Partilhar via


Configurar o carregamento automático de registos com o Podman

Nota

Microsoft Defender for Cloud Apps faz agora parte do Microsoft Defender XDR, que correlaciona sinais de todo o conjunto de Microsoft Defender e fornece capacidades de deteção, investigação e resposta poderosas ao nível do incidente. Para obter mais informações, veja Microsoft Defender for Cloud Apps no Microsoft Defender XDR.

Este artigo descreve como configurar o carregamento automático de registos para relatórios contínuos no Defender for Cloud Apps através de um contentor podman no Linux num servidor no local. Os clientes que utilizem o RHEL 7.1 ou superior têm de utilizar o Podman para a recolha automática de registos.

Pré-requisitos

Antes de começar:

  • Certifique-se de que está a utilizar um contentor com RHEL 7.1 e superior.
  • Uma vez que o Docker e o Podman não podem coexistir no mesmo computador, certifique-se de que desinstala quaisquer instalações do Docker antes de executar o Podman.
  • Certifique-se de que tem sessão iniciada no computador RHEL como utilizador root para implementar o Podman

Configuração

  1. Inicie sessão em Microsoft Defender XDR e selecione Definições > Cloud Apps > Carregamento automático de registos da Cloud Discovery>.

  2. Certifique-se de que tem uma origem de dados definida no separador Origens de dados . Se não o fizer, selecione Adicionar uma origem de dados para adicionar uma.

  3. Selecione o separador Recoletores de registos , que lista todos os recoletores de registos implementados no seu inquilino.

  4. Selecione a ligação Adicionar recoletor de registos . Em seguida, na caixa de diálogo Criar recoletor de registos , introduza:

    Campo Descrição
    Nome Introduza um nome significativo, com base nas informações principais que o recoletor de registos utiliza, como o padrão de nomenclatura interna ou uma localização do site.
    Endereço IP do anfitrião ou FQDN Introduza o endereço IP da máquina anfitriã ou da máquina virtual (VM) do recoletor de registos. Certifique-se de que o seu serviço syslog ou firewall pode aceder ao endereço IP/FQDN que introduzir.
    Origens de dados Selecione a origem de dados que pretende utilizar. Se estiver a utilizar várias origens de dados, a origem selecionada é aplicada a uma porta separada para que o recoletor de registos possa continuar a enviar dados de forma consistente.

    Por exemplo, a lista seguinte mostra exemplos de combinações de origens de dados e portas:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603
  5. Selecione Criar para mostrar mais instruções no ecrã para a sua situação específica.

  6. Copie o comando apresentado e modifique-o conforme necessário com base no serviço de contentor que está a utilizar. Por exemplo:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
    
  7. Execute o comando modificado no computador para implementar o contentor. Quando for bem-sucedido, os registos mostram a solicitação de uma imagem de mcr.microsoft.com e a continuação da criação de blobs para o contentor.

  8. Quando o contentor estiver totalmente implementado, verifique se está a funcionar ao verificar com o serviço de contentorização:

    podman ps
    

Nota

Os contentores podman não são iniciados automaticamente quando o servidor anfitrião é reiniciado. Reiniciar o computador anfitrião Podman também requer que inicie o contentor novamente.

Resolução de Problemas

Se não estiver a receber registos da firewall a partir do contentor do Podman, verifique o seguinte:

  1. Certifique-se de que rsyslog roda no recoletor de registos.

  2. Se tiver feito alterações, aguarde algumas horas e execute o seguinte comando para ver se algo foi alterado:

    podman logs <container name>
    

    em que <container name> é o nome do contentor que está a utilizar.

  3. Se os registos ainda não forem enviados, certifique-se de que o contentor é implementado com o --privileged sinalizador . Se não tiver implementado o contentor com o --privileged sinalizador, o contentor não recolherá os ficheiros carregados para o computador anfitrião.

Para obter mais informações, veja Configurar o carregamento automático de registos para relatórios contínuos.