Partager via

Configurer le chargement automatique des journaux à l'aide de Docker sur Azure Kubernetes Service (AKS)

  • Article

Cet article décrit comment configurer le téléchargement automatique des journaux pour les rapports continus dans Defender pour Cloud Apps à l'aide d'un conteneur Docker sur Azure Kubernetes Service (AKS).

Remarque

Microsoft Defender for Cloud Apps fait maintenant partie de Microsoft Defender XDR, qui met en corrélation les signaux de l’ensemble de la suite Microsoft Defender et fournit des fonctionnalités de détection, d’examen et de réponse puissantes au niveau de l’incident. Pour plus d’informations, consultez Applications Microsoft Defender for Cloud Apps dans Microsoft Defender XDR.

Paramétrage et configuration

  1. Connectez-vous à Microsoft Defender XDR et sélectionnez Réglages > Cloud Apps > Cloud Discovery > Téléchargement automatique des journaux.

  2. Assurez-vous qu'une source de données est définie dans l'onglet Sources de données. Si ce n'est pas le cas, sélectionnez Ajouter une source de données pour en ajouter une.

  3. Sélectionnez l'onglet Collecteurs de journaux, qui répertorie tous les collecteurs de journaux déployés sur votre locataire.

  4. Sélectionnez le lien Ajouter un collecteur de journaux. Ensuite, dans la boîte de dialogue Créer un collecteur de journaux, entrez :

    Champ Description
    Nom Saisissez un nom significatif, basé sur des informations clés que le collecteur de journaux utilise, comme votre norme de dénomination interne ou l'emplacement d'un site.
    Adresse IP de l'hôte ou FQDN Saisissez l'adresse IP de la machine hôte ou de la machine virtuelle (VM) de votre collecteur de journaux. Assurez-vous que votre service syslog ou votre pare-feu peut accéder à l'adresse IP / FQDN que vous entrez.
    Source(s) de données Sélectionnez la source de données que vous souhaitez utiliser. Si vous utilisez plusieurs sources de données, la source sélectionnée est appliquée à un port distinct afin que le collecteur de journaux puisse continuer à envoyer des données de manière cohérente.

    La liste suivante présente des exemples de combinaisons de sources de données et de ports :
    - Palo Alto : 601
    - CheckPoint : 602
    - ZScaler : 603

  5. Sélectionnez Créer pour afficher à l'écran des instructions supplémentaires concernant votre situation spécifique.

  6. Rendez-vous dans la configuration de votre cluster AKS et exécutez la commande suivante :

    kubectl config use-context <name of AKS cluster>

  7. Exécutez la commande helm en utilisant la syntaxe suivante :

    helm install <release-name> oci://agentspublic.azurecr.io/logcollector-chart --version 1.0.0 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> --set image.tag=0.272.0

    Trouvez les valeurs de la commande helm à l'aide de la commande docker utilisée lors de la configuration du collecteur. Par exemple :

    (echo <Generated ID>) | docker run --name SyslogTLStest

En cas de réussite, les journaux indiquent l'extraction d'une image à partir de mcr.microsoft.com et la poursuite de la création de blobs pour le conteneur.

Contenu connexe

Pour plus d’informations, consultez Configurer le chargement automatique des journaux pour des rapports continus.