Konfigurieren des automatischen Protokolluploads mit Docker in Azure

In diesem Artikel wird beschrieben, wie Sie automatische Protokolluploads für fortlaufende Berichte in Defender for Cloud Apps mithilfe von Docker unter Ubuntu oder CentOS in Azure konfigurieren.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Ihre Umgebung die folgenden Anforderungen erfüllt:

Anforderung	Beschreibung
Betriebssystem	Eine der folgenden Varianten: – Ubuntu 14.04, 16.04, 18.04 und 20.04 – CentOS 7.2 oder höher
Speicherplatz	250 GB
CPU-Kerne	2
CPU-Architektur	Intel 64 und AMD 64
RAM	4 GB
Firewallkonfiguration	Wie unter Netzwerkanforderungen definiert

Planen Ihrer Protokollsammler nach Leistung

Jeder Protokollsammler kann eine Protokollkapazität von bis zu 50 GB pro Stunde aus bis zu 10 Datenquellen erfolgreich verarbeiten. Die Standard Engpässe im Protokollsammlungsprozess sind:

• Netzwerkbandbreite: Ihre Netzwerkbandbreite bestimmt die Geschwindigkeit des Protokolluploads.

• E/A-Leistung des virtuellen Computers: Bestimmt die Geschwindigkeit, mit der Protokolle auf den Datenträger des Protokollsammlers geschrieben werden. Der Protokollsammler verfügt über einen integrierten Sicherheitsmechanismus, der die Rate überwacht, mit der Protokolle eingehen, und sie mit der Uploadrate vergleicht. Bei Überlastung beginnt der Protokollsammler, Protokolldateien zu löschen. Wenn Ihr Setup in der Regel 50 GB pro Stunde überschreitet, empfiehlt es sich, den Datenverkehr auf mehrere Protokollsammler aufzuteilen.

Wenn Sie mehr als 10 Datenquellen benötigen, empfiehlt es sich, die Datenquellen auf mehrere Protokollsammler aufzuteilen.

Definieren Ihrer Datenquellen

1. Wählen Sie im Microsoft Defender Portal Einstellungen > Cloud Apps > Cloud Discovery > Automatischer Protokollupload aus.

2. Erstellen Sie auf der Registerkarte Datenquellen eine übereinstimmende Datenquelle für jede Firewall oder jeden Proxy, aus der Sie Protokolle hochladen möchten:

   1. Wählen Sie Datenquelle hinzufügen aus.

   2. Geben Sie im Dialogfeld Datenquelle hinzufügen einen Namen für Ihre Datenquelle ein, und wählen Sie dann die Quelle und den Empfängertyp aus.

      Wählen Sie vor der Auswahl einer Quelle Beispiel der erwarteten Protokolldatei anzeigen aus, und vergleichen Sie Ihr Protokoll mit dem erwarteten Format. Wenn Ihr Protokolldateiformat nicht mit diesem Beispiel übereinstimmt, fügen Sie Ihre Datenquelle als Sonstige hinzu.

      Um mit einem netzwerk Anwendung zu arbeiten, das nicht aufgeführt ist, wählen Sie Anderes > Kundenprotokollformat oder Sonstige (nur manuell) aus. Weitere Informationen finden Sie unter Arbeiten mit dem benutzerdefinierten Protokollparser.

   Hinweis

   Die Integration in sichere Übertragungsprotokolle (FTPS und Syslog – TLS) erfordert häufig zusätzliche Einstellungen oder Ihre Firewall/Ihren Proxy.

Wiederholen Sie diesen Vorgang für jede Firewall und jeden Proxy, deren Protokolle verwendet werden können, um Datenverkehr in Ihrem Netzwerk zu erkennen.

Es wird empfohlen, eine dedizierte Datenquelle pro Netzwerkgerät einzurichten, sodass Sie die status jedes Geräts zu Untersuchungszwecken separat überwachen und die Schatten-IT-Ermittlung pro Gerät untersuchen können, wenn jedes Gerät von einem anderen Benutzersegment verwendet wird.

Erstellen eines Protokollsammlers

1. Wählen Sie im Microsoft Defender Portal Einstellungen > Cloud Apps > Cloud Discovery > Automatischer Protokollupload aus.

