Configurar el recopilador de registros de Defender for Cloud Apps
Puede usar el recopilador de registros de Defender for Cloud Apps para ayudar a automatizar la carga de registros desde la red corporativa. El registro de Defender for Cloud Apps procesa, comprime y transmite automáticamente cada registro al portal de Defender for Cloud Apps para su revisión.
Información general de los registros de tráfico
Cloud Discovery usa los datos en sus registros de tráfico. Cuando más información se almacene en los registros, mejor información conocerá las aplicaciones de la organización. En la lista siguiente se describen los atributos obligatorios para los datos de registro que se recopilan mediante Defender for Cloud Apps:
Estado de la transacción.
IP de origen
Usuario de origen: altamente recomendado
Dirección IP de destino
Url de destino recomendada
Sugerencia
Las direcciones URL ofrecen una precisión más alta para la detección de aplicaciones en la nube que las direcciones IP
Cantidad total de datos
Cantidad de datos cargados o descargados
Acción realizada (permitido/bloqueado)
Cómo se cargan y procesan los registros
La forma en que se cargan los registros varía según el tipo de archivo de registro.
Nota
El registro se ejecuta en su red y recibe registros a través de Syslog o FTP.
En el caso de los archivos Syslog, la biblioteca de registros escribe los registros recibidos en el disco. Cuando el tamaño del archivo sea superior a 40 KB, el recopilador de registros lo cargará en Defender for Cloud Apps. Con FTP, la descarga de registro carga los registros en Defender for Cloud Apps tan pronto como el registro recibe la carga FTP completa.
Después de subir un registro, Defender for Cloud Apps mueve el registro a un directorio de copia de seguridad.
Nota
El directorio de copia de seguridad almacena los últimos 20 registros.
Cuando llegan los registros nuevos, los registros antiguos se eliminan.
Importante
Cada vez que el espacio en disco del registro esté lleno, el registro descargará nuevos registros hasta que tenga más espacio en disco libre. Recibirá una advertencia en la pestaña Inicio de sesión de la configuración de Cargar registros automáticamente cuando esto suceda.
Implementar una implementación de registro
Puede implementar una actividad de registro en uno de dos modos, como se describe en la tabla siguiente.
| Modo | Descripción |
|---|---|
| Contenedor | Se ejecuta como una imagen de Docker en Windows, Ubuntu local, Ubuntu en Azure, RHEL local o CentOS |
| Aplicación virtual | Se ejecuta como una imagen a través del hipervisor de Hyper-V o VMware |
Importante
El modo de dispositivo virtual está en desuso. Debe usar el modo contenedor.
Después de implementar la tienda de registros, debe definirla en el portal de Defender for Cloud Apps:
Abra Configuracióny, después, Carga de registro automática.
En primer lugar, defina los orígenes de datos. Seleccione la pestaña Orígenes de datos y, después, haga clic en Agregar origen de datos.
En el cuadro de diálogo Agregar origen de datos, escriba un nombre y, a continuación, seleccione el tipoorigen y receptor. El origen representa el dispositivo, como un proxy o firewall. El tipo de destinatario es el tipo de archivo de registro: FTP o Syslog.
Seleccione Agregar.
A continuación, en la página de Carga registro automática, seleccione la pestaña Biblioteca de registros.
Seleccione Agregar biblioteca de registro.
En el cuadro de diálogo Crear ventana de registro, escriba la información necesaria y, a continuación, seleccione Crear:
- Nombre
- IP de host o FQDN
- Origen(es) de datos Este es el origen de datos que ha definido anteriormente.
Aparecerá una sección denominada Siguientes pasos. Siga las instrucciones proporcionadas para completar la configuración. Puede exportar la configuración necesaria seleccionando el Botón Exportar encima de la lista de orígenes de datos.
Después de completar el procedimiento de configuración de Defender for Cloud Apps, ahora debe configurar el propio registro. Como se mencionó anteriormente, puede implementar en dos modos: como contenedor o como un dispositivo virtual.
Por ejemplo, para usar un equipo Windows con Sed, completaría el proceso de la siguiente manera:
Inicie sesión en Windows como administrador local.
Descargue el script de PowerShell del instalador de Windows mediante la ejecución del siguiente comando en una ventana de PowerShell con privilegios elevados:
PowerShellInvoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)Establezca la directiva de ejecución en firma remota:
Set-ExecutionPolicy RemoteSignedInstalar el cliente De para:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)Importante
Mientras el contenedor de registro está instalado, el equipo se reinicia dos veces. Tendrá que volver a iniciar sesión cada vez. Asegúrese de que el cliente Docker esté configurado para usar contenedores Linux.
Después de cada reinicio, vuelva a ejecutar el
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)comando.A continuación, importe la información de configuración de la sección Pasos siguientes del cuadro de diálogo Crear ventana de registro.
Sugerencia
Puede comprobar que la implementación se ha realizado correctamente en la pestaña Registros del portal de Defender for Cloud Apps. Si la biblioteca de registros se muestra como Conectado, ha completado correctamente la implementación.