Compartir a través de

Configuración de la carga automática de registros mediante Podman

  • Artículo

Nota:

Microsoft Defender for Cloud Apps ahora forma parte de Microsoft Defender XDR, que correlaciona las señales de todo el conjunto de Microsoft Defender y proporciona capacidades eficaces de detección, investigación y respuesta de nivel de incidente. Para obtener más información, consulte Microsoft Defender for Cloud Apps en Microsoft Defender XDR.

En este artículo se describe cómo configurar la carga automática de registros para informes continuos en Defender for Cloud Apps mediante un contenedor podman en Linux en un servidor local. Los clientes que usan RHEL 7.1 o superior deben usar Podman para la recopilación automática de registros.

Requisitos previos

Antes de empezar:

  • Asegúrese de que usa un contenedor con RHEL 7.1 y versiones posteriores.
  • Puesto que Docker y Podman no pueden coexistir en la misma máquina, asegúrese de desinstalar las instalaciones de Docker antes de ejecutar Podman.
  • Asegúrese de que ha iniciado sesión en el equipo de RHEL como usuario root para implementar Podman.

Instalación y configuración

  1. Inicie sesión en Microsoft Defender XDR y seleccione Configuración Cloud > Apps > Cloud Discovery > Carga automática de registros.

  2. Asegúrese de que tiene un origen de datos definido en la pestaña Orígenes de datos. Si no lo hace, seleccione Agregar un origen de datos para agregar uno.

  3. Seleccione la pestaña Recopiladores de registros , que muestra todos los recopiladores de registros implementados en el inquilino.

  4. Seleccione el vínculo Agregar recopilador de registros . A continuación, en el cuadro de diálogo Crear recopilador de registros , escriba:

    Campo Descripción
    Name Escriba un nombre significativo, en función de la información clave que use el recopilador de registros, como el estándar de nomenclatura interno o una ubicación del sitio.
    Dirección IP del host o FQDN Escriba la dirección IP de la máquina virtual o la máquina virtual del recopilador de registros. Asegúrese de que el servicio de Syslog o el firewall puedan acceder a la dirección IP o el FQDN que escriba.
    Orígenes de datos Seleccione el origen de datos que desea usar. Si usa varios orígenes de datos, el origen seleccionado se aplica a un puerto independiente para que el recopilador de registros pueda seguir enviando datos de forma coherente.

    Por ejemplo, en la lista siguiente se muestran ejemplos de combinaciones de puertos y orígenes de datos:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Seleccione Crear para mostrar más instrucciones en la pantalla para su situación específica.

  6. Copie el comando mostrado y modifíquelo según sea necesario según el servicio de contenedor que esté usando. Por ejemplo:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Ejecute el comando modificado en la máquina para implementar el contenedor. Cuando se realiza correctamente, los registros muestran cómo extraer una imagen de mcr.microsoft.com y seguir creando blobs para el contenedor.

  8. Cuando el contenedor esté totalmente implementado, compruebe que funciona comprobando con el servicio de contenedorización:

    podman ps

Nota:

Los contenedores de Podman no se inician automáticamente cuando se reinicia el servidor host. Reiniciar la máquina host de Podman requiere que también vuelva a iniciar el contenedor.

Solución de problemas

Si no obtiene registros de firewall del contenedor de Podman, compruebe lo siguiente:

  1. Asegúrese de que rsyslog gira en el recopilador de registros.

  2. Si ha realizado cambios, espere un par de horas y ejecute el siguiente comando para ver si ha cambiado algo:

    podman logs <container name>

    donde <container name> es el nombre del contenedor que está usando.

  3. Si los registros siguen sin enviarse, asegúrese de que el contenedor se implementa con la --privileged marca . Si no ha implementado el contenedor con la --privileged marca , el contenedor no recopilará los archivos cargados en el equipo host.

Contenido relacionado

Para obtener más información, consulte Configuración de la carga automática de registros para informes continuos.