Del via

Konfigurer automatisk logoverførsel ved hjælp af Docker på Azure Kubernetes Service (AKS)

  • Artikel

I denne artikel beskrives det, hvordan du konfigurerer automatisk logoverførsel for fortløbende rapporter i Defender for Cloud Apps ved hjælp af en Docker-objektbeholder på Azure Kubernetes Service (AKS).

Bemærk!

Microsoft Defender for Cloud Apps er nu en del af Microsoft Defender XDR, der korrelerer signaler fra hele Microsoft Defender-pakken og giver mulighed for registrering, undersøgelse og effektive svarmuligheder på hændelsesniveau. Du kan få flere oplysninger under Microsoft Defender for Cloud Apps i Microsoft Defender XDR.

Installation og konfiguration

  1. Log på Microsoft Defender XDR, og vælg Indstillinger > Cloud Apps > Cloud Discovery > Automatisk upload af log.

  2. Sørg for, at du har defineret en datakilde under fanen Datakilder . Hvis du ikke gør det, skal du vælge Tilføj en datakilde for at tilføje en.

  3. Vælg fanen Logindsamlere , som viser alle de logindsamlere, der er installeret på din lejer.

  4. Vælg linket Tilføj logindsamler . I dialogboksen Opret logopsamler skal du derefter angive:

    Mark Beskrivelse
    Navn Angiv et sigende navn baseret på vigtige oplysninger, som logindsamleren bruger, f.eks. din interne navngivningsstandard eller en placering på et websted.
    Værts-IP-adresse eller FQDN Angiv IP-adressen for din logopsamlers værtsmaskine eller vm. Sørg for, at din syslog-tjeneste eller firewall kan få adgang til den IP-adresse/FQDN, du angiver.
    Datakilde(r) Vælg den datakilde, du vil bruge. Hvis du bruger flere datakilder, anvendes den valgte kilde på en separat port, så logindsamleren fortsat kan sende data på en ensartet måde.

    Følgende liste viser f.eks. eksempler på kombinationer af datakilder og porte:
    - Palo Alto: 601
    - Kontrolpunkt: 602
    - ZScaler: 603

  5. Vælg Opret for at få vist yderligere instruktioner på skærmen for din specifikke situation.

  6. Gå til konfigurationen af din AKS-klynge, og kør:

    kubectl config use-context <name of AKS cluster>

  7. Kør kommandoen helm ved hjælp af følgende syntaks:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Find værdierne for helmkommandoen ved hjælp af den dockerkommando, der bruges, når samleren er konfigureret. Det kan f.eks. være:

    (echo <Generated ID>) | docker run --name SyslogTLStest

Når det lykkes, viser loggene, at der trækkes et billede fra mcr.microsoft.com og fortsætter med at oprette blobs for objektbeholderen.

Relateret indhold

Du kan få flere oplysninger under Konfigurer automatisk logoverførsel for fortløbende rapporter.