Configurar la carga de registros automática para informes continuos

Nota

Hemos cambiado el nombre Microsoft Cloud App Security. Ahora se denomina Microsoft Defender para Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, vea este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog de Seguridad de Microsoft Ignite.

Los recopiladores de registros permiten automatizar fácilmente la carga de registros desde la red. El recopilador de registros se ejecuta en la red y recibe los registros a través de Syslog o FTP. Cada registro se procesa, se comprime y se transmite automáticamente al portal. Los registros FTP se cargan en Microsoft Defender para Cloud Apps después de que el archivo haya finalizado la transferencia FTP al recopilador de registros. Para Syslog, el recopilador de registros escribe los registros recibidos en el disco. A continuación, el recopilador carga el archivo en Defender para Cloud Apps cuando el tamaño del archivo es superior a 40 KB.

Después de cargar un registro en Defender para Cloud Apps, se mueve a un directorio de copia de seguridad. El directorio de copia de seguridad almacena los últimos 20 registros. Cuando llegan los nuevos registros, se eliminan los antiguos. Cuando el espacio en disco del recopilador de registros esté lleno, el recopilador descartará los nuevos registros hasta que tenga más espacio libre en disco. Cuando esto ocurra, recibirá una advertencia en la pestaña Recopiladores de registros de la configuración Cargar registros automáticamente.

Antes de configurar la recopilación de archivos de registro, compruebe que el registro coincide con el tipo de registro esperado. Quiere asegurarse de que Defender para Cloud Apps puede analizar el archivo específico. Para obtener más información, vea Uso de registros de tráfico para Cloud Discovery.

Nota

  • Defender para Cloud Apps proporciona compatibilidad para reenviar registros desde el servidor SIEM al recopilador de registros suponiendo que los registros se reenván en su formato original. Aun así, se recomienda encarecidamente integrar el recopilador de registros directamente en el firewall o proxy.
  • El recopilador de registros comprime los datos antes de que se carguen. El tráfico saliente en el recopilador de registros constituirá un 10 % del tamaño de los registros de tráfico que recibe.
  • Si el recopilador de registros detecta problemas, recibirá una alerta después de que no se hayan recibido datos durante 48 horas.

Modos de implementación

El recopilador de registros admite el modo de implementación de contenedor. Se ejecuta como una imagen de Docker en Windows,Ubuntulocal, Ubuntu en Azure,RHEL local o CentOS.

Pasos siguientes