2. Wählen Sie auf der Registerkarte Protokollsammler die Option Protokollsammler hinzufügen aus.

3. Geben Sie im Dialogfeld Protokollsammler erstellen die folgenden Details ein:

   • Ein Name für Ihren Protokollsammler
   • Die Host-IP-Adresse, die die private IP-Adresse des Computers ist, den Sie zum Bereitstellen von Docker verwenden. Die Host-IP-Adresse kann auch durch den Computernamen ersetzt werden, wenn ein DNS-Server oder eine entsprechende Entsprechung vorhanden ist, um den Hostnamen aufzulösen.

   Wählen Sie dann das Feld Datenquelle(en) aus, um die Datenquellen auszuwählen, die Sie mit dem Collector verbinden möchten, und wählen Sie Aktualisieren aus, um Ihre Änderungen zu speichern. Jeder Protokollsammler kann mehrere Datenquellen verarbeiten.

   Im Dialogfeld Protokollsammler erstellen werden weitere Bereitstellungsdetails angezeigt, einschließlich eines Befehls zum Importieren der Collectorkonfiguration. Zum Beispiel:

   

4. Wählen Sie das Symbol "Kopieren" neben dem Befehl zum Kopieren in die Zwischenablage.

   Die im Dialogfeld Protokollsammler erstellen angezeigten Details unterscheiden sich je nach ausgewähltem Quell- und Empfängertyp. Wenn Sie z. B. Syslog ausgewählt haben, enthält das Dialogfeld Details dazu, an welchem Port der Syslog-Listener lauscht.

   Kopieren Sie den Inhalt des Bildschirms, und speichern Sie sie lokal, da Sie sie benötigen, wenn Sie den Protokollsammler für die Kommunikation mit Defender for Cloud Apps konfigurieren.

5. Wählen Sie Exportieren aus, um die Quellkonfiguration in eine .CSV Datei zu exportieren, in der beschrieben wird, wie der Protokollexport in Ihren Appliances konfiguriert wird.

Tipp

Für Benutzer, die erstmals Protokolldaten über FTP senden, empfehlen wir, das Kennwort für den FTP-Benutzer zu ändern. Weitere Informationen finden Sie unter Ändern des FTP-Kennworts.

Bereitstellen Ihres Computers in Azure

In diesem Verfahren wird beschrieben, wie Sie Ihren Computer mit Ubuntu bereitstellen. Die Bereitstellungsschritte für andere Plattformen unterscheiden sich geringfügig.

1. Erstellen Sie einen neuen Ubuntu-Computer in Ihrer Azure-Umgebung.

2. Nachdem der Computer betriebsbereit ist, öffnen Sie die Ports:

   1. Wechseln Sie in der Computeransicht zu Netzwerk Wählen Sie die relevante Schnittstelle aus, indem Sie darauf doppelklicken.

   2. Wechseln Sie zu Netzwerksicherheitsgruppe , und wählen Sie die relevante Netzwerksicherheitsgruppe aus.

   3. Wechseln Sie zu Sicherheitsregeln für eingehenden Datenverkehr , und klicken Sie auf Hinzufügen.

   4. Fügen Sie die folgenden Regeln hinzu (im erweiterten Modus):

      Name	Zielportbereiche	Protokoll	Quelle	Ziel
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Any
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Any
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Any
      caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Any

   Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsregeln.

3. Zurück zum Computer, und klicken Sie auf Verbinden, um ein Terminal auf dem Computer zu öffnen.

4. Ändern Sie mithilfe von sudo -iin Stammberechtigungen.

5. Wenn Sie die Softwarelizenzbedingungen akzeptieren, deinstallieren Sie alte Versionen, und installieren Sie Docker CE, indem Sie die für Ihre Umgebung geeigneten Befehle ausführen:

   CentOS

   1. Entfernen Sie alte Versionen von Docker: yum erase docker docker-engine docker.io

   2. Voraussetzungen für die Installation der Docker-Engine: yum install -y yum-utils

   3. Docker-Repository hinzufügen:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Installieren Sie die Docker-Engine: yum -y install docker-ce

