Sdílet prostřednictvím

Konfigurace automatického nahrávání protokolů pomocí místního Dockeru ve Windows

  • Článek

Automatické nahrávání protokolů pro průběžné sestavy v Defender for Cloud Apps můžete nakonfigurovat pomocí Dockeru ve Windows.

Požadavky

  • Specifikace architektury:

    Specifikace Popis
    Operační systém Jedna z následujících možností:
  • Windows 10 (aktualizace fall creators)
  • Windows Server verze 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Místo na disku 250 GB
    Jádra procesoru 2
    Architektura procesoru Intel 64 a AMD 64
    BERAN 4 GB

    Seznam podporovaných architektur Dockeru najdete v dokumentaci k instalaci Dockeru.

  • Podle potřeby nastavte bránu firewall . Další informace najdete v tématu Požadavky na síť.

  • Virtualizace v operačním systému musí být povolená pomocí technologie Hyper-V.

Důležité

  • Podnikoví zákazníci s ročními výnosy více než 250 uživatelů nebo více než 10 milionů USD vyžadují placené předplatné, aby mohli používat Docker Desktop pro Windows. Další informace najdete v tématu Přehled předplatného Dockeru.
  • Aby bylo možné shromažďovat protokoly, musí být uživatel přihlášený k Dockeru. Doporučujeme uživatelům Dockeru radit, aby se odpojili bez odhlášení.
  • Docker pro Windows není oficiálně podporován ve scénářích virtualizace VMWare.
  • Docker pro Windows se ve vnořených scénářích virtualizace oficiálně nepodporuje. Pokud stále plánujete používat vnořenou virtualizaci, projděte si oficiální příručku k Dockeru.
  • Informace o dalších aspektech konfigurace a implementace Dockeru pro Windows najdete v tématu Instalace Desktopu Dockeru ve Windows.

Odebrání existujícího kolektoru protokolů

Pokud máte existující kolektor protokolů a chcete ho před dalším nasazením odebrat nebo ho chcete jednoduše odebrat, spusťte následující příkazy:

docker stop <collector_name>
docker rm <collector_name>

Výkon kolektoru protokolů

Kolektor protokolů dokáže úspěšně zpracovat kapacitu protokolu až 50 GB za hodinu. Hlavními kritickými body procesu shromažďování protokolů jsou:

  • Šířka pásma sítě – Rychlost nahrávání protokolů určuje šířka pásma sítě.

  • Výkon vstupně-výstupních operací virtuálního počítače – Určuje rychlost zápisu protokolů na disk kolektoru protokolů. Kolektor protokolů má integrovaný bezpečnostní mechanismus, který monitoruje rychlost doručení protokolů a porovnává ji s rychlostí nahrávání. V případě zahlcení začne kolektor protokolů vyhazovat soubory protokolu. Pokud vaše nastavení obvykle překračuje 50 GB za hodinu, doporučujeme rozdělit provoz mezi několik kolektorů protokolů.

Krok 1 – konfigurace webového portálu

Pomocí následujícího postupu definujte zdroje dat a propojte je se kolektorem protokolů. Jeden kolektor protokolů může zpracovávat více zdrojů dat.

  1. Na portálu Microsoft Defender vyberte Nastavení>Cloud Apps>Cloud Discovery Nahrávatautomatické protokoly>> KartaZdroje dat.

  2. Pro každou bránu firewall nebo proxy server, ze kterého chcete nahrát protokoly, vytvořte odpovídající zdroj dat:

    1. Vyberte +Přidat zdroj dat.

      Snímek obrazovky s tlačítkem Přidat zdroj dat

    2. Pojmenujte proxy server nebo bránu firewall.

      Snímek obrazovky s dialogovým oknem Přidat zdroj dat

    3. V seznamu Zdroj vyberte zařízení. Pokud vyberete Možnost Vlastní formát protokolu pro práci se síťovým zařízením, které tu není uvedené, najdete pokyny ke konfiguraci v tématu Práce s vlastním analyzátorem protokolů .

