Konfigurer automatisk logoverførsel ved hjælp af Docker i Azure

I denne artikel beskrives det, hvordan du konfigurerer automatiske logoverførsler for fortløbende rapporter i Defender for Cloud Apps ved hjælp af en Docker på Ubuntu eller CentOS i Azure.

Forudsætninger

Før du starter, skal du sørge for, at dit miljø opfylder følgende krav:

Krav	Beskrivelse
OPERATIVSYSTEM	Et af følgende: - Ubuntu 14.04, 16.04, 18.04 og 20.04 - CentOS 7,2 eller nyere
Diskplads	250 GB
CPU-kerner	2
CPU-arkitektur	Intel 64 og AMD 64
VÆDDER	4 GB
Firewallkonfiguration	Som defineret i Netværkskrav

Planlæg dine logindsamlere efter ydeevne

Hver logopsamler kan håndtere logkapacitet på op til 50 GB pr. time bestående af op til 10 datakilder. De vigtigste flaskehalse i logindsamlingsprocessen er:

• Netværksbåndbredde – Din netværksbåndbredde bestemmer logfilens overførselshastighed.

• I/O-ydeevne for den virtuelle maskine – bestemmer den hastighed, som logge skrives med til logopsamlerens disk. Logopsamleren har en indbygget sikkerhedsmekanisme, der overvåger den hastighed, som logge ankommer med, og sammenligner den med uploadhastigheden. I tilfælde af overbelastning begynder logopsamleren at slippe logfiler. Hvis din konfiguration typisk overstiger 50 GB pr. time, anbefaler vi, at du opdeler trafikken mellem flere logindsamlere.

Hvis du har brug for mere end 10 datakilder, anbefaler vi, at du opdeler datakilderne mellem flere logindsamlere.

Definer dine datakilder

1. I Microsoft Defender Portal skal du vælge Indstillinger Cloud > Apps > Cloud Discovery > Automatisk logupload.

2. Under fanen Datakilder skal du oprette en matchende datakilde for hver firewall eller proxy, som du vil overføre logge fra:

   1. Vælg Tilføj datakilde.

   2. Angiv et navn til datakilden i dialogboksen Tilføj datakilde , og vælg derefter kilde- og modtagertypen.

      Før du vælger en kilde, skal du vælge Vis eksempel på forventet logfil og sammenligne din logfil med det forventede format. Hvis dit logfilformat ikke stemmer overens med dette eksempel, skal du tilføje datakilden som Andet.

      Hvis du vil arbejde med en netværksenhed, der ikke er angivet, skal du vælge Andet > kundelogformat eller Andet (kun manuelt). Du kan finde flere oplysninger under Arbejde med den brugerdefinerede logparser.

   Bemærk!

   Integration med sikre overførselsprotokoller (FTPS og Syslog – TLS) kræver ofte yderligere indstillinger eller din firewall/proxy.

Gentag denne proces for hver firewall og proxy, hvis logge kan bruges til at registrere trafik på netværket.

Vi anbefaler, at du konfigurerer en dedikeret datakilde pr. netværksenhed, så du kan overvåge status for hver enhed separat med henblik på undersøgelse og udforske Shadow IT Discovery pr. enhed, hvis hver enhed bruges af et andet brugersegment.

Opret en logopsamler

1. I Microsoft Defender Portal skal du vælge Indstillinger Cloud > Apps > Cloud Discovery > Automatisk logupload.

2. Vælg Tilføj logopsamler på fanen Logindsamlere.

3. Angiv følgende oplysninger i dialogboksen Opret logopsamler :

   • Et navn til din logopsamler
   • Værts-IP-adressen, som er den private IP-adresse på den computer, du skal bruge til at installere Docker. Værts-IP-adressen kan også erstattes med computernavnet, hvis der er en DNS-server eller svarer til at fortolke værtsnavnet.

   Vælg derefter feltet Datakilde(r) for at vælge de datakilder, du vil oprette forbindelse til indsamleren, og vælg Opdater for at gemme dine ændringer. Hver logopsamler kan håndtere flere datakilder.

   Dialogboksen Opret logopsamler viser yderligere udrulningsoplysninger, herunder en kommando til import af indsamlingskonfigurationen. Det kan f.eks. være:

   

4. Vælg Kopiér ikon ud for kommandoen for at kopiere den til Udklipsholder.

   De oplysninger, der vises i dialogboksen Opret logopsamler , varierer afhængigt af de valgte kilde- og modtagertyper. Hvis du f.eks. har valgt Syslog, indeholder dialogboksen oplysninger om, hvilken port syslog-lytteren lytter på.

   Kopiér indholdet af skærmen, og gem dem lokalt, da du skal bruge dem, når du konfigurerer logopsamleren til at kommunikere med Defender for Cloud Apps.

5. Vælg Eksportér for at eksportere kildekonfigurationen til en .CSV fil, der beskriver, hvordan du konfigurerer logeksporten i dine apparater.

Tip

For brugere, der sender logdata via FTP for første gang, anbefaler vi, at du ændrer adgangskoden for FTP-brugeren. Du kan få flere oplysninger under Ændring af FTP-adgangskoden.

