Automatische logboekupload configureren met Podman (preview)

  • Artikel

Notitie

Microsoft Defender voor Cloud Apps maakt nu deel uit van Microsoft Defender XDR, die signalen correleert vanuit de Microsoft Defender-suite en biedt detectie, onderzoek en krachtige responsmogelijkheden op incidentniveau. Zie Microsoft Defender voor Cloud Apps in Microsoft Defender XDR voor meer informatie.

In dit artikel wordt beschreven hoe u het automatisch uploaden van logboeken configureert voor doorlopende rapporten in Defender voor Cloud Apps met behulp van een Podman-container in Linux op een on-premises server. Klanten die RHEL 7.1 of hoger gebruiken, moeten Podman gebruiken voor automatische logboekverzameling.

Vereisten

Voordat u begint:

  • Zorg ervoor dat u een container gebruikt met RHEL 7.1 en hoger.
  • Aangezien Docker en Podman niet naast elkaar kunnen bestaan op dezelfde computer, moet u alle Docker-installaties verwijderen voordat u Podman uitvoert.
  • Zorg ervoor dat u bent aangemeld bij de RHEL-machine als gebruiker root om Podman te implementeren

Installatie en configuratie

  1. Meld u aan bij Microsoft Defender XDR en selecteer Instellingen Cloud Apps > Cloud Discovery > Automatisch logboeken uploaden>.

  2. Zorg ervoor dat u een gegevensbron hebt gedefinieerd op het tabblad Gegevensbronnen . Als u dat niet doet, selecteert u Een gegevensbron toevoegen om er een toe te voegen.

  3. Selecteer het tabblad Logboekverzamelaars, waarin alle logboekverzamelaars worden vermeld die op uw tenant zijn geïmplementeerd.

  4. Selecteer de koppeling Logboekverzamelaar toevoegen. Voer vervolgens in het dialoogvenster Logboekverzamelaar maken het volgende in:

    Veld Beschrijving
    Naam Voer een betekenisvolle naam in op basis van belangrijke informatie die de logboekverzamelaar gebruikt, zoals uw interne naamgevingsstandaard of een sitelocatie.
    HOST-IP-adres of FQDN Voer het IP-adres van de hostmachine of virtuele machine (VM) van de logboekverzamelaar in. Zorg ervoor dat uw Syslog-service of firewall toegang heeft tot het IP-adres/de FQDN die u invoert.
    Gegevensbron(en) Selecteer de gegevensbron die u wilt gebruiken. Als u meerdere gegevensbronnen gebruikt, wordt de geselecteerde bron toegepast op een afzonderlijke poort, zodat de logboekverzamelaar gegevens consistent kan blijven verzenden.

    In de volgende lijst ziet u bijvoorbeeld voorbeelden van combinaties van gegevensbronnen en poorten:
    - Palo Alto: 601
    - Controlepunt: 602
    - ZScaler: 603

  5. Selecteer Maken om verdere instructies weer te geven op het scherm voor uw specifieke situatie.

  6. Kopieer de weergegeven opdracht en wijzig deze indien nodig op basis van de containerservice die u gebruikt. Voorbeeld:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Voer de gewijzigde opdracht uit op uw computer om de container te implementeren. Als dit lukt, worden in de logboeken een installatiekopie uit mcr.microsoft.com opgehaald en blijven blobs voor de container worden gemaakt.

  8. Wanneer de container volledig is geïmplementeerd, controleert u of deze werkt door te controleren met de containerisatieservice:

    podman ps

Notitie

Podman-containers worden niet automatisch gestart wanneer de hostserver opnieuw wordt opgestart. Als u de Podman-hostcomputer opnieuw opstart, moet u de container ook opnieuw starten.

Probleemoplossing

Als u geen firewalllogboeken van uw Podman-container ontvangt, controleert u het volgende:

  1. Zorg ervoor dat rsyslog draait op de logboekverzamelaar.

  2. Als u wijzigingen hebt aangebracht, wacht u enkele uren en voert u de volgende opdracht uit om te zien of er iets is gewijzigd:

    podman logs <container name>

    waar <container name> is de naam van de container die u gebruikt.

  3. Als de logboeken nog steeds niet worden verzonden, controleert u of de container is geïmplementeerd met behulp van de --privileged vlag. Als u uw container niet met de --privileged vlag hebt geïmplementeerd, verzamelt de container geen geüploade bestanden naar de hostcomputer.

Gerelateerde inhoud

Zie Automatische logboekupload configureren voor doorlopende rapporten voor meer informatie.