    4. Porovnejte protokol s ukázkou očekávaného formátu protokolu. Pokud formát souboru protokolu neodpovídá této ukázce, měli byste zdroj dat přidat jako Jiný.

    5. Nastavte typ příjemce na FTP, FTPS, Syslog – UDP nebo Syslog – TCP nebo Syslog – TLS.

      Poznámka

      Integrace se zabezpečenými přenosovými protokoly (FTPS a Syslog – TLS) často vyžaduje další nastavení brány firewall nebo proxy serveru.

    6. Tento postup opakujte pro každou bránu firewall a proxy server, jejichž protokoly je možné použít ke zjištění provozu ve vaší síti. Doporučujeme nastavit vyhrazený zdroj dat pro každé síťové zařízení, abyste mohli:

      • Pro účely šetření monitorujte stav každého zařízení samostatně.
      • Prozkoumejte zjišťování stínového IT na zařízení, pokud je každé zařízení používáno jiným uživatelským segmentem.

  3. V horní části stránky vyberte kartu Kolektory protokolů a pak vyberte Přidat kolektor protokolů.

  4. V dialogovém okně Vytvořit kolektor protokolů :

    1. Do pole Název zadejte smysluplný název kolektoru protokolů.

    2. Pojmenujte kolektor protokolů a zadejte IP adresu hostitele (privátní IP adresu) počítače, který použijete k nasazení Dockeru. IP adresu hostitele je možné nahradit názvem počítače, pokud existuje server DNS (nebo ekvivalent), který přeloží název hostitele.

    3. Vyberte všechny zdroje dat , které chcete připojit ke kolektoru, a výběrem možnosti Aktualizovat uložte konfiguraci.

      Další informace o nasazení najdete v části Další kroky , včetně příkazu, který později použijete k importu konfigurace kolektoru. Pokud jste vybrali Syslog, budou tyto informace obsahovat také data o tom, na kterém portu naslouchá naslouchací proces Syslogu.

    4. Použijte ikonu kopírovat do schránky.Tlačítko Kopírovat , pokud chcete příkaz zkopírovat do schránky a uložit ho do samostatného umístění.

    5. Pomocí tlačítka Export exportu vyexportujte očekávanou konfiguraci zdroje dat. Tato konfigurace popisuje, jak nastavit export protokolu ve vašich zařízeních.

Uživatelům, kteří poprvé odesílají data protokolu FTP, doporučujeme změnit heslo pro uživatele FTP. Další informace najdete v tématu Změna hesla FTP.

Krok 2 – Místní nasazení počítače

Následující kroky popisují nasazení ve Windows. Postup nasazení pro jiné platformy se mírně liší.

  1. Otevřete terminál PowerShellu jako správce na počítači s Windows.

  2. Spuštěním následujícího příkazu stáhněte soubor skriptu PowerShellu instalačního programu Windows Dockeru:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Pokud chcete ověřit, že je instalační program podepsaný Microsoftem, přečtěte si téma Ověření podpisu instalačního programu.

  3. Pokud chcete povolit spouštění skriptů PowerShellu, spusťte:

    Set-ExecutionPolicy RemoteSigned`

  4. Pokud chcete na počítač nainstalovat klienta Dockeru, spusťte následující příkaz:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Počítač se po spuštění příkazu automaticky restartuje.

  5. Až bude počítač znovu spuštěný, spusťte znovu stejný příkaz:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Spusťte instalační program Dockeru a vyberte, že chcete místo Hyper-V použít WSL 2.

    Po dokončení instalace se počítač automaticky znovu restartuje.

  7. Po dokončení restartování otevřete klienta Dockeru a přijměte smlouvu s předplatným Dockeru.

  8. Pokud se instalace WSL2 nedokončí, zobrazí se zpráva oznamující, že jádro WSL 2 Linuxu je nainstalované pomocí samostatného balíčku aktualizace MSI.

  9. Dokončete instalaci stažením balíčku. Další informace najdete v tématu Stažení balíčku aktualizace jádra Linuxu.

  10. Znovu otevřete desktopového klienta Dockeru a ujistěte se, že se spustil.

  11. Otevřete příkazový řádek jako správce a zadejte příkaz spustit, který jste předtím zkopírovali z portálu v kroku 1 – Konfigurace webového portálu.

    Pokud potřebujete nakonfigurovat proxy server, přidejte IP adresu proxy serveru a číslo portu. Pokud jsou například podrobnosti o proxy serveru 172.31.255.255:8080, je aktualizovaný příkaz spuštění:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Pokud chcete ověřit, že kolektor funguje správně, spusťte následující příkaz:

    docker logs <collector_name>

    Měla by se zobrazit zpráva: Úspěšně dokončeno! Například:

    Snímek obrazovky s příkazem, ve kterém kolektor běží správně

Krok 3 – místní konfigurace síťových zařízení

Nakonfigurujte síťové brány firewall a proxy servery tak, aby pravidelně exportovali protokoly do vyhrazeného portu Syslog adresáře FTP podle pokynů v dialogovém okně. Příklady:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Krok 4 – ověření úspěšného nasazení na portálu

Zkontrolujte stav kolektoru v tabulce kolektoru protokolů a ujistěte se, že je stav Připojeno. Pokud je vytvořeno, je možné, že se připojení kolektoru protokolů a analýza nedokončily.

Ověřte, že je stav kolektoru Připojeno.

Můžete také přejít do protokolu zásad správného řízení a ověřit, že se protokoly pravidelně nahrávají na portál.

Případně můžete stav kolektoru protokolů zkontrolovat v kontejneru Dockeru pomocí následujících příkazů:

  1. Přihlaste se ke kontejneru:

    docker exec -it <Container Name> bash

  2. Ověřte stav kolektoru protokolů:

    collector_status -p

Pokud máte během nasazování problémy, projděte si téma Řešení potíží s cloud discovery.

Volitelné – vytváření vlastních průběžných sestav

Ověřte, že se protokoly nahrávají do Defender for Cloud Apps a že se sestavy vygenerují. Po ověření vytvořte vlastní sestavy. Můžete vytvářet vlastní sestavy zjišťování založené na Microsoft Entra skupinách uživatelů. Pokud například chcete zobrazit cloudové využití vašeho marketingového oddělení, importujte marketingovou skupinu pomocí funkce importovat skupinu uživatelů. Pak pro tuto skupinu vytvořte vlastní sestavu. Sestavu můžete také přizpůsobit na základě značky IP adres nebo rozsahů IP adres.

  1. Na portálu Microsoft Defender vyberte Nastavení>Sestavy Cloud Apps>Cloud Discovery>Continuous.

  2. Vyberte tlačítko Vytvořit sestavu a vyplňte pole.

  3. V části Filtry můžete filtrovat data podle zdroje dat, podle importované skupiny uživatelů nebo podle značek a rozsahů IP adres.

    Poznámka

    Při použití filtrů u průběžných sestav bude výběr zahrnutý, nikoli vyloučený. Pokud například použijete filtr na určitou skupinu uživatelů, bude do sestavy zahrnuta pouze tato skupina uživatelů.

    Vlastní průběžná sestava.

Volitelné – Ověření podpisu instalačního programu

Pokud se chcete ujistit, že je instalační program Dockeru podepsaný Microsoftem:

  1. Klikněte pravým tlačítkem na soubor a vyberte Vlastnosti.

  2. Vyberte Digitální podpisy a ujistěte se, že je uvedeno Tento digitální podpis je v pořádku.

  3. Ujistěte se, že v části Název podepisujícího je jako jediná položka uvedena společnost Microsoft Corporation.

    Digitální podpis je platný.

    Pokud digitální podpis není platný, zobrazí se informace Tento digitální podpis není platný:

    Digitální podpis není platný.

Další kroky

Úprava konfigurace FTP kolektoru protokolů

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.