Konfigurace automatického nahrávání protokolů pomocí Dockeru v Azure

Tento článek popisuje, jak nakonfigurovat automatické nahrávání protokolů pro průběžné sestavy v Defender for Cloud Apps pomocí Dockeru v Ubuntu nebo CentOS v Azure.

Požadavky

Než začnete, ujistěte se, že vaše prostředí splňuje následující požadavky:

Požadavek	Popis
Operační systém	Jedna z následujících možností: – Ubuntu 14.04, 16.04, 18.04 a 20.04 – CentOS 7.2 nebo novější
Místo na disku	250 GB
Jádra procesoru	2
Architektura procesoru	Intel 64 a AMD 64
BERAN	4 GB
Konfigurace brány firewall	Jak je definováno v tématu Požadavky na síť

Plánování kolektorů protokolů podle výkonu

Každý kolektor protokolů dokáže úspěšně zpracovat kapacitu protokolu až 50 GB za hodinu, která se skládá z až 10 zdrojů dat. Hlavními kritickými body procesu shromažďování protokolů jsou:

• Šířka pásma sítě – Rychlost nahrávání protokolů určuje šířka pásma sítě.

• Výkon vstupně-výstupních operací virtuálního počítače – Určuje rychlost zápisu protokolů na disk kolektoru protokolů. Kolektor protokolů má integrovaný bezpečnostní mechanismus, který monitoruje rychlost doručení protokolů a porovnává ji s rychlostí nahrávání. V případě zahlcení začne kolektor protokolů vyhazovat soubory protokolu. Pokud vaše nastavení obvykle překračuje 50 GB za hodinu, doporučujeme rozdělit provoz mezi několik kolektorů protokolů.

Pokud potřebujete více než 10 zdrojů dat, doporučujeme rozdělit zdroje dat mezi několik kolektorů protokolů.

Definování zdrojů dat

1. Na portálu Microsoft Defender vyberte Nastavení > Cloud Apps > Cloud Discovery > Automatické nahrávání protokolů.

2. Na kartě Zdroje dat vytvořte odpovídající zdroj dat pro každou bránu firewall nebo proxy server, ze kterého chcete nahrát protokoly:

   1. Vyberte Přidat zdroj dat.

   2. V dialogovém okně Přidat zdroj dat zadejte název zdroje dat a pak vyberte typ zdroje a příjemce.

      Než vyberete zdroj, vyberte Zobrazit vzorek očekávaného souboru protokolu a porovnejte protokol s očekávaným formátem. Pokud formát souboru protokolu neodpovídá této ukázce, přidejte zdroj dat jako Jiný.

      Pokud chcete pracovat se síťovým zařízením, které není uvedené, vyberte Formát protokolu jiného > zákazníka nebo Jiné (jenom ručně). Další informace najdete v tématu Práce s vlastním analyzátorem protokolů.

   Poznámka

   Integrace se zabezpečenými přenosovými protokoly (FTPS a Syslog – TLS) často vyžaduje další nastavení brány firewall nebo proxy serveru. Další informace najdete v tématu Pokročilá správa kolektoru protokolů.

Tento postup opakujte pro každou bránu firewall a proxy server, jejichž protokoly je možné použít ke zjištění provozu ve vaší síti.

Doporučujeme nastavit vyhrazený zdroj dat pro každé síťové zařízení, abyste mohli monitorovat stav každého zařízení zvlášť pro účely šetření, a prozkoumat zjišťování stínového IT na zařízení, pokud je každé zařízení používáno jiným uživatelským segmentem.

Vytvoření kolektoru protokolů

1. Na portálu Microsoft Defender vyberte Nastavení > Cloud Apps > Cloud Discovery > Automatické nahrávání protokolů.

2. Na kartě Kolektory protokolů vyberte Přidat kolektor protokolů.

3. V dialogovém okně Vytvořit kolektor protokolů zadejte následující podrobnosti:

   • Název vašeho kolektoru protokolů
   • IP adresa hostitele, což je privátní IP adresa počítače, který použijete k nasazení Dockeru. IP adresa hostitele může být také nahrazena názvem počítače, pokud existuje server DNS nebo ekvivalent pro překlad názvu hostitele.

   Pak vyberte pole Zdroje dat a vyberte zdroje dat, které chcete připojit ke kolektoru, a výběrem možnosti Aktualizovat uložte změny. Každý kolektor protokolů může zpracovávat více zdrojů dat.

   Dialogové okno Vytvořit kolektor protokolů zobrazuje další podrobnosti o nasazení, včetně příkazu pro import konfigurace kolektoru. Příklady:

   

4. Vyberte Ikona kopírování vedle příkazu pro zkopírování do schránky

   Podrobnosti zobrazené v dialogovém okně Vytvořit kolektor protokolů se liší v závislosti na vybraném typu zdroje a příjemce. Pokud jste například vybrali Syslog, dialogové okno obsahuje podrobnosti o tom, na kterém portu naslouchá naslouchací proces syslogu.

   Zkopírujte obsah obrazovky a uložte ho místně, protože je budete potřebovat při konfiguraci kolektoru protokolů pro komunikaci s Defender for Cloud Apps.

5. Vyberte Exportovat a vyexportujte zdrojovou konfiguraci do souboru .CSV, který popisuje konfiguraci exportu protokolu ve vašich zařízeních.

Tip

Uživatelům, kteří poprvé odesílají data protokolu FTP, doporučujeme změnit heslo pro uživatele FTP. Další informace najdete v tématu Změna hesla FTP.

Nasazení počítače v Azure

Tento postup popisuje, jak nasadit počítač s Ubuntu. Postup nasazení pro jiné platformy se mírně liší.

1. Vytvořte nový počítač s Ubuntu v prostředí Azure.

2. Po spuštění počítače otevřete porty:

   1. V zobrazení počítače přejděte do části Sítě a poklikáním na příslušné rozhraní vyberte příslušné rozhraní.

   2. Přejděte do části Skupina zabezpečení sítě a vyberte příslušnou skupinu zabezpečení sítě.

   3. Přejděte do části Příchozí pravidla zabezpečení a klikněte na Přidat.

   4. Přidejte následující pravidla (v rozšířeném režimu):

      Name (Název)	Rozsahy cílových portů	Protocol (Protokol)	Source (Zdroj)	Destination (Cíl)
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Jakákoli
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Jakákoli
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Jakákoli
      caslogcollector_syslogs_udp	514-600	Protokol udp	Your appliance's IP address's subnet	Jakákoli

   Další informace najdete v tématu Práce s pravidly zabezpečení.

3. Zpět k počítači a kliknutím na Připojit otevřete terminál na počítači.

4. Změňte na kořenová oprávnění pomocí sudo -i.

5. Pokud přijmete licenční podmínky pro software, odinstalujte staré verze a nainstalujte Docker CE spuštěním příkazů vhodných pro vaše prostředí:

   Centos

   1. Odebrání starých verzí Dockeru: yum erase docker docker-engine docker.io

   2. Instalace požadavků na modul Docker: yum install -y yum-utils

   3. Přidejte úložiště Dockeru:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Instalace modulu Docker: yum -y install docker-ce

   5. Spuštění Dockeru

      systemctl start docker
      systemctl enable docker
      

   6. Otestujte instalaci Dockeru: docker run hello-world

   Ubuntu

   1. Odebrání starých verzí Dockeru: apt-get remove docker docker-engine docker.io

   2. Pokud instalujete na Ubuntu 14.04, nainstalujte balíček linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Instalace požadavků na modul Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Ověřte, že UID otisku prstu apt-key je docker@docker.com: apt-key fingerprint | grep uid

   5. Instalace modulu Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Otestujte instalaci Dockeru: docker run hello-world

6. V dialogovém okně Vytvořit kolektor protokolů spusťte příkaz, který jste předtím zkopírovali. Příklady:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Pokud chcete ověřit, že kolektor protokolů funguje správně, spusťte následující příkaz: Docker logs <collector_name>. Měli byste získat výsledky: Úspěšně dokončeno!

Konfigurace nastavení místního síťového zařízení

Nakonfigurujte síťové brány firewall a proxy servery tak, aby pravidelně exportovali protokoly do vyhrazeného portu Syslog adresáře FTP podle pokynů v dialogovém okně. Příklady:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Ověření nasazení v Defender for Cloud Apps

Zkontrolujte stav kolektoru v tabulce Kolektor protokolů a ujistěte se, že je stav Připojeno. Pokud je vytvořeno, je možné, že se připojení kolektoru protokolů a analýza nedokončily.

Příklady:

Můžete také přejít do protokolu zásad správného řízení a ověřit, že se protokoly pravidelně nahrávají na portál.

Případně můžete stav kolektoru protokolů zkontrolovat v kontejneru Dockeru pomocí následujících příkazů:

1. Přihlaste se ke kontejneru pomocí tohoto příkazu: docker exec -it <Container Name> bash
2. Pomocí tohoto příkazu ověřte stav kolektoru protokolů: collector_status -p

Pokud máte během nasazování problémy, projděte si téma Řešení potíží s cloud discovery.

Volitelné – vytváření vlastních průběžných sestav

Ověřte, že se protokoly nahrávají do Defender for Cloud Apps a že se sestavy vygenerují. Po ověření vytvořte vlastní sestavy. Můžete vytvářet vlastní sestavy zjišťování založené na Microsoft Entra skupinách uživatelů. Pokud například chcete zobrazit cloudové využití vašeho marketingového oddělení, importujte marketingovou skupinu pomocí funkce importovat skupinu uživatelů. Pak pro tuto skupinu vytvořte vlastní sestavu. Sestavu můžete také přizpůsobit na základě značky IP adres nebo rozsahů IP adres.

1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

2. V části Cloud Discovery vyberte Průběžné sestavy.

3. Klikněte na tlačítko Vytvořit sestavu a vyplňte pole.

4. V části Filtry můžete filtrovat data podle zdroje dat, podle importované skupiny uživatelů nebo podle značek a rozsahů IP adres.

   Poznámka

   Při použití filtrů u průběžných sestav bude výběr zahrnutý, nikoli vyloučený. Pokud například použijete filtr na určitou skupinu uživatelů, bude do sestavy zahrnuta pouze tato skupina uživatelů.

   

Odebrání kolektoru protokolů

Pokud máte existující kolektor protokolů a chcete ho před dalším nasazením odebrat nebo ho chcete jednoduše odebrat, spusťte následující příkazy:

docker stop <collector_name>
docker rm <collector_name>

Další kroky

Úprava konfigurace FTP kolektoru protokolů

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.