Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Примечание.
Microsoft Defender for Cloud Apps теперь является частью Microsoft Defender XDR, которая сопоставляет сигналы из разных Microsoft Defender набора и предоставляет возможности обнаружения, исследования и эффективного реагирования на уровне инцидентов. Дополнительные сведения см. в разделе Microsoft Defender for Cloud Apps в Microsoft Defender XDR.
В этой статье описывается настройка автоматической отправки журналов для непрерывных отчетов в Defender for Cloud Apps с помощью контейнера Podman в Linux на локальном сервере. Клиенты, использующие RHEL 7.1 или более поздней версии, должны использовать Podman для автоматического сбора журналов.
Предварительные условия
Перед началом работы:
- Убедитесь, что вы используете контейнер с RHEL 7.1 и более поздних версий.
- Так как Docker и Podman не могут сосуществовать на одном компьютере, перед запуском Podman обязательно удалите все установки Docker.
- Убедитесь, что вы вошли на компьютер RHEL в качестве пользователя
rootдля развертывания Podman.
Настройка и конфигурация
Войдите в Microsoft Defender XDR и выберите Параметры Облачные > приложения > Cloud Discovery > Автоматическая отправка журнала.
Убедитесь, что на вкладке Источники данных определен источник данных. В противном случае выберите Добавить источник данных , чтобы добавить его.
Выберите вкладку Сборщики журналов , на которой перечислены все сборщики журналов, развернутые в клиенте.
Щелкните ссылку Добавить сборщик журналов . Затем в диалоговом окне Создание сборщика журналов введите:
Поле Описание Name Введите понятное имя на основе ключевых сведений, которые использует сборщик журналов, таких как ваш внутренний стандарт именования или расположение сайта. IP-адрес узла или полное доменное имя Введите IP-адрес хост-машины или виртуальной машины (ВМ) сборщика журналов. Убедитесь, что служба системного журнала или брандмауэр могут получить доступ к ip-адресу или полному доменному имени, которые вы вводите. Источники данных Выберите источник данных, который вы хотите использовать. Если вы используете несколько источников данных, выбранный источник применяется к отдельному порту, чтобы сборщик журналов продолжал отправлять данные согласованно.
Например, в следующем списке приведены примеры сочетаний источников данных и портов:
- Пало Альто: 601
— CheckPoint: 602
- ZScaler: 603Выберите Создать, чтобы отобразить на экране дополнительные инструкции для конкретной ситуации.
Скопируйте отображаемую команду и измените ее при необходимости в зависимости от используемой службы контейнеров. Например:
(echo <key>) | podman run --privileged --name PodmanTest -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterВыполните измененную команду на компьютере, чтобы развернуть контейнер. При успешном выполнении журналы показывают извлечение образа из mcr.microsoft.com и продолжение создания больших двоичных объектов для контейнера.
После полного развертывания контейнера убедитесь, что он работает, проверив в службе контейнеризации:
podman ps
Примечание.
Контейнеры Podman не запускаются автоматически при перезагрузке сервера узла. Перезапуск хост-компьютера Podman также требует повторного запуска контейнера.
Устранение неполадок
Если вы не получаете журналы брандмауэра из контейнера Podman, проверка следующее:
Убедитесь, что rsyslog вращается в сборщике журналов.
Если вы внесли изменения, подождите пару часов и выполните следующую команду, чтобы узнать, изменилось ли что-либо:
podman logs <container name>где
<container name>— имя используемого контейнера.Если журналы по-прежнему не отправляются, убедитесь, что контейнер развернут с помощью флага
--privileged. Если вы не развернули контейнер с флагом--privileged, контейнер не будет собирать отправленные файлы на хост-компьютер.
Связанные материалы
Дополнительные сведения см. в разделе Настройка автоматической отправки журналов для непрерывных отчетов.