Configuración de la carga automática de registros mediante Docker en Azure

En este artículo se describe cómo configurar cargas de registros automáticas para informes continuos en Defender for Cloud Apps mediante Docker en Ubuntu o CentOS en Azure.

Requisitos previos

Antes de empezar, asegúrese de que el entorno cumple los siguientes requisitos:

Requisito	Descripción
SO	Uno de los siguientes: - Ubuntu 14.04, 16.04, 18.04 y 20.04 - CentOS 7.2 o superior
Espacio en disco	250 GB
Núcleos de CPU	2
Arquitectura de CPU	Intel 64 y AMD 64
RAM	4 GB
Configuración del firewall	Como se define en Requisitos de red

Planear los recopiladores de registros por rendimiento

Cada recopilador de registros puede controlar correctamente la capacidad de registro de hasta 50 GB por hora compuesta por hasta 10 orígenes de datos. Los principales cuellos de botella en el proceso de recopilación de registros son:

• Ancho de banda de red: el ancho de banda de red determina la velocidad de carga del registro.

• Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y lo compara con la velocidad de carga. En los casos de congestión, el recopilador de registros comienza a quitar los archivos de registro. Si la configuración suele superar los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.

Si necesita más de 10 orígenes de datos, se recomienda dividir los orígenes de datos entre varios recopiladores de registros.

Definición de los orígenes de datos

1. En Microsoft Defender Portal, seleccione Configuración Cloud > Apps > Cloud Discovery > Carga automática de registros.

2. En la pestaña Orígenes de datos, cree un origen de datos coincidente para cada firewall o proxy desde el que quiera cargar registros:

   1. Seleccione Agregar origen de datos.

   2. En el cuadro de diálogo Agregar origen de datos , escriba un nombre para el origen de datos y, a continuación, seleccione el tipo de origen y receptor.

      Antes de seleccionar un origen, seleccione Ver ejemplo del archivo de registro esperado y compare el registro con el formato esperado. Si el formato del archivo de registro no coincide con este ejemplo, agregue el origen de datos como Otro.

      Para trabajar con un dispositivo de red que no aparece en la lista, seleccione Otro > formato de registro de cliente u Otro (solo manual). Para obtener más información, vea Trabajar con el analizador de registros personalizado.

   Nota:

   La integración con protocolos de transferencia segura (FTPS y Syslog – TLS) a menudo requiere configuraciones adicionales o el firewall o proxy.

Repita este proceso para cada firewall y proxy cuyos registros se pueden usar para detectar el tráfico en la red.

Se recomienda configurar un origen de datos dedicado por dispositivo de red, lo que le permite supervisar el estado de cada dispositivo por separado con fines de investigación y explorar la detección de Shadow IT por dispositivo si cada dispositivo lo usa un segmento de usuario diferente.

Creación de un recopilador de registros

1. En Microsoft Defender Portal, seleccione Configuración Cloud > Apps > Cloud Discovery > Carga automática de registros.

2. En la pestaña Recopiladores de registros , seleccione Agregar recopilador de registros.

3. En el cuadro de diálogo Crear recopilador de registros , escriba los detalles siguientes:

   • Un nombre para el recopilador de registros
   • La dirección IP del host, que es la dirección IP privada de la máquina que usará para implementar Docker. La dirección IP del host también se puede reemplazar por el nombre de la máquina, si hay un servidor DNS o equivalente para resolver el nombre de host.

   A continuación, seleccione el cuadro Orígenes de datos para seleccionar los orígenes de datos que desea conectar al recopilador y seleccione Actualizar para guardar los cambios. Cada recopilador de registros puede controlar varios orígenes de datos.

   El cuadro de diálogo Crear recopilador de registros muestra más detalles de implementación, incluido un comando para importar la configuración del recopilador. Por ejemplo:

   

4. Seleccione el Icono de copia junto al comando para copiarlo en el Portapapeles.

   Los detalles mostrados en el cuadro de diálogo Crear recopilador de registros varían en función de los tipos de origen y receptor seleccionados. Por ejemplo, si seleccionó Syslog, el cuadro de diálogo incluye detalles sobre el puerto en el que escucha el agente de escucha de Syslog.

   Copie el contenido de la pantalla y guárdelo localmente, ya que los necesitará al configurar el recopilador de registros para comunicarse con Defender for Cloud Apps.

5. Seleccione Exportar para exportar la configuración de origen a un archivo .CSV que describa cómo configurar la exportación de registros en los dispositivos.

Sugerencia

Para los usuarios que envían datos de registro a través de FTP por primera vez, se recomienda cambiar la contraseña del usuario FTP. Para obtener más información, consulte Cambio de la contraseña de FTP.

