Mengonfigurasi unggahan log otomatis menggunakan Podman
Catatan
Microsoft Defender untuk Cloud Apps sekarang menjadi bagian dariMicrosoft Defender XDR, yang menghubungkan sinyal dari seluruh rangkaian Pertahanan Microsoft dan menyediakan kemampuan deteksi, investigasi, dan respons tingkat insiden yang kuat. Untuk informasi selengkapnya, lihat aplikasi Microsoft Defender untuk Cloud di Pertahanan Microsoft XDR.
Artikel ini menjelaskan cara mengonfigurasi unggahan log otomatis untuk laporan berkelanjutan di Defender untuk Cloud Apps menggunakan kontainer Podman di Linux di server lokal. Pelanggan yang menggunakan RHEL 7.1 atau yang lebih tinggi harus menggunakan Podman untuk pengumpulan log otomatis.
Prasyarat
Sebelum memulai:
- Pastikan Anda menggunakan kontainer dengan RHEL 7.1 dan yang lebih tinggi.
- Karena Docker dan Podman tidak dapat hidup berdampingan pada komputer yang sama, pastikan untuk menghapus instalasi Docker sebelum menjalankan Podman.
- Pastikan Anda masuk ke komputer RHEL sebagai pengguna
rootuntuk menyebarkan Podman
Penyiapan dan konfigurasi
Masuk ke Microsoft Defender XDR dan pilih Pengaturan > Cloud Apps > Cloud Discovery > Unggahan log otomatis.
Pastikan Anda memiliki sumber data yang ditentukan pada tab Sumber data. Jika tidak, pilih Tambahkan sumber data untuk menambahkannya .
Pilih tab Pengumpul log, yang mencantumkan semua pengumpul log yang disebarkan di penyewa Anda.
Pilih tautan Tambahkan pengumpul log. Kemudian, dalam dialog Buat pengumpul log masukkan:
Bidang KETERANGAN Nama Masukkan nama yang bermakna, berdasarkan informasi utama yang digunakan pengumpul log, seperti standar penamaan internal atau lokasi situs Anda. Alamat IP host atau FQDN Masukkan komputer host atau alamat IP komputer virtual (VM) kolektor log Anda. Pastikan bahwa layanan syslog atau firewall Anda dapat mengakses alamat IP / FQDN yang Anda masukkan. Sumber data Pilih sumber data yang ingin Anda gunakan. Jika Anda menggunakan beberapa sumber data, sumber yang dipilih diterapkan ke port terpisah sehingga pengumpul log dapat terus mengirim data secara konsisten.
Misalnya, daftar berikut menunjukkan contoh kombinasi sumber data dan port:
- Palo Alto: 601
- Titik Pemeriksaan: 602
- ZScaler: 603Pilih Buat untuk menampilkan instruksi lebih lanjut di layar untuk situasi spesifik Anda.
Salin perintah yang ditampilkan dan ubah sesuai kebutuhan berdasarkan layanan kontainer yang Anda gunakan. Contohnya:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterJalankan perintah yang dimodifikasi pada komputer Anda untuk menyebarkan kontainer. Ketika berhasil, log menunjukkan menarik gambar dari mcr.microsoft.com dan terus membuat blob untuk kontainer.
Ketika kontainer sepenuhnya disebarkan, verifikasi bahwa kontainer berfungsi dengan memeriksa dengan layanan kontainerisasi:
podman ps
Catatan
Kontainer Podman tidak dimulai secara otomatis ketika server host di-boot ulang. Menghidupkan ulang komputer host Podman mengharuskan Anda untuk memulai kontainer lagi juga.
Pemecahan Masalah
Jika Anda tidak mendapatkan log firewall dari kontainer Podman, periksa hal berikut:
Pastikan rsyslog berputar pada pengumpul log.
Jika Anda telah membuat perubahan, tunggu beberapa jam dan jalankan perintah berikut untuk melihat apakah ada yang berubah:
podman logs <container name>di mana
<container name>adalah nama kontainer yang Anda gunakan.Jika log masih belum dikirim, pastikan bahwa kontainer disebarkan menggunakan
--privilegedbendera . Jika Anda belum menyebarkan kontainer dengan--privilegedbendera, kontainer tidak akan mengumpulkan file yang diunggah ke komputer host.
Konten terkait
Untuk informasi selengkapnya, lihat Mengonfigurasi unggahan log otomatis untuk laporan berkelanjutan.