Configuración de la carga automática de registros mediante Podman (versión preliminar)

  • Artículo

Nota:

Microsoft Defender for Cloud Apps ahora forma parte de Microsoft Defender XDR, que pone en correlación las señales de todo el conjunto de Microsoft Defender y proporciona unas potentes funcionalidades de detección, investigación y respuesta en el nivel de incidentes. Para obtener más información, consulta Microsoft Defender for Cloud Apps en Microsoft Defender XDR.

En este artículo se describe cómo configurar la carga automática de registros para informes continuos en Defender for Cloud Apps mediante un contenedor de Podman en Linux en un servidor local. Los clientes que usan RHEL 7.1 o superior deben usar Podman para la recopilación automática de registros.

Requisitos previos

Antes de comenzar:

  • Asegúrese de que usa un contenedor con RHEL 7.1 y versiones posteriores.
  • Dado que Docker y Podman no pueden coexistir en la misma máquina, asegúrese de desinstalar las instalaciones de Docker antes de ejecutar Podman.
  • Asegúrese de que ha iniciado sesión en la máquina de RHEL como usuario root para implementar Podman.

Instalación y configuración

  1. Inicie sesión en Microsoft Defender XDR y seleccione Configuración > Cloud Apps > Cloud Discovery > Carga automática de registros.

  2. Asegúrese de que tiene un origen de datos definido en la pestaña Orígenes de datos. Si no es así, seleccione Agregar un origen de datos para agregar uno.

  3. Seleccione la pestaña Recopiladores de registros, que enumera todos los recopiladores de registros implementados en el inquilino.

  4. Seleccione el vínculo Agregar recopilador de registros. A continuación, en el cuadro de diálogo Crear recopilador de registros, introduzca:

    Campo Descripción
    Nombre Escriba un nombre descriptivo, en función de la información clave que usa el recopilador de registros, como el estándar de nomenclatura interno o una ubicación del sitio.
    Dirección o FQDN de IP de host Introduzca la dirección IP de la máquina virtual (VM) o de la máquina host del recopilador de registros. Asegúrese de que el servicio syslog o el firewall pueden acceder a la dirección IP o FQDN que introduzca.
    Orígenes de datos Seleccione el origen de datos que desee usar. Si usa varios orígenes de datos, el origen seleccionado se aplica a un puerto independiente para que el recopilador de registros pueda seguir enviando datos de forma coherente.

    Por ejemplo, en la lista siguiente se muestran ejemplos de combinaciones de origen de datos y puerto:
    - Palo Alto: 601
    - CheckPoint: 602
    - ZScaler: 603

  5. Seleccione Crear para ver más instrucciones en la pantalla para su situación específica.

  6. Copie el comando que se muestra y modifíquelo según sea necesario en función del servicio de contenedor que use. Por ejemplo:

    (echo <key>) | podman run --privileged --name PodmanRun -p 601:601/tcp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.2.15'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE= <tenant>.us3.portal.cloudappsecurity.com" -e "COLLECTOR=PodmanTest" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Ejecute el comando modificado en el equipo para implementar el contenedor. Una vez ejecutado correctamente, los registros muestran la extracción de una imagen de mcr.microsoft.com y continúan con la creación de blobs para el contenedor.

  8. Cuando el contenedor esté totalmente implementado, compruébelo con el servicio de contenedorización para verificar que funciona:

    podman ps

Nota:

Los contenedores Podman no se inician automáticamente cuando se reinicia el servidor host. Reiniciar la máquina host de Podman también requiere que vuelva a iniciar el contenedor.

Solución de problemas

Si no obtiene registros de firewall del contenedor de Podman, compruebe lo siguiente:

  1. Asegúrese de que rsyslog gira en el recopilador de registros.

  2. Si ha realizado cambios, espere un par de horas y ejecute el siguiente comando para ver si ha cambiado algo:

    podman logs <container name>

    donde <container name> es el nombre del contenedor que está usando.

  3. Si los registros siguen sin enviarse, asegúrese de que el contenedor se ha implementado con la marca --privileged. Si no ha implementado el contenedor con la marca --privileged, este no recopilará los archivos cargados en la máquina host.

Contenido relacionado

Para más información, consulte Configuración de la carga de registros automática para informes continuos.