Implementación de la máquina en Azure

En este procedimiento se describe cómo implementar la máquina con Ubuntu. Los pasos de implementación para otras plataformas son ligeramente diferentes.

1. Cree una máquina Ubuntu en el entorno de Azure.

2. Una vez que la máquina esté en marcha, abra los puertos:

   1. En la vista de máquina, vaya a Redes para seleccionar la interfaz pertinente haciendo doble clic en ella.

   2. Vaya al grupo de seguridad de red y seleccione el grupo de seguridad de red correspondiente.

   3. Vaya a Reglas de seguridad de entrada y haga clic en Agregar.

   4. Agregue las reglas siguientes (en modo avanzado ):

      Nombre	Intervalos de puertos de destino	Protocolo	Origen	Destino
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Cualquiera
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Cualquiera
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Cualquiera
      caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Cualquiera

   Para obtener más información, vea Trabajar con reglas de seguridad.

3. Volver a la máquina y haga clic en Conectar para abrir un terminal en la máquina.

4. Cambie a privilegios raíz mediante sudo -i.

5. Si acepta los términos de licencia de software, desinstale las versiones anteriores e instale Docker CE ejecutando los comandos adecuados para su entorno:

   CentOS

   1. Quitar versiones anteriores de Docker: yum erase docker docker-engine docker.io

   2. Instalación de los requisitos previos del motor de Docker: yum install -y yum-utils

   3. Agregar repositorio de Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Instalación del motor de Docker: yum -y install docker-ce

   5. Inicio de Docker

      systemctl start docker
      systemctl enable docker
      

   6. Prueba de la instalación de Docker: docker run hello-world

   Ubuntu

   1. Quitar versiones anteriores de Docker: apt-get remove docker docker-engine docker.io

   2. Si va a instalar en Ubuntu 14.04, instale el paquete linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Instalación de los requisitos previos del motor de Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Compruebe que el UID de huella digital de apt-key es docker@docker.com: apt-key fingerprint | grep uid

   5. Instalación del motor de Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Prueba de la instalación de Docker: docker run hello-world

6. Ejecute el comando que copió anteriormente del cuadro de diálogo Crear recopilador de registros . Por ejemplo:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Para comprobar que el recopilador de registros se ejecuta correctamente, ejecute el siguiente comando: Docker logs <collector_name>. Debe obtener los resultados: ¡Ha finalizado correctamente!

Configuración de la aplicación de red local

Configure los firewalls de red y los servidores proxy para exportar periódicamente los registros al puerto syslog dedicado del directorio FTP según las instrucciones del cuadro de diálogo. Por ejemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Compruebe la implementación en Defender for Cloud Apps

Compruebe el estado del recopilador en la tabla Recopilador de registros y asegúrese de que el estado es Conectado. Si se crea, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.

Por ejemplo:

También puede ir al registro de gobernanza y comprobar que los registros se cargan periódicamente en el portal.

Como alternativa, puede comprobar el estado del recopilador de registros desde dentro del contenedor de Docker mediante los siguientes comandos:

1. Inicie sesión en el contenedor mediante este comando: docker exec -it <Container Name> bash
2. Compruebe el estado del recopilador de registros mediante este comando: collector_status -p

Si tiene problemas durante la implementación, consulte Solución de problemas de detección de nube.

Opcional: creación de informes continuos personalizados

Compruebe que los registros se cargan en Defender for Cloud Apps y que se generan informes. Después de la comprobación, cree informes personalizados. Puede crear informes de detección personalizados basados en Microsoft Entra grupos de usuarios. Por ejemplo, si desea ver el uso en la nube del departamento de marketing, importe el grupo de marketing mediante la característica importar grupo de usuarios. A continuación, cree un informe personalizado para este grupo. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.

1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.

2. En Cloud Discovery, seleccione Informes continuos.

3. Haga clic en el botón Crear informe y rellene los campos.

4. En Filtros , puede filtrar los datos por origen de datos, por grupo de usuarios importados o por intervalos y etiquetas de direcciones IP.

   Nota:

   Al aplicar filtros en informes continuos, se incluirá la selección, no se excluirá. Por ejemplo, si aplica un filtro en un grupo de usuarios determinado, solo ese grupo de usuarios se incluirá en el informe.

   

Eliminación del recopilador de registros

Si tiene un recopilador de registros existente y quiere quitarlo antes de implementarlo de nuevo, o si simplemente quiere quitarlo, ejecute los siguientes comandos:

docker stop <collector_name>
docker rm <collector_name>

Pasos siguientes

Modificación de la configuración de FTP del recopilador de registros

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.