sendo analisados
- Certifique-se de que o analisador correto tenha sido selecionado. Em casos em que há mais de um analisador possível, escolha aquele com (ASP) no título. Além disso, certifique-se de que as configurações de entrega e formato estejam com o valor padrão, a menos que você esteja usando MEF ou origens de dados não syslog.
- As configurações da origem de dados e a política talvez não sejam atuais. Dessa maneira, abra as propriedades da origem de dados e modifique qualquer linha. Por exemplo, adicione um espaço ao nome e, em seguida, remova o espaço.
- Clique em OK e em Gravar para enviar por push as configurações da origem de dados.
- Distribua a política selecionando o receptor na árvore do dispositivo e, no Editor de políticas, clique em Operações, Distribuir. Ative a caixa de seleção na parte inferior esquerda para atualizar de qualquer maneira.
- Se essa for uma origem de dados syslog, ative Registrar evento de "syslog desconhecido" na GUI das configurações da origem de dados. Isso significará que, se não for possível analisar um evento, ele será exibido como desconhecido, em vez de ser descartado.
- Selecione a guia Interface e certifique-se de que os números das portas estejam completos e corretos para o tipo de origem de dados em questão. Por exemplo, 514 para syslog, 135 para WMI, 139 para RPC, 1433 para sql e assim por diante.
- As regras não podem ser ativadas para a origem de dados; dessa maneira, com a origem de dados selecionada, abra o Editor de políticas. Certifique-se de que as regras listadas para a origem de dados estejam ativadas.
NOTA: é normal que as regras de política padrão sejam desativadas, e elas não devem ser ativadas no nível padrão.
Se essas etapas não resolverem o problema, vá para a Solução 3.
Solução
3
Os dados são coletados e analisados, mas não são exibidos no dashboard
Pode haver um problema ao inserir eventos no ESM. Para verificar isso:
- Se outras origens de dados não estiverem coletando dados, execute uma operação do tipo parar e iniciar no receptor. Você pode fazer isso em Propriedades do Receptor.
- Verifique se outras origens de dados estão funcionando conforme o esperado.
Se essas etapas não resolverem o problema, vá para a Solução 4.
Solução
4
Problema com a política do SIEM
Se ainda estiver enfrentando problemas, é possível que as alterações necessárias não tenham sido enviadas. O SIEM precisa enviar por push as configurações da origem de dados e distribuir a política para impor as alterações.
- Abra as Propriedades do Receptor e clique na guia Origem de dados:
- Se o botão Gravar estiver disponível, vá para a Etapa 2.
- Se o botão Gravar não estiver disponível, selecione todas as origens de dados e edite-as. Faça uma pequena alteração, como adicionar e remover um espaço do nome/da descrição, e clique em OK para forçar a ativação do botão Gravar .
- Clique em Gravar para enviar as configurações da origem de dados.
- Se a distribuição de políticas for exibida, selecione a caixa inferior esquerda para forçar uma distribuição para todos os dispositivos e, em seguida, clique em OK.
NOTA: se ela não for exibida automaticamente, volte para o dashboard, selecione o ESM, clique em Editor de políticas na parte superior e, seguida, clique em Operações, Distribuir.
Se ainda estiver enfrentando problemas e já tiver realizado todas as etapas em todas as Soluções, entre em contato com o Suporte técnico para obter mais ajuda.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em Entrar.
- Se você não for um usuário registrado, clique em Registrar e preencha os campos para que sua senha e suas instruções sejam enviadas por e-mail para você.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|