Konfigurieren des automatischen Protokolluploads mit Podman

Hinweis

Microsoft Defender for Cloud Apps ist Teil des Produkts Microsoft Defender XDR das Signale aus der gesamten Microsoft Defender Suite korreliert, um Erkennungs-, Untersuchungs- und Reaktionsfunktionen auf Vorfallsebene bereitzustellen. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft Defender XDR.

In diesem Artikel wird beschrieben, wie Sie den automatischen Protokollupload für fortlaufende Berichte in Defender for Cloud Apps mithilfe eines Podman-Containers unter Linux auf einem lokalen Server konfigurieren. Kunden, die RHEL 7.1 oder höher verwenden, müssen Podman für die automatische Protokollsammlung verwenden.

Voraussetzungen

Vorbereitungen:

  • Stellen Sie sicher, dass Sie einen Container mit RHEL 7.1 und höher verwenden.
  • Da Docker und Podman nicht auf demselben Computer koexistieren können, müssen Sie alle Docker-Installationen deinstallieren, bevor Sie Podman ausführen.
  • Stellen Sie sicher, dass Sie beim RHEL-Computer als Benutzer root angemeldet sind, um Podman bereitzustellen.

Setup und Konfiguration

  1. Melden Sie sich bei Microsoft Defender XDR an, und wählen Sie Einstellungen > Cloud Apps > Cloud Discovery > Automatischer Protokollupload.

  2. Stellen Sie sicher, dass auf der Registerkarte Datenquellen eine Datenquelle definiert ist. Falls dies nicht der Fall ist, klicken Sie auf Datenquelle hinzufügen, um eine Datenquelle hinzuzufügen.

  3. Wählen Sie die Registerkarte Protokollsammler aus, auf der alle Protokollsammler in Ihrem Mandanten bereitgestellten Protokollsammler aufgelistet sind.

  4. Wählen Sie den Link Protokollsammler hinzufügen aus. Geben Sie dann im Dialogfeld Protokollsammler erstellen Folgendes ein:

    Feld Beschreibung des Dataflows
    Name Geben Sie einen aussagekräftigen Namen ein, basierend auf den wichtigen Informationen, die der Protokollsammler verwendet, z. B. Ihren internen Benennungsstandard oder einen Websitespeicherort.
    Hostname oder FQDN Geben Sie die IP-Adresse des Hostcomputers oder des virtuellen Computers Ihres Protokollsammlers ein. Stellen Sie sicher, dass Ihr Syslog-Dienst oder die Firewall auf die von Ihnen eingegebene IP-Adresse/den FQDN zugreifen kann.
    Datenquellen Wählen Sie die Datenquelle aus, die Sie verwenden möchten. Wenn Sie mehrere Datenquellen verwenden, wird die ausgewählte Quelle auf einen separaten Port angewendet, damit der Protokollsammler weiterhin Daten konsistent sendet.

    Die folgende Liste zeigt Beispiele für Datenquellen- und Portkombinationen:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603
  5. Wählen Sie Erstellen aus, um weitere Anweisungen auf dem Bildschirm für Ihre spezifische Situation anzuzeigen.

  6. Kopieren Sie den angezeigten Befehl, und ändern Sie ihn nach Bedarf basierend auf dem verwendeten Containerdienst. Zum Beispiel:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter 
    
  7. Führen Sie den geänderten Befehl auf Ihrem Computer aus, um den Container bereitzustellen. Bei erfolgreicher Ausführung zeigen die Protokolle das Abrufen eines Bilds aus mcr.microsoft.com an und erstellen weiterhin Blobs für den Container.

  8. Wenn der Container vollständig bereitgestellt ist, stellen Sie sicher, dass er funktioniert, indem Sie ihn mit dem Containerisierungsdienst überprüfen:

    podman ps
    

Hinweis

Podman-Container werden nicht automatisch gestartet, wenn der Hostserver neu gestartet wird. Wenn Sie den Podman-Hostcomputer neu starten, müssen Sie den Container ebenfalls erneut starten.

Problembehandlung

Wenn Sie keine Firewallprotokolle aus Ihrem Podman-Container erhalten, überprüfen Sie Folgendes:

  1. Stellen Sie sicher, dass rsyslog im Protokollsammler rotiert wird.

  2. Wenn Sie Änderungen vorgenommen haben, warten Sie einige Stunden, und führen Sie den folgenden Befehl aus, um zu überprüfen, ob etwas geändert wurde:

    podman logs <container name>
    

    wobei <container name> der Namen des von Ihnen verwendeten Containers ist.

  3. Wenn die Protokolle immer noch nicht gesendet werden, stellen Sie sicher, dass der Container mithilfe des Flags --privileged bereitgestellt wird. Wenn Sie Ihren Container nicht mit dem --privileged-Flag bereitgestellt haben, sammelt der Container keine hochgeladenen Dateien auf dem Hostcomputer.

Weitere Informationen finden Sie unter Konfigurieren des automatischen Hochladens von Protokollen für kontinuierliche Berichte.