Configuración de la carga de registros automática en Docker en Azure Kubernetes Service (AKS)
En este artículo se describe cómo configurar la carga automática de registros para informes continuos en Defender for Cloud Apps mediante un contenedor Azure Kubernetes Service (AKS).
Nota:
Microsoft Defender for Cloud Apps ahora forma parte de Microsoft Defender XDR, que pone en correlación las señales de todo el conjunto de Microsoft Defender y proporciona unas potentes funcionalidades de detección, investigación y respuesta en el nivel de incidentes. Para obtener más información, consulta Microsoft Defender for Cloud Apps en Microsoft Defender XDR.
Instalación y configuración
Inicie sesión en Microsoft Defender XDR y seleccione Configuración > Cloud Apps > Cloud Discovery > Carga automática de registros.
Asegúrese de que tiene un origen de datos definido en la pestaña Orígenes de datos. Si no es así, seleccione Agregar un origen de datos para agregar uno.
Seleccione la pestaña Recopiladores de registros, que enumera todos los recopiladores de registros implementados en el inquilino.
Seleccione el vínculo Agregar recopilador de registros. A continuación, en el cuadro de diálogo Crear recopilador de registros, introduzca:
Campo Descripción Nombre Escriba un nombre descriptivo, en función de la información clave que usa el recopilador de registros, como el estándar de nomenclatura interno o una ubicación del sitio. Dirección o FQDN de IP de host Introduzca la dirección IP de la máquina virtual (VM) o de la máquina host del recopilador de registros. Asegúrese de que el servicio syslog o el firewall pueden acceder a la dirección IP o FQDN que introduzca. Orígenes de datos Seleccione el origen de datos que desee usar. Si usa varios orígenes de datos, el origen seleccionado se aplica a un puerto independiente para que el recopilador de registros pueda seguir enviando datos de forma coherente.
Por ejemplo, en la lista siguiente se muestran ejemplos de combinaciones de origen de datos y puerto:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603Seleccione Crear para ver más instrucciones en la pantalla para su situación específica.
Vaya a la configuración del clúster de AKS y ejecute:
kubectl config use-context <name of AKS cluster>
Ejecute el comando helm mediante la siguiente sintaxis:
helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
Busque los valores para el comando helm mediante el comando docker que se usa cuando se configura el recopilador. Por ejemplo:
(echo <Generated ID>) | docker run --name SyslogTLStest
Una vez ejecutado correctamente, los registros muestran la extracción de una imagen de mcr.microsoft.com y continúan con la creación de blobs para el contenedor.
Contenido relacionado
Para más información, consulte Configuración de la carga de registros automática para informes continuos.