Поделиться через

Настройка автоматической отправки журналов с помощью Podman

  • Статья

Примечание.

Microsoft Defender for Cloud Apps теперь является частью Microsoft Defender XDR, которая сопоставляет сигналы из разных Microsoft Defender набора и предоставляет возможности обнаружения, исследования и эффективного реагирования на уровне инцидентов. Дополнительные сведения см. в разделе Microsoft Defender for Cloud Apps в Microsoft Defender XDR.

В этой статье описывается настройка автоматической отправки журналов для непрерывных отчетов в Defender for Cloud Apps с помощью контейнера Podman в Linux на локальном сервере. Клиенты, использующие RHEL 7.1 или более поздней версии, должны использовать Podman для автоматического сбора журналов.

Предварительные условия

Перед началом работы:

  • Убедитесь, что вы используете контейнер с RHEL 7.1 и более поздних версий.
  • Так как Docker и Podman не могут сосуществовать на одном компьютере, перед запуском Podman обязательно удалите все установки Docker.
  • Убедитесь, что вы вошли на компьютер RHEL в качестве пользователя root для развертывания Podman.

Настройка и конфигурация

  1. Войдите в Microsoft Defender XDR и выберите Параметры Облачные > приложения > Cloud Discovery > Автоматическая отправка журнала.

  2. Убедитесь, что на вкладке Источники данных определен источник данных. В противном случае выберите Добавить источник данных , чтобы добавить его.

  3. Выберите вкладку Сборщики журналов , на которой перечислены все сборщики журналов, развернутые в клиенте.

  4. Щелкните ссылку Добавить сборщик журналов . Затем в диалоговом окне Создание сборщика журналов введите:

    Поле Описание
    Name Введите понятное имя на основе ключевых сведений, которые использует сборщик журналов, таких как ваш внутренний стандарт именования или расположение сайта.
    IP-адрес узла или полное доменное имя Введите IP-адрес хост-машины или виртуальной машины (ВМ) сборщика журналов. Убедитесь, что служба системного журнала или брандмауэр могут получить доступ к ip-адресу или полному доменному имени, которые вы вводите.
    Источники данных Выберите источник данных, который вы хотите использовать. Если вы используете несколько источников данных, выбранный источник применяется к отдельному порту, чтобы сборщик журналов продолжал отправлять данные согласованно.

    Например, в следующем списке приведены примеры сочетаний источников данных и портов:
    - Пало Альто: 601
    — CheckPoint: 602
    - ZScaler: 603

  5. Выберите Создать, чтобы отобразить на экране дополнительные инструкции для конкретной ситуации.

  6. Скопируйте отображаемую команду и измените ее при необходимости в зависимости от используемой службы контейнеров. Например:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Выполните измененную команду на компьютере, чтобы развернуть контейнер. При успешном выполнении журналы показывают извлечение образа из mcr.microsoft.com и продолжение создания больших двоичных объектов для контейнера.

  8. После полного развертывания контейнера убедитесь, что он работает, проверив в службе контейнеризации:

    podman ps

Примечание.

Контейнеры Podman не запускаются автоматически при перезагрузке сервера узла. Перезапуск хост-компьютера Podman также требует повторного запуска контейнера.

Устранение неполадок

Если вы не получаете журналы брандмауэра из контейнера Podman, проверка следующее:

  1. Убедитесь, что rsyslog вращается в сборщике журналов.

  2. Если вы внесли изменения, подождите пару часов и выполните следующую команду, чтобы узнать, изменилось ли что-либо:

    podman logs <container name>

    где <container name> — имя используемого контейнера.

  3. Если журналы по-прежнему не отправляются, убедитесь, что контейнер развернут с помощью флага --privileged . Если вы не развернули контейнер с флагом --privileged , контейнер не будет собирать отправленные файлы на хост-компьютер.

Связанные материалы

Дополнительные сведения см. в разделе Настройка автоматической отправки журналов для непрерывных отчетов.