Udrul din maskine i Azure

I denne procedure beskrives det, hvordan du installerer din computer med Ubuntu. Installationstrinnene for andre platforme er lidt anderledes.

1. Opret en ny Ubuntu-maskine i dit Azure-miljø.

2. Når computeren er oppe, skal du åbne portene:

   1. I computervisningen skal du gå til Netværk og vælge den relevante grænseflade ved at dobbeltklikke på den.

   2. Gå til Netværkssikkerhedsgruppe , og vælg den relevante netværkssikkerhedsgruppe.

   3. Gå til Indgående sikkerhedsregler , og klik på Tilføj.

   4. Tilføj følgende regler (i avanceret tilstand):

      Navn	Destinationsportintervaller	Protokol	Kilde	Destination
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Enhver
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Enhver
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Enhver
      caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Enhver

   Du kan få flere oplysninger under Arbejd med sikkerhedsregler.

3. Gå tilbage til maskinen, og klik på Opret forbindelse for at åbne en terminal på maskinen.

4. Skift til rodrettigheder ved hjælp af sudo -i.

5. Hvis du accepterer licensvilkårene for softwaren, skal du fjerne gamle versioner og installere Docker CE ved at køre de kommandoer, der passer til dit miljø:

   Centos

   1. Fjern gamle versioner af Docker: yum erase docker docker-engine docker.io

   2. Installér Docker-programforudsætningerne: yum install -y yum-utils

   3. Tilføj Docker-lager:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Installer Docker-program: yum -y install docker-ce

   5. Start Docker

      systemctl start docker
      systemctl enable docker
      

   6. Installation af Test Docker: docker run hello-world

   Ubuntu

   1. Fjern gamle versioner af Docker: apt-get remove docker docker-engine docker.io

   2. Hvis du installerer på Ubuntu 14.04, skal du installere pakken linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Installér Docker-programforudsætningerne:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Kontrollér, at Apt-key-fingeraftryks-UID er docker@docker.com: apt-key fingerprint | grep uid

   5. Installer Docker-program:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Installation af Test Docker: docker run hello-world

6. Kør den kommando, du tidligere har kopieret fra dialogboksen Opret logopsamler . Det kan f.eks. være:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Kør følgende kommando for at kontrollere, at logopsamleren kører korrekt: Docker logs <collector_name>. Du bør få vist resultaterne: Fuldført!

Konfigurer indstillinger for netværksapparat i det lokale miljø

Konfigurer netværksfirewalls og proxyer til periodisk at eksportere logge til den dedikerede Syslog-port i FTP-mappen i henhold til vejledningen i dialogboksen. Det kan f.eks. være:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Kontrollér udrulningen i Defender for Cloud Apps

Kontrollér indsamlingsstatus i logopsamlertabellen , og kontrollér, at status er Tilsluttet. Hvis den er oprettet, er det muligt, at logindsamlerforbindelsen og fortolkning ikke er fuldført.

Det kan f.eks. være:

Du kan også gå til styringsloggen og kontrollere, at loggene uploades regelmæssigt til portalen.

Du kan også kontrollere logopsamlerens status fra dockerobjektbeholderen ved hjælp af følgende kommandoer:

1. Log på objektbeholderen ved hjælp af denne kommando: docker exec -it <Container Name> bash
2. Kontrollér logopsamlerstatussen ved hjælp af denne kommando: collector_status -p

Hvis du har problemer under udrulningen, skal du se Fejlfinding af cloudregistrering.

Valgfrit – Opret brugerdefinerede fortløbende rapporter

Kontrollér, at loggene uploades til Defender for Cloud Apps, og at der genereres rapporter. Efter bekræftelse skal du oprette brugerdefinerede rapporter. Du kan oprette brugerdefinerede registreringsrapporter baseret på Microsoft Entra brugergrupper. Hvis du f.eks. vil se brugen af din marketingafdeling i skyen, skal du importere marketinggruppen ved hjælp af funktionen Importér brugergruppe. Opret derefter en brugerdefineret rapport for denne gruppe. Du kan også tilpasse en rapport baseret på IP-adressemærke eller IP-adresseintervaller.

1. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps.

2. Under Cloud Discovery skal du vælge Fortløbende rapporter.

3. Klik på knappen Opret rapport , og udfyld felterne.

4. Under Filtre kan du filtrere dataene efter datakilde, efter importeret brugergruppe eller efter IP-adressekoder og -områder.

   Bemærk!

   Når du anvender filtre på fortløbende rapporter, medtages valget, ikke udeladt. Hvis du f.eks. anvender et filter på en bestemt brugergruppe, er det kun den pågældende brugergruppe, der medtages i rapporten.

   

Fjern din logopsamler

Hvis du har en eksisterende logopsamler og vil fjerne den, før du installerer den igen, eller hvis du blot vil fjerne den, skal du køre følgende kommandoer:

docker stop <collector_name>
docker rm <collector_name>

Næste trin

Rediger konfigurationen af LOG COLLECTOR FTP

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.