Configurer le téléchargement automatique du journal à l'aide de Podman (Aperçu)

  • Article

Remarque

Microsoft Defender for Cloud Apps fait maintenant partie de Microsoft Defender XDR, qui met en corrélation les signaux de l’ensemble de la suite Microsoft Defender et fournit des fonctionnalités de détection, d’examen et de réponse puissantes au niveau de l’incident. Pour plus d’informations, consultez Applications Microsoft Defender for Cloud Apps dans Microsoft Defender XDR.

Cet article décrit comment configurer le téléchargement automatique des journaux pour les rapports continus dans Container for Cloud Apps à l'aide d'un conteneur Podman sur Linux dans un serveur local. Les clients utilisant RHEL 7.1 ou une version plus récente doivent utiliser Podman pour la collecte automatique des journaux.

Prérequis

Avant de commencer :

  • Assurez-vous que vous utilisez un conteneur avec RHEL 7.1 ou supérieur.
  • Comme Docker et Podman ne peuvent pas coexister sur la même machine, assurez-vous de désinstaller toute installation Docker avant d'exécuter Podman.
  • Assurez-vous d'être connecté à la machine RHEL en tant qu'utilisateur root pour déployer Podman.

Paramétrage et configuration

  1. Connectez-vous à Microsoft Defender XDR et sélectionnez Réglages > Cloud Apps > Cloud Discovery > Téléchargement automatique des journaux.

  2. Assurez-vous qu'une source de données est définie dans l'onglet Sources de données. Si ce n'est pas le cas, sélectionnez Ajouter une source de données pour en ajouter une.

  3. Sélectionnez l'onglet Collecteurs de journaux, qui répertorie tous les collecteurs de journaux déployés sur votre locataire.

  4. Sélectionnez le lien Ajouter un collecteur de journaux. Ensuite, dans la boîte de dialogue Créer un collecteur de journaux, entrez :

    Champ Description
    Nom Saisissez un nom significatif, basé sur des informations clés que le collecteur de journaux utilise, comme votre norme de dénomination interne ou l'emplacement d'un site.
    Adresse IP de l'hôte ou FQDN Saisissez l'adresse IP de la machine hôte ou de la machine virtuelle (VM) de votre collecteur de journaux. Assurez-vous que votre service syslog ou votre pare-feu peut accéder à l'adresse IP / FQDN que vous entrez.
    Source(s) de données Sélectionnez la source de données que vous souhaitez utiliser. Si vous utilisez plusieurs sources de données, la source sélectionnée est appliquée à un port distinct afin que le collecteur de journaux puisse continuer à envoyer des données de manière cohérente.

    La liste suivante présente des exemples de combinaisons de sources de données et de ports :
    - Palo Alto : 601
    - CheckPoint : 602
    - ZScaler : 603

  5. Sélectionnez Créer pour afficher à l'écran des instructions supplémentaires concernant votre situation spécifique.

  6. Copiez la commande affichée et modifiez-la si nécessaire en fonction du service de conteneur que vous utilisez. Par exemple :

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Exécutez la commande modifiée sur votre machine pour déployer le conteneur. En cas de réussite, les journaux indiquent l'extraction d'une image à partir de mcr.microsoft.com et la poursuite de la création de blobs pour le conteneur.

  8. Lorsque le conteneur est entièrement déployé, vérifiez qu'il fonctionne en consultant le service de conteneurisation :

    podman ps

Remarque

Les conteneurs Podman ne démarrent pas automatiquement lorsque le serveur hôte est redémarré. Le redémarrage de la machine hôte Podman nécessite que vous redémarriez également le conteneur.

Dépannage

Si vous ne recevez pas de journaux de pare-feu de votre conteneur Podman, vérifiez ce qui suit :

  1. Assurez-vous que rsyslog tourne sur le collecteur de journaux.

  2. Si vous avez effectué des modifications, attendez quelques heures et exécutez la commande suivante pour voir si quelque chose a changé :

    podman logs <container name>

    <container name> est le nom du conteneur que vous utilisez.

  3. Si les journaux ne sont toujours pas envoyés, assurez-vous que le conteneur est déployé à l'aide de l'indicateur --privileged. Si vous n'avez pas déployé votre conteneur avec l'indicateur --privileged, le conteneur ne rassemblera pas les fichiers téléchargés sur la machine hôte.

Contenu connexe

Pour plus d’informations, consultez Configurer le chargement automatique des journaux pour des rapports continus.