Configurar o carregamento automático de logs usando o Docker no Serviço Kubernetes do Azure (AKS)

  • Artigo

Este artigo descreve como configurar o carregamento automático de logs para relatórios contínuos no Defender for Cloud Apps usando um contêiner do Docker no Serviço Kubernetes do Azure (AKS).

Nota

O Microsoft Defender for Cloud Apps agora faz parte do Microsoft Defender XDR, que correlaciona sinais de todo o pacote Microsoft Defender e fornece deteção em nível de incidente, investigação e recursos poderosos de resposta. Para obter mais informações, consulte Microsoft Defender for Cloud Apps no Microsoft Defender XDR.

Instalação e configuração

  1. Inicie sessão no Microsoft Defender XDR e selecione Definições, > Cloud Apps > , Cloud Discovery > , Carregamento automático de registos.

  2. Verifique se você tem uma fonte de dados definida na guia Fontes de dados. Caso contrário, selecione Adicionar uma fonte de dados para adicionar uma.

  3. Selecione a guia Coletores de log, que lista todos os coletores de log implantados em seu locatário.

  4. Selecione o link Adicionar coletor de log. Em seguida, na caixa de diálogo Criar coletor de log, digite:

    Campo Descrição
    Nome Insira um nome significativo, com base nas principais informações que o coletor de logs usa, como seu padrão de nomenclatura interno ou um local do site.
    Endereço IP do host ou FQDN Insira a máquina host do coletor de logs ou o endereço IP da máquina virtual (VM). Certifique-se de que seu serviço syslog ou firewall pode acessar o endereço IP / FQDN que você inserir.
    Fonte(s) de dados Selecione a fonte de dados que deseja usar. Se você estiver usando várias fontes de dados, a fonte selecionada será aplicada a uma porta separada para que o coletor de log possa continuar a enviar dados de forma consistente.

    Por exemplo, a lista a seguir mostra exemplos de combinações de fonte de dados e porta:
    - Palo Alto: 601
    - Ponto de Verificação: 602
    - ZScaler: 603

  5. Selecione Criar para mostrar mais instruções na tela para sua situação específica.

  6. Vá para a configuração do cluster AKS e execute:

    kubectl config use-context <name of AKS cluster>

  7. Execute o comando helm usando a seguinte sintaxe:

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Encontre os valores para o comando helm usando o comando docker usado quando o coletor está configurado. Por exemplo:

    (echo <Generated ID>) | docker run --name SyslogTLStest

Quando bem-sucedidos, os logs mostram a extração de uma imagem do mcr.microsoft.com e a continuação da criação de blobs para o contêiner.

Conteúdos relacionados

Para obter mais informações, consulte Configurar o carregamento automático de logs para relatórios contínuos.