Partager via

Configurer le chargement automatique des journaux à l’aide de Docker sur Azure Kubernetes Service (AKS)

  • Article

Cet article explique comment configurer le chargement automatique des journaux pour les rapports continus dans Defender for Cloud Apps à l’aide d’un conteneur Docker sur Azure Kubernetes Service (AKS).

Remarque

Microsoft Defender for Cloud Apps fait désormais partie de Microsoft Defender XDR, qui met en corrélation les signaux de la suite Microsoft Defender et fournit des fonctionnalités de détection, d’investigation et de réponse puissantes au niveau de l’incident. Pour plus d’informations, consultez Microsoft Defender for Cloud Apps dans Microsoft Defender XDR.

Installation et configuration

  1. Connectez-vous à Microsoft Defender XDR et sélectionnez Paramètres > Cloud Apps > Chargement automatique des journaux Cloud Discovery>.

  2. Vérifiez qu’une source de données est définie sous l’onglet Sources de données . Si ce n’est pas le cas, sélectionnez Ajouter une source de données pour en ajouter une.

  3. Sélectionnez l’onglet Collecteurs de journaux , qui répertorie tous les collecteurs de journaux déployés sur votre locataire.

  4. Sélectionnez le lien Ajouter un collecteur de journaux . Ensuite, dans la boîte de dialogue Créer un collecteur de journaux , entrez :

    Field Description
    Name Entrez un nom explicite, en fonction des informations clés que le collecteur de journaux utilise, telles que votre norme de nommage interne ou un emplacement de site.
    Adresse IP de l’hôte ou nom de domaine complet Entrez l’adresse IP de la machine hôte ou de la machine virtuelle de votre collecteur de journaux. Assurez-vous que votre service ou pare-feu syslog peut accéder à l’adresse IP/nom de domaine complet que vous entrez.
    Source(s) de données Sélectionnez la source de données que vous souhaitez utiliser. Si vous utilisez plusieurs sources de données, la source sélectionnée est appliquée à un port distinct afin que le collecteur de journaux puisse continuer à envoyer des données de manière cohérente.

    Par exemple, la liste suivante présente des exemples de combinaisons de sources de données et de ports :
    - Palo Alto : 601
    - CheckPoint : 602
    - ZScaler : 603

  5. Sélectionnez Créer pour afficher des instructions supplémentaires sur l’écran pour votre situation spécifique.

  6. Accédez à la configuration de votre cluster AKS et exécutez :

    kubectl config use-context <name of AKS cluster>

  7. Exécutez la commande helm à l’aide de la syntaxe suivante :

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Recherchez les valeurs de la commande helm à l’aide de la commande docker utilisée lorsque le collecteur est configuré. Par exemple :

    (echo <Generated ID>) | docker run --name SyslogTLStest

En cas de réussite, les journaux affichent l’extraction d’une image à partir de mcr.microsoft.com et la poursuite de la création d’objets blob pour le conteneur.

Contenu connexe

Pour plus d’informations, consultez Configurer le chargement automatique des journaux pour les rapports continus.