Configuración de la carga automática de registros mediante Docker local en Windows

Puede configurar la carga automática de registros para informes continuos en Defender for Cloud Apps mediante Docker en Windows.

Requisitos previos

• Especificaciones de arquitectura:

  Especificación	Descripción
  Sistema operativo	Uno de los siguientes: Windows 10 (actualización de creadores de otoño) Windows Server versión 1709+ (SAC) Windows Server 2019 (LTSC)
  Espacio en disco	250 GB
  Núcleos de CPU	2
  Arquitectura de CPU	Intel 64 y AMD 64
  RAM	4 GB

  Para obtener una lista de las arquitecturas de Docker admitidas, consulte la documentación de instalación de Docker.

• Establezca el firewall según sea necesario. Para obtener más información, vea Requisitos de red.

• La virtualización en el sistema operativo debe estar habilitada con Hyper-V.

Importante

• Los clientes empresariales con más de 250 usuarios o más de 10 millones de USD en ingresos anuales requieren una suscripción de pago para usar Docker Desktop para Windows. Para obtener más información, consulte Introducción a la suscripción de Docker.
• Un usuario debe iniciar sesión en Docker para recopilar registros. Se recomienda aconsejar a los usuarios de Docker que se desconecten sin cerrar sesión.
• Docker para Windows no se admite oficialmente en escenarios de virtualización de VMWare.
• Docker para Windows no se admite oficialmente en escenarios de virtualización anidados. Si todavía planea usar la virtualización anidada, consulte la guía oficial de Docker.
• Para obtener información sobre las consideraciones de configuración e implementación adicionales para Docker para Windows, consulte Instalación de Docker Desktop en Windows.

Eliminación de un recopilador de registros existente

Si tiene un recopilador de registros existente y quiere quitarlo antes de implementarlo de nuevo, o si simplemente quiere quitarlo, ejecute los siguientes comandos:

docker stop <collector_name>
docker rm <collector_name>

Rendimiento del recopilador de registros

El recopilador de registros puede controlar correctamente la capacidad de registro de hasta 50 GB por hora. Los principales cuellos de botella en el proceso de recopilación de registros son:

• Ancho de banda de red: el ancho de banda de red determina la velocidad de carga del registro.

• Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y lo compara con la velocidad de carga. En los casos de congestión, el recopilador de registros comienza a quitar los archivos de registro. Si la configuración suele superar los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.

Paso 1: Configuración del portal web

Siga estos pasos para definir los orígenes de datos y vincularlos a un recopilador de registros. Un único recopilador de registros puede controlar varios orígenes de datos.

1. En el portal de Microsoft Defender, seleccione la pestaña Configuración> cloudapps>Cloud Discovery>Carga> automática de registrosOrígenes de datos.

2. Para cada firewall o proxy desde el que quiera cargar registros, cree un origen de datos coincidente:

   1. Seleccione +Agregar origen de datos.

      

   2. Asigne un nombre al proxy o firewall.

      

   3. Seleccione el dispositivo en la lista Origen . Si selecciona Formato de registro personalizado para trabajar con un dispositivo de red que no aparece, consulte Trabajar con el analizador de registros personalizado para obtener instrucciones de configuración.

   4. Compare el registro con el ejemplo del formato de registro esperado. Si el formato del archivo de registro no coincide con este ejemplo, debe agregar el origen de datos como Otro.

   5. Establezca el tipo de receptor en FTP, FTPS, Syslog – UDP o Syslog – TCP o Syslog – TLS.

      Nota:

      La integración con protocolos de transferencia segura (FTPS y Syslog – TLS) a menudo requiere configuraciones adicionales para el firewall o proxy.

   6. Repita este proceso para cada firewall y proxy cuyos registros se pueden usar para detectar el tráfico en la red. Se recomienda configurar un origen de datos dedicado por dispositivo de red para permitirle:

      • Supervise el estado de cada dispositivo por separado, para fines de investigación.
      • Explore la detección de Shadow IT por dispositivo, si cada dispositivo lo usa un segmento de usuario diferente.

3. En la parte superior de la página, seleccione la pestaña Recopiladores de registros y, a continuación, seleccione Agregar recopilador de registros.

4. En el cuadro de diálogo Crear recopilador de registros :

   1. En el campo Nombre , escriba un nombre significativo para el recopilador de registros.

   2. Asigne un nombre al recopilador de registros y escriba la dirección IP del host (dirección IP privada) de la máquina que usará para implementar Docker. La dirección IP del host se puede reemplazar por el nombre de equipo, si hay un servidor DNS (o equivalente) que resolverá el nombre de host.

   3. Seleccione todos los orígenes de datos que desea conectar al recopilador y seleccione Actualizar para guardar la configuración.

      Aparece más información de implementación en la sección Pasos siguientes , incluido un comando que usará más adelante para importar la configuración del recopilador. Si seleccionó Syslog, esta información también incluye datos sobre el puerto en el que está escuchando el agente de escucha de Syslog.

   4. Use el Botón Copiar para copiar el comando en el Portapapeles y guardarlo en una ubicación independiente.

   5. Use el botón Exportar exportación para exportar la configuración de origen de datos esperada. En esta configuración se describe cómo debe establecer la exportación de registros en los dispositivos.

Para los usuarios que envían datos de registro a través de FTP por primera vez, se recomienda cambiar la contraseña del usuario FTP. Para obtener más información, consulte Cambio de la contraseña de FTP.

Paso 2: Implementación local de la máquina

En los pasos siguientes se describe la implementación en Windows. Los pasos de implementación para otras plataformas son ligeramente diferentes.

1. Abra un terminal de PowerShell como administrador en el equipo Windows.

2. Ejecute el siguiente comando para descargar el archivo de script de PowerShell del instalador de Windows Docker:

   Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
   

   Para validar que El instalador está firmado por Microsoft, consulte Validación de la firma del instalador.

3. Para habilitar la ejecución de scripts de PowerShell, ejecute:

   Set-ExecutionPolicy RemoteSigned`
   

4. Para instalar el cliente de Docker en la máquina, ejecute:

   & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
   

   La máquina se reinicia automáticamente después de ejecutar el comando.

5. Cuando la máquina esté en funcionamiento de nuevo, vuelva a ejecutar el mismo comando:

   & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
   

6. Ejecute el instalador de Docker y seleccione usar WSL 2 en lugar de Hyper-V.

   Una vez completada la instalación, la máquina se reinicia automáticamente de nuevo.

7. Una vez completado el reinicio, abra el cliente de Docker y acepte el contrