Delen via

Automatisch uploaden van logboeken configureren met Behulp van Docker on Azure Kubernetes Service (AKS)

  • Artikel

In dit artikel wordt beschreven hoe u het automatisch uploaden van logboeken configureert voor continue rapporten in Defender for Cloud Apps met behulp van een Docker-container op Azure Kubernetes Service (AKS).

Opmerking

Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft Defender XDR, dat signalen uit de Microsoft Defender suite correleert en detectie, onderzoek en krachtige reactiemogelijkheden op incidentniveau biedt. Zie Microsoft Defender for Cloud Apps in Microsoft Defender XDR voor meer informatie.

Installatie en configuratie

  1. Meld u aan bij Microsoft Defender XDR en selecteer Instellingen > Cloud Apps > Cloud Discovery > Automatisch uploaden van logboeken.

  2. Zorg ervoor dat u een gegevensbron hebt gedefinieerd op het tabblad Gegevensbronnen . Als u dat niet doet, selecteert u Een gegevensbron toevoegen om er een toe te voegen.

  3. Selecteer het tabblad Logboekverzamelaars , waarin alle logboekverzamelaars worden weergegeven die op uw tenant zijn geïmplementeerd.

  4. Selecteer de koppeling Logboekverzamelaar toevoegen . Voer vervolgens in het dialoogvenster Logboekverzamelaar maken het volgende in:

    Veld Beschrijving
    Naam Voer een betekenisvolle naam in op basis van belangrijke informatie die de logboekverzamelaar gebruikt, zoals uw interne naamgevingsstandaard of een sitelocatie.
    Host-IP-adres of FQDN Voer het IP-adres van de hostmachine van de logboekverzamelaar of het IP-adres van de virtuele machine (VM) in. Zorg ervoor dat uw syslog-service of firewall toegang heeft tot het IP-adres/de FQDN die u invoert.
    Gegevensbron(en) Selecteer de gegevensbron die u wilt gebruiken. Als u meerdere gegevensbronnen gebruikt, wordt de geselecteerde bron toegepast op een afzonderlijke poort, zodat de logboekverzamelaar gegevens consistent kan blijven verzenden.

    In de volgende lijst ziet u bijvoorbeeld voorbeelden van combinaties van gegevensbronnen en poorten:
    - Palo Alto: 601
    - Controlepunt: 602
    - ZScaler: 603

  5. Selecteer Maken om verdere instructies voor uw specifieke situatie op het scherm weer te geven.

  6. Ga naar de configuratie van uw AKS-cluster en voer het volgende uit:

    kubectl config use-context <name of AKS cluster>

  7. Voer de helm-opdracht uit met de volgende syntaxis:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Zoek de waarden voor de Helm-opdracht met behulp van de docker-opdracht die wordt gebruikt wanneer de collector wordt geconfigureerd. Bijvoorbeeld:

    (echo <Generated ID>) | docker run --name SyslogTLStest

Wanneer dit is gelukt, wordt in de logboeken weergegeven dat een installatiekopie wordt opgehaald uit mcr.microsoft.com en dat er blobs voor de container worden gemaakt.

Verwante onderwerpen

Zie Automatisch uploaden van logboeken configureren voor continue rapporten voor meer informatie.