Share via

Konfigurowanie automatycznego przekazywania dzienników przy użyciu narzędzia Podman (wersja zapoznawcza)

  • Artykuł

Uwaga

Microsoft Defender dla Chmury Apps jest teraz częścią Usługa Microsoft Defender XDR, która koreluje sygnały z całego pakietu Microsoft Defender i zapewnia wykrywanie, badanie i zaawansowane możliwości reagowania na poziomie zdarzeń. Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury Apps in Microsoft Defender XDR (Aplikacje Microsoft Defender dla Chmury w usłudze Microsoft Defender XDR).

W tym artykule opisano sposób konfigurowania automatycznego przekazywania dzienników dla raportów ciągłych w usłudze Defender dla Chmury Apps przy użyciu kontenera Podman w systemie Linux na serwerze lokalnym. Klienci korzystający z systemu RHEL 7.1 lub nowszego muszą używać narzędzia Podman do automatycznego zbierania dzienników.

Wymagania wstępne

Przed rozpoczęciem:

  • Upewnij się, że używasz kontenera z systemem RHEL 7.1 lub nowszym.
  • Ponieważ platformy Docker i Podman nie mogą współistnieć na tym samym komputerze, przed uruchomieniem narzędzia Podman upewnij się, że należy odinstalować wszystkie instalacje platformy Docker.
  • Upewnij się, że zalogowaliśmy się do maszyny RHEL jako użytkownik root , aby wdrożyć narzędzie Podman

Instalacja i konfiguracja

  1. Zaloguj się do usługi Microsoft Defender XDR i wybierz pozycję Ustawienia Automatyczne przekazywanie dziennika w usłudze Cloud Discovery w > usłudze Cloud Apps >>.

  2. Upewnij się, że na karcie Źródła danych zdefiniowano źródło danych. Jeśli tego nie zrobisz, wybierz pozycję Dodaj źródło danych, aby je dodać.

  3. Wybierz kartę Moduły zbierające dzienniki , która zawiera listę wszystkich modułów zbierających dzienniki wdrożonych w dzierżawie.

  4. Wybierz link Dodaj moduł zbierający dzienniki. Następnie w oknie dialogowym Tworzenie modułu zbierającego dzienniki wprowadź:

    Pole Opis
    Nazwa/nazwisko Wprowadź zrozumiałą nazwę na podstawie kluczowych informacji używanych przez moduł zbierający dzienniki, takich jak wewnętrzny standard nazewnictwa lub lokalizacja witryny.
    Adres IP hosta lub nazwa FQDN Wprowadź adres IP maszyny hosta modułu zbierającego dzienników lub maszyny wirtualnej. Upewnij się, że usługa syslog lub zapora mogą uzyskać dostęp do wprowadzonego adresu IP/nazwy FQDN.
    Źródła danych Wybierz źródło danych, którego chcesz użyć. Jeśli używasz wielu źródeł danych, wybrane źródło jest stosowane do oddzielnego portu, aby moduł zbierający dzienniki mógł stale wysyłać dane.

    Na przykład na poniższej liście przedstawiono przykłady kombinacji źródeł danych i portów:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Wybierz pozycję Utwórz , aby wyświetlić dalsze instrukcje na ekranie dla określonej sytuacji.

  6. Skopiuj wyświetlone polecenie i zmodyfikuj je zgodnie z potrzebami na podstawie używanej usługi kontenera. Na przykład:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Uruchom zmodyfikowane polecenie na maszynie, aby wdrożyć kontener. Po pomyślnym zakończeniu dzienniki pokazują ściąganie obrazu z mcr.microsoft.com i kontynuowanie tworzenia obiektów blob dla kontenera.

  8. Po pełnym wdrożeniu kontenera sprawdź, czy działa, sprawdzając usługę konteneryzacji:

    podman ps

Uwaga

Kontenery narzędzia Podman nie są uruchamiane automatycznie po ponownym uruchomieniu serwera hosta. Ponowne uruchomienie maszyny hosta Podman wymaga ponownego uruchomienia kontenera.

Rozwiązywanie problemów

Jeśli nie otrzymujesz dzienników zapory z kontenera Podman, sprawdź następujące kwestie:

  1. Upewnij się, że program rsyslog obraca się w modułze zbierającym dzienniki.

  2. Jeśli wprowadzono zmiany, zaczekaj kilka godzin i uruchom następujące polecenie, aby sprawdzić, czy coś się zmieniło:

    podman logs <container name>

    gdzie <container name> to nazwa używanego kontenera.

  3. Jeśli dzienniki nadal nie są wysyłane, upewnij się, że kontener został wdrożony przy użyciu flagi --privileged . Jeśli kontener nie został wdrożony z flagą --privileged , kontener nie będzie zbierał przekazanych plików na maszynę hosta.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz Konfigurowanie automatycznego przekazywania dzienników dla raportów ciągłych.