   5. Starten von Docker

      systemctl start docker
      systemctl enable docker
      

   6. Testen der Docker-Installation: docker run hello-world

   Ubuntu

   1. Entfernen Sie alte Versionen von Docker: apt-get remove docker docker-engine docker.io

   2. Wenn Sie unter Ubuntu 14.04 installieren, installieren Sie das Paket linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Voraussetzungen für die Installation der Docker-Engine:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Vergewissern Sie sich, dass apt-Schlüsselfingerabdruck UID lautetdocker@docker.com:apt-key fingerprint | grep uid

   5. Installieren Sie die Docker-Engine:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Testen der Docker-Installation: docker run hello-world

6. Führen Sie den Befehl aus, den Sie zuvor aus dem Dialogfeld Protokollsammler erstellen kopiert haben. Zum Beispiel:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Protokollsammler ordnungsgemäß ausgeführt wird: Docker logs <collector_name>. Sie sollten die Ergebnisse erhalten: Erfolgreich abgeschlossen!

Konfigurieren von netzwerkbasierten Anwendung lokalen Einstellungen

Konfigurieren Sie Ihre Netzwerkfirewalls und Proxys so, dass protokolle in regelmäßigen Abständen in den dedizierten Syslog-Port des FTP-Verzeichnisses gemäß den Anweisungen im Dialogfeld exportiert werden. Zum Beispiel:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Überprüfen Ihrer Bereitstellung in Defender for Cloud Apps

Überprüfen Sie die status des Collectors in der Tabelle Log Collector, und stellen Sie sicher, dass die status Verbunden ist. Wenn es erstellt ist, ist es möglich, dass die Protokollsammlerverbindung und die Analyse noch nicht abgeschlossen wurden.

Zum Beispiel:

Sie können auch zum Governanceprotokoll wechseln und überprüfen, ob Protokolle regelmäßig in das Portal hochgeladen werden.

Alternativ können Sie den Protokollsammler status aus dem Docker-Container mithilfe der folgenden Befehle überprüfen:

1. Melden Sie sich mit dem folgenden Befehl beim Container an: docker exec -it <Container Name> bash
2. Überprüfen Sie mit diesem Befehl, ob der Protokollsammler status:collector_status -p

Wenn während der Bereitstellung Probleme auftreten, finden Sie weitere Informationen unter Problembehandlung bei der Cloudermittlung.

Optional: Erstellen benutzerdefinierter fortlaufender Berichte

Vergewissern Sie sich, dass die Protokolle in Defender for Cloud Apps hochgeladen werden und dass Berichte generiert werden. Erstellen Sie nach der Überprüfung benutzerdefinierte Berichte. Sie können benutzerdefinierte Ermittlungsberichte basierend auf Microsoft Entra Benutzergruppen erstellen. Wenn Sie beispielsweise die Cloudnutzung Ihrer Marketingabteilung anzeigen möchten, importieren Sie die Marketinggruppe mithilfe der Funktion Benutzergruppe importieren. Erstellen Sie dann einen benutzerdefinierten Bericht für diese Gruppe. Sie können einen Bericht auch basierend auf IP-Adresstags oder IP-Adressbereichen anpassen.

1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus.

2. Wählen Sie unter Cloud Discoverydie Option Fortlaufende Berichte aus.

3. Klicken Sie auf die Schaltfläche Bericht erstellen , und füllen Sie die Felder aus.

4. Unter Filter können Sie die Daten nach Datenquelle, nach importierter Benutzergruppe oder nach IP-Adresstags und -bereichen filtern.

   Hinweis

   Beim Anwenden von Filtern auf fortlaufende Berichte wird die Auswahl eingeschlossen, nicht ausgeschlossen. Wenn Sie beispielsweise einen Filter auf eine bestimmte Benutzergruppe anwenden, wird nur diese Benutzergruppe in den Bericht aufgenommen.

   

Entfernen Des Protokollsammlers

Wenn Sie über einen vorhandenen Protokollsammler verfügen und ihn vor der erneuten Bereitstellung entfernen möchten, oder wenn Sie ihn einfach entfernen möchten, führen Sie die folgenden Befehle aus:

docker stop <collector_name>
docker rm <collector_name>

Nächste Schritte

Ändern der FTP-Konfiguration des Protokollsammlers

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.