Konfigurera automatisk logguppladdning med Podman
Kommentar
Microsoft Defender för molnet Apps är nu en del av Microsoft Defender XDR, som korrelerar signaler från hela Microsoft Defender-sviten och tillhandahåller identifierings-, undersöknings- och kraftfulla svarsfunktioner på incidentnivå. Mer information finns i Microsoft Defender för molnet Appar i Microsoft Defender XDR.
Den här artikeln beskriver hur du konfigurerar automatisk logguppladdning för kontinuerliga rapporter i Defender för molnet-appar med hjälp av en Podman-container på Linux på en lokal server. Kunder som använder RHEL 7.1 eller senare måste använda Podman för automatisk logginsamling.
Förutsättningar
Innan du börjar:
- Kontrollera att du använder en container med RHEL 7.1 och senare.
- Eftersom Docker och Podman inte kan samexistera på samma dator måste du avinstallera alla Docker-installationer innan du kör Podman.
- Kontrollera att du är inloggad på RHEL-datorn som användare
root
för att distribuera Podman
Inställningar och konfiguration
Logga in på Microsoft Defender XDR och välj Inställningar Cloud Apps > Cloud Discovery > Automatisk logguppladdning>.
Kontrollera att du har en definierad datakälla på fliken Datakällor . Om du inte gör det väljer du Lägg till en datakälla för att lägga till en.
Välj fliken Logginsamlare , som visar en lista över alla logginsamlare som har distribuerats i din klientorganisation.
Välj länken Lägg till logginsamlare. I dialogrutan Skapa logginsamlare anger du sedan:
Fält Beskrivning Namn Ange ett beskrivande namn baserat på viktig information som logginsamlaren använder, till exempel din interna namngivningsstandard eller en platsplats. Värd-IP-adress eller FQDN Ange logginsamlarens värddator eller IP-adress för virtuell dator . Kontrollera att syslog-tjänsten eller brandväggen har åtkomst till den IP-adress/det fullständiga domännamn som du anger. Datakällor Välj den datakälla som du vill använda. Om du använder flera datakällor tillämpas den valda källan på en separat port så att logginsamlaren kan fortsätta att skicka data konsekvent.
Följande lista visar till exempel exempel på kombinationer av datakällor och portar:
- Palo Alto: 601
– CheckPoint: 602
- ZScaler: 603Välj Skapa för att visa ytterligare instruktioner på skärmen för din specifika situation.
Kopiera kommandot som visas och ändra det efter behov baserat på den containertjänst som du använder. Till exempel:
(echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Kör det ändrade kommandot på datorn för att distribuera containern. När det lyckas visar loggarna hur du hämtar en avbildning från mcr.microsoft.com och fortsätter att skapa blobar för containern.
När containern är helt distribuerad kontrollerar du att den fungerar genom att kontrollera med containeriseringstjänsten:
podman ps
Kommentar
Podman-containrar startas inte automatiskt när värdservern startas om. Om du startar om Podman-värddatorn måste du också starta containern igen.
Felsökning
Om du inte får brandväggsloggar från Podman-containern kontrollerar du följande:
Kontrollera att rsyslog roterar på logginsamlaren.
Om du har gjort ändringar väntar du ett par timmar och kör följande kommando för att se om något har ändrats:
podman logs <container name>
där
<container name>
är namnet på den container som du använder.Om loggarna fortfarande inte skickas kontrollerar du att containern har distribuerats med
--privileged
flaggan . Om du inte har distribuerat containern--privileged
med flaggan samlar containern inte in uppladdade filer till värddatorn.
Relaterat innehåll
Mer information finns i Konfigurera automatisk logguppladdning för kontinuerliga rapporter.