Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie den automatischen Protokollupload für fortlaufende Berichte in Defender for Cloud Apps mithilfe eines Docker-Containers auf Azure Kubernetes Service (AKS) konfigurieren.
Hinweis
Microsoft Defender for Cloud Apps ist jetzt Teil von Microsoft Defender XDR, das Signale aus der gesamten Microsoft Defender Suite korreliert und Funktionen zur Erkennung, Untersuchung und Reaktion auf Vorfallsebene bietet. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft Defender XDR.
Einrichtung und Konfiguration
Melden Sie sich bei Microsoft Defender XDR an, und wählen Sie Einstellungen > Cloud Apps > Cloud Discovery > Automatischer Protokollupload aus.
Stellen Sie sicher, dass auf der Registerkarte Datenquellen eine Datenquelle definiert ist. Wenn dies nicht der Fall ist, wählen Sie Datenquelle hinzufügen aus, um eine hinzuzufügen.
Wählen Sie die Registerkarte Protokollsammler aus, auf der alle auf Ihrem Mandanten bereitgestellten Protokollsammler aufgelistet sind.
Wählen Sie den Link Hinzufügen von Protokollsammler aus. Geben Sie dann im Dialogfeld Erstellen des Protokollsammlers Folgendes ein:
Feld Beschreibung Name Geben Sie einen aussagekräftigen Namen ein, basierend auf wichtigen Informationen, die vom Protokollsammler verwendet werden – z. B. Ihrem internen Namensstandard oder einem Standort der Site. Host-IP oder FQDN Geben Sie die IP-Adresse des Hostcomputers oder der virtuellen Maschine (VM) Ihres Protokollsammlers ein. Stellen Sie sicher, dass Ihr Syslog-Dienst oder Ihre Firewall auf die eingegebene IP-Adresse bzw. den FQDN zugreifen kann. Datenquelle(n) Wählen Sie die Datenquelle aus, die Sie verwenden möchten. Wenn Sie mehrere Datenquellen verwenden, wird die ausgewählte Quelle auf einen separaten Port angewendet, damit der Protokollsammler weiterhin Daten konsistent senden kann.
Die folgende Liste enthält beispielsweise Beispiele für Datenquellen- und Portkombinationen:
- Palo Alto: 601
– CheckPoint: 602
– ZScaler: 603Wählen Sie Erstellen aus, um weitere Anweisungen für Ihre spezifische Situation auf dem Bildschirm anzuzeigen.
Wechseln Sie zu Ihrer AKS-Clusterkonfiguration, und führen Sie Folgendes aus:
kubectl config use-context <name of AKS cluster>Führen Sie den Helm-Befehl mit der folgenden Syntax aus:
helm install <release-name> oci://mcr.microsoft.com/mcas/helmchart/logcollector-chart --version 1.0.5 --set inputString="<generated id> ",env.PUBLICIP="<public ip>",env.SYSLOG="true",env.COLLECTOR="<collector-name>",env.CONSOLE="<Console-id>",env.INCLUDE_TLS="on" --set-file ca=<absolute path of ca.pem file> --set-file serverkey=<absolute path of server-key.pem file> --set-file servercert=<absolute path of server-cert.pem file> --set replicas=<no of replicas> -n <namespace>Suchen Sie die Werte für den Helm-Befehl mithilfe des Docker-Befehls, der beim Konfigurieren des Collectors verwendet wird. Zum Beispiel:
(echo <Generated ID>) | docker run --name SyslogTLStest
Bei Erfolg zeigen die Protokolle, dass ein Image von mcr.microsoft.com abgerufen und anschließend Blobs für den Container erstellt werden.
Verwandte Inhalte
Weitere Informationen finden Sie unter Konfigurieren des automatischen Protokolluploads für fortlaufende Berichte.