Настройка автоматической отправки журналов с помощью Podman (предварительная версия)

  • Статья

Примечание.

Microsoft Defender для облака Приложения теперь являются частью XDR в Microsoft Defender, который сопоставляет сигналы из набора Microsoft Defender и обеспечивает обнаружение, исследование и мощные возможности реагирования на уровне инцидентов. Дополнительные сведения см. в разделе Microsoft Defender для облака Приложения в XDR в Microsoft Defender.

В этой статье описывается настройка автоматической отправки журналов для непрерывных отчетов в приложениях Defender для облака с помощью контейнера Podman в Linux на локальном сервере. Клиенты, использующие RHEL 7.1 или более поздней версии, должны использовать Podman для автоматической коллекции журналов.

Необходимые компоненты

Перед началом:

  • Убедитесь, что вы используете контейнер с RHEL 7.1 и выше.
  • Так как Docker и Podman не могут сосуществовать на одном компьютере, удалите все установки Docker перед запуском Podman.
  • Убедитесь, что вы вошли на компьютер RHEL в качестве пользователя root для развертывания Podman

Установка и настройка

  1. Войдите в Microsoft Defender XDR и выберите Параметры > автоматическая отправка журналов Cloud Apps > Cloud Discovery>.

  2. Убедитесь, что у вас есть источник данных, определенный на вкладке "Источники данных". Если это не так, нажмите кнопку "Добавить источник данных", чтобы добавить его.

  3. Выберите вкладку сборщиков журналов, в которой перечислены все сборщики журналов , развернутые в клиенте.

  4. Выберите ссылку "Добавить сборщик журналов ". Затем в диалоговом окне "Создание сборщика журналов" введите следующее:

    Поле Описание:
    Имя Введите понятное имя на основе ключевых сведений, которые использует сборщик журналов, таких как внутренний стандарт именования или расположение сайта.
    IP-адрес узла или полное доменное имя Введите ip-адрес хост-машины или виртуальной машины сборщика журналов. Убедитесь, что служба системного журнала или брандмауэр могут получить доступ к IP-адресу или полному доменному имени.
    Источники данных Выберите источник данных, который вы хотите использовать. Если вы используете несколько источников данных, выбранный источник применяется к отдельному порту, чтобы сборщик журналов продолжал отправлять данные последовательно.

    Например, в следующем списке показаны примеры сочетаний источников данных и портов:
    - Пало Альто: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Нажмите кнопку "Создать" , чтобы отобразить дополнительные инструкции на экране для конкретной ситуации.

  6. Скопируйте отображаемую команду и измените ее по мере необходимости на основе используемой службы контейнеров. Например:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Выполните измененную команду на компьютере, чтобы развернуть контейнер. В случае успешного выполнения журналы показывают извлечение изображения из mcr.microsoft.com и продолжение создания больших двоичных объектов для контейнера.

  8. Когда контейнер полностью развернут, убедитесь, что он работает, проверка со службой контейнеризации:

    podman ps

Примечание.

Контейнеры Podman не запускаются автоматически при перезагрузке сервера узла. Перезапуск узла Podman требует повторного запуска контейнера.

Устранение неполадок

Если вы не получаете журналы брандмауэра из контейнера Podman, проверка следующее:

  1. Убедитесь, что rsyslog поворачивается на сборщике журналов.

  2. Если вы внесли изменения, подождите пару часов и выполните следующую команду, чтобы узнать, изменилось ли что-либо:

    podman logs <container name>

    где <container name> имя используемого контейнера.

  3. Если журналы по-прежнему не отправляются, убедитесь, что контейнер развернут с помощью флага --privileged . Если вы еще не развернули контейнер с флагом --privileged , контейнер не собирает отправленные файлы на главный компьютер.

Связанный контент

Дополнительные сведения см. в статье Настройка автоматической отправки журналов для непрерывных отчетов.