Partager via

Configurer le chargement automatique des journaux à l’aide de Podman

  • Article

Remarque

Microsoft Defender for Cloud Apps fait désormais partie de Microsoft Defender XDR, qui met en corrélation les signaux de la suite Microsoft Defender et fournit des fonctionnalités de détection, d’investigation et de réponse puissantes au niveau de l’incident. Pour plus d’informations, consultez Microsoft Defender for Cloud Apps dans Microsoft Defender XDR.

Cet article explique comment configurer le chargement automatique des journaux pour les rapports continus dans Defender for Cloud Apps à l’aide d’un conteneur Podman sur Linux sur un serveur local. Les clients qui utilisent RHEL 7.1 ou une version ultérieure doivent utiliser Podman pour la collecte automatique des journaux.

Configuration requise

Avant de commencer :

  • Vérifiez que vous utilisez un conteneur avec RHEL 7.1 et versions ultérieures.
  • Étant donné que Docker et Podman ne peuvent pas coexister sur le même ordinateur, veillez à désinstaller toutes les installations Docker avant d’exécuter Podman.
  • Vérifiez que vous êtes connecté à l’ordinateur RHEL en tant qu’utilisateur root pour déployer Podman

Installation et configuration

  1. Connectez-vous à Microsoft Defender XDR et sélectionnez Paramètres > Cloud Apps > Chargement automatique des journaux Cloud Discovery>.

  2. Vérifiez qu’une source de données est définie sous l’onglet Sources de données . Si ce n’est pas le cas, sélectionnez Ajouter une source de données pour en ajouter une.

  3. Sélectionnez l’onglet Collecteurs de journaux , qui répertorie tous les collecteurs de journaux déployés sur votre locataire.

  4. Sélectionnez le lien Ajouter un collecteur de journaux . Ensuite, dans la boîte de dialogue Créer un collecteur de journaux , entrez :

    Field Description
    Name Entrez un nom explicite, en fonction des informations clés que le collecteur de journaux utilise, telles que votre norme de nommage interne ou un emplacement de site.
    Adresse IP de l’hôte ou nom de domaine complet Entrez l’adresse IP de la machine hôte ou de la machine virtuelle de votre collecteur de journaux. Assurez-vous que votre service ou pare-feu syslog peut accéder à l’adresse IP/nom de domaine complet que vous entrez.
    Source(s) de données Sélectionnez la source de données que vous souhaitez utiliser. Si vous utilisez plusieurs sources de données, la source sélectionnée est appliquée à un port distinct afin que le collecteur de journaux puisse continuer à envoyer des données de manière cohérente.

    Par exemple, la liste suivante présente des exemples de combinaisons de sources de données et de ports :
    - Palo Alto : 601
    - CheckPoint : 602
    - ZScaler : 603

  5. Sélectionnez Créer pour afficher des instructions supplémentaires sur l’écran pour votre situation spécifique.

  6. Copiez la commande affichée et modifiez-la si nécessaire en fonction du service de conteneur que vous utilisez. Par exemple :

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Exécutez la commande modifiée sur votre ordinateur pour déployer le conteneur. En cas de réussite, les journaux affichent l’extraction d’une image à partir de mcr.microsoft.com et la poursuite de la création d’objets blob pour le conteneur.

  8. Lorsque le conteneur est entièrement déployé, vérifiez qu’il fonctionne en vérifiant avec le service de conteneurisation :

    podman ps

Remarque

Les conteneurs Podman ne démarrent pas automatiquement lorsque le serveur hôte est redémarré. Le redémarrage de l’ordinateur hôte Podman nécessite également de redémarrer le conteneur.

Résolution des problèmes

Si vous n’obtenez pas les journaux de pare-feu à partir de votre conteneur Podman, case activée les éléments suivants :

  1. Assurez-vous que rsyslog pivote sur le collecteur de journaux.

  2. Si vous avez apporté des modifications, attendez quelques heures et exécutez la commande suivante pour voir si quelque chose a changé :

    podman logs <container name>

    <container name> est le nom du conteneur que vous utilisez.

  3. Si les journaux ne sont toujours pas envoyés, assurez-vous que le conteneur est déployé à l’aide de l’indicateur --privileged . Si vous n’avez pas déployé votre conteneur avec l’indicateur --privileged , le conteneur ne collecte pas les fichiers chargés sur l’ordinateur hôte.

Contenu connexe

Pour plus d’informations, consultez Configurer le chargement automatique des journaux pour les rapports continus.