Freigeben über

Konfigurieren des automatischen Protokolluploads mit Podman

  • Artikel

Hinweis

Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft Defender XDR, das Signale aus der gesamten Microsoft Defender Suite korreliert und erkennungs-, untersuchungs- und reaktionsfähige Funktionen auf Incidentebene bietet. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft Defender XDR.

In diesem Artikel wird beschrieben, wie Sie den automatischen Protokollupload für fortlaufende Berichte in Defender for Cloud Apps mithilfe eines Podman-Containers unter Linux auf einem lokalen Server konfigurieren. Kunden, die RHEL 7.1 oder höher verwenden, müssen Podman für die automatische Protokollsammlung verwenden.

Voraussetzungen

Bevor Sie beginnen:

  • Stellen Sie sicher, dass Sie einen Container mit RHEL 7.1 und höher verwenden.
  • Da Docker und Podman nicht gleichzeitig auf demselben Computer vorhanden sein können, müssen Sie vor dem Ausführen von Podman alle Docker-Installationen deinstallieren.
  • Stellen Sie sicher, dass Sie beim RHEL-Computer als Benutzer root angemeldet sind, um Podman bereitzustellen.

Einrichtung und Konfiguration

  1. Melden Sie sich bei Microsoft Defender XDR an, und wählen Sie Einstellungen > Cloud Apps > Cloud Discovery > Automatischer Protokollupload aus.

  2. Stellen Sie sicher, dass auf der Registerkarte Datenquellen eine Datenquelle definiert ist. Wenn dies nicht der Fall ist, wählen Sie Datenquelle hinzufügen aus, um eine hinzuzufügen.

  3. Wählen Sie die Registerkarte Protokollsammler aus, auf der alle auf Ihrem Mandanten bereitgestellten Protokollsammler aufgelistet sind.

  4. Wählen Sie den Link Protokollsammler hinzufügen aus. Geben Sie dann im Dialogfeld Protokollsammler erstellen Folgendes ein:

    Feld Beschreibung
    Name Geben Sie einen aussagekräftigen Namen ein, basierend auf wichtigen Informationen, die der Protokollsammler verwendet, z. B. Ihrem internen Benennungsstandard oder einem Standort.
    Host-IP-Adresse oder FQDN Geben Sie den Hostcomputer oder die IP-Adresse des virtuellen Computers (VM) Ihres Protokollsammlers ein. Stellen Sie sicher, dass Ihr Syslog-Dienst oder Ihre Firewall auf die eingegebene IP-Adresse bzw. den FQDN zugreifen kann.
    Datenquelle(en) Wählen Sie die Datenquelle aus, die Sie verwenden möchten. Wenn Sie mehrere Datenquellen verwenden, wird die ausgewählte Quelle auf einen separaten Port angewendet, damit der Protokollsammler weiterhin Daten konsistent senden kann.

    Die folgende Liste enthält beispielsweise Beispiele für Datenquellen- und Portkombinationen:
    - Palo Alto: 601
    – CheckPoint: 602
    – ZScaler: 603

  5. Wählen Sie Erstellen aus, um weitere Anweisungen für Ihre spezifische Situation auf dem Bildschirm anzuzeigen.

  6. Kopieren Sie den angezeigten Befehl, und ändern Sie ihn je nach Bedarf basierend auf dem verwendeten Containerdienst. Zum Beispiel:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Führen Sie den geänderten Befehl auf Ihrem Computer aus, um den Container bereitzustellen. Bei erfolgreicher Ausführung wird in den Protokollen das Pullen eines Images aus mcr.microsoft.com und die weitere Erstellung von Blobs für den Container angezeigt.

  8. Wenn der Container vollständig bereitgestellt ist, überprüfen Sie, ob er funktioniert, indem Sie den Containerisierungsdienst überprüfen:

    podman ps

Hinweis

Podman-Container werden nicht automatisch gestartet, wenn der Hostserver neu gestartet wird. Zum Neustarten des Podman-Hostcomputers müssen Sie auch den Container erneut starten.

Problembehandlung

Wenn Sie keine Firewallprotokolle von Ihrem Podman-Container erhalten, überprüfen Sie Folgendes:

  1. Stellen Sie sicher, dass rsyslog im Protokollsammler rotiert wird.

  2. Wenn Sie Änderungen vorgenommen haben, warten Sie einige Stunden, und führen Sie den folgenden Befehl aus, um zu überprüfen, ob sich etwas geändert hat:

    podman logs <container name>

    Dabei <container name> ist der Name des verwendeten Containers.

  3. Wenn die Protokolle immer noch nicht gesendet werden, stellen Sie sicher, dass der Container mit dem --privileged Flag bereitgestellt wird. Wenn Sie Ihren Container nicht mit dem --privileged Flag bereitgestellt haben, sammelt der Container keine hochgeladenen Dateien auf dem Hostcomputer.

Verwandte Inhalte

Weitere Informationen finden Sie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte.