Configurare il caricamento automatico dei log con Podman (anteprima)

  • Articolo

Nota

Microsoft Defender per il cloud App fa ora parte di Microsoft Defender XDR, che correla i segnali provenienti da tutta la famiglia di prodotti Microsoft Defender e fornisce funzionalità avanzate di rilevamento, indagine e risposta a livello di evento imprevisto. Per altre informazioni, vedere Microsoft Defender per il cloud Apps in Microsoft Defender XDR.

Questo articolo descrive come configurare il caricamento automatico dei log per i report continui nelle app di Defender per il cloud usando un contenitore Podman in Linux in un server locale. I clienti che usano RHEL 7.1 o versione successiva devono usare Podman per la raccolta automatica dei log.

Prerequisiti

Prima di iniziare:

  • Assicurarsi di usare un contenitore con RHEL 7.1 e versioni successive.
  • Poiché Docker e Podman non possono coesistere nello stesso computer, assicurarsi di disinstallare tutte le installazioni docker prima di eseguire Podman.
  • Assicurarsi di aver eseguito l'accesso al computer RHEL come utente root per distribuire Podman

Impostazione e configurazione

  1. Accedere a Microsoft Defender XDR e selezionare Impostazioni Caricamento automatico dei log in Cloud Apps > Cloud Discovery >>.

  2. Assicurarsi di disporre di un'origine dati definita nella scheda Origini dati . In caso contrario, selezionare Aggiungi un'origine dati per aggiungerne una.

  3. Selezionare la scheda Agenti di raccolta log in cui sono elencati tutti gli agenti di raccolta log distribuiti nel tenant.

  4. Selezionare il collegamento Aggiungi agente di raccolta log. Quindi, nella finestra di dialogo Crea agente di raccolta log immettere:

    Campo Descrizione
    Nome Immettere un nome significativo, in base alle informazioni sulla chiave usate dall'agente di raccolta log, ad esempio lo standard di denominazione interno o un percorso del sito.
    Indirizzo IP host o FQDN Immettere l'indirizzo IP della macchina host o della macchina virtuale (VM) dell'agente di raccolta log. Assicurarsi che il servizio syslog o il firewall possano accedere all'indirizzo IP/FQDN immesso.
    Origini dati Selezionare l'origine dati da usare. Se si usano più origini dati, l'origine selezionata viene applicata a una porta separata in modo che l'agente di raccolta log possa continuare a inviare dati in modo coerente.

    Ad esempio, l'elenco seguente mostra esempi di combinazioni di origine dati e porte:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Selezionare Crea per visualizzare altre istruzioni sullo schermo per la situazione specifica.

  6. Copiare il comando visualizzato e modificarlo in base alle esigenze in base al servizio contenitore in uso. Ad esempio:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Eseguire il comando modificato nel computer per distribuire il contenitore. Al termine, i log mostrano il pull di un'immagine da mcr.microsoft.com e continuano a creare BLOB per il contenitore.

  8. Quando il contenitore viene distribuito completamente, verificare che funzioni controllando con il servizio di containerizzazione:

    podman ps

Nota

I contenitori Podman non vengono avviati automaticamente quando il server host viene riavviato. Per riavviare il computer host Podman è necessario riavviare il contenitore.

Risoluzione dei problemi

Se non si ricevono log del firewall dal contenitore Podman, verificare quanto segue:

  1. Assicurarsi che rsyslog ruota sull'agente di raccolta log.

  2. Se sono state apportate modifiche, attendere un paio di ore ed eseguire il comando seguente per verificare se sono state apportate modifiche:

    podman logs <container name>

    dove <container name> è il nome del contenitore in uso.

  3. Se i log non vengono ancora inviati, assicurarsi che il contenitore venga distribuito usando il --privileged flag . Se il contenitore non è stato distribuito con il --privileged flag , il contenitore non raccoglierà i file caricati nel computer host.

Contenuto correlato

Per altre informazioni, vedere Configurare il caricamento automatico dei log per i report continui.