Delen via


Automatische logboekupload configureren met Docker in Azure Kubernetes Service (AKS)

In dit artikel wordt beschreven hoe u het automatisch uploaden van logboeken configureert voor doorlopende rapporten in Defender voor Cloud Apps met behulp van een Docker-container in Azure Kubernetes Service (AKS).

Notitie

Microsoft Defender voor Cloud Apps maakt nu deel uit van Microsoft Defender XDR, die signalen correleert vanuit de Microsoft Defender-suite en biedt detectie, onderzoek en krachtige responsmogelijkheden op incidentniveau. Zie Microsoft Defender voor Cloud Apps in Microsoft Defender XDR voor meer informatie.

Installatie en configuratie

  1. Meld u aan bij Microsoft Defender XDR en selecteer Instellingen Cloud Apps > Cloud Discovery > Automatisch logboekuploaden>.

  2. Zorg ervoor dat u een gegevensbron hebt gedefinieerd op het tabblad Gegevensbronnen . Als u dat niet doet, selecteert u Een gegevensbron toevoegen om er een toe te voegen.

  3. Selecteer het tabblad Logboekverzamelaars, waarin alle logboekverzamelaars worden vermeld die op uw tenant zijn geïmplementeerd.

  4. Selecteer de koppeling Logboekverzamelaar toevoegen. Voer vervolgens in het dialoogvenster Logboekverzamelaar maken het volgende in:

    Veld Beschrijving
    Naam Voer een betekenisvolle naam in op basis van belangrijke informatie die de logboekverzamelaar gebruikt, zoals uw interne naamgevingsstandaard of een sitelocatie.
    HOST-IP-adres of FQDN Voer het IP-adres van de hostmachine of virtuele machine (VM) van de logboekverzamelaar in. Zorg ervoor dat uw Syslog-service of firewall toegang heeft tot het IP-adres/de FQDN die u invoert.
    Gegevensbron(en) Selecteer de gegevensbron die u wilt gebruiken. Als u meerdere gegevensbronnen gebruikt, wordt de geselecteerde bron toegepast op een afzonderlijke poort, zodat de logboekverzamelaar gegevens consistent kan blijven verzenden.

    In de volgende lijst ziet u bijvoorbeeld voorbeelden van combinaties van gegevensbronnen en poorten:
    - Palo Alto: 601
    - Controlepunt: 602
    - ZScaler: 603
  5. Selecteer Maken om verdere instructies weer te geven op het scherm voor uw specifieke situatie.

  6. Ga naar de configuratie van uw AKS-cluster en voer het volgende uit:

    kubectl config use-context <name of AKS cluster>
    
  7. Voer de Helm-opdracht uit met behulp van de volgende syntaxis:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0
    

    Zoek de waarden voor de Helm-opdracht met behulp van de docker-opdracht die wordt gebruikt wanneer de collector is geconfigureerd. Voorbeeld:

    (echo <Generated ID>) | docker run --name SyslogTLStest
    

Als dit lukt, worden in de logboeken een installatiekopie uit mcr.microsoft.com opgehaald en blijven blobs voor de container worden gemaakt.

Zie Automatische logboekupload configureren voor doorlopende rapporten voor meer informatie.