Configurar o carregamento automático de registos com o Podman
Nota
Microsoft Defender for Cloud Apps faz agora parte do Microsoft Defender XDR, que correlaciona sinais de todo o conjunto de Microsoft Defender e fornece capacidades de deteção, investigação e resposta poderosas ao nível do incidente. Para obter mais informações, veja Microsoft Defender for Cloud Apps no Microsoft Defender XDR.
Este artigo descreve como configurar o carregamento automático de registos para relatórios contínuos no Defender for Cloud Apps através de um contentor podman no Linux num servidor no local. Os clientes que utilizem o RHEL 7.1 ou superior têm de utilizar o Podman para a recolha automática de registos.
Pré-requisitos
Antes de começar:
- Certifique-se de que está a utilizar um contentor com RHEL 7.1 e superior.
- Uma vez que o Docker e o Podman não podem coexistir no mesmo computador, certifique-se de que desinstala quaisquer instalações do Docker antes de executar o Podman.
- Certifique-se de que tem sessão iniciada no computador RHEL como utilizador
root
para implementar o Podman
Configuração
Inicie sessão em Microsoft Defender XDR e selecione Definições > Cloud Apps > Carregamento automático de registos da Cloud Discovery>.
Certifique-se de que tem uma origem de dados definida no separador Origens de dados . Se não o fizer, selecione Adicionar uma origem de dados para adicionar uma.
Selecione o separador Recoletores de registos , que lista todos os recoletores de registos implementados no seu inquilino.
Selecione a ligação Adicionar recoletor de registos . Em seguida, na caixa de diálogo Criar recoletor de registos , introduza:
Campo Descrição Nome Introduza um nome significativo, com base nas informações principais que o recoletor de registos utiliza, como o padrão de nomenclatura interna ou uma localização do site. Endereço IP do anfitrião ou FQDN Introduza o endereço IP da máquina anfitriã ou da máquina virtual (VM) do recoletor de registos. Certifique-se de que o seu serviço syslog ou firewall pode aceder ao endereço IP/FQDN que introduzir. Origens de dados Selecione a origem de dados que pretende utilizar. Se estiver a utilizar várias origens de dados, a origem selecionada é aplicada a uma porta separada para que o recoletor de registos possa continuar a enviar dados de forma consistente.
Por exemplo, a lista seguinte mostra exemplos de combinações de origens de dados e portas:
- Palo Alto: 601
- CheckPoint: 602
- ZScaler: 603Selecione Criar para mostrar mais instruções no ecrã para a sua situação específica.
Copie o comando apresentado e modifique-o conforme necessário com base no serviço de contentor que está a utilizar. Por exemplo:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Execute o comando modificado no computador para implementar o contentor. Quando for bem-sucedido, os registos mostram a solicitação de uma imagem de mcr.microsoft.com e a continuação da criação de blobs para o contentor.
Quando o contentor estiver totalmente implementado, verifique se está a funcionar ao verificar com o serviço de contentorização:
podman ps
Nota
Os contentores podman não são iniciados automaticamente quando o servidor anfitrião é reiniciado. Reiniciar o computador anfitrião Podman também requer que inicie o contentor novamente.
Resolução de Problemas
Se não estiver a receber registos da firewall a partir do contentor do Podman, verifique o seguinte:
Certifique-se de que rsyslog roda no recoletor de registos.
Se tiver feito alterações, aguarde algumas horas e execute o seguinte comando para ver se algo foi alterado:
podman logs <container name>
em que
<container name>
é o nome do contentor que está a utilizar.Se os registos ainda não forem enviados, certifique-se de que o contentor é implementado com o
--privileged
sinalizador . Se não tiver implementado o contentor com o--privileged
sinalizador, o contentor não recolherá os ficheiros carregados para o computador anfitrião.
Conteúdos relacionados
Para obter mais informações, veja Configurar o carregamento automático de registos para relatórios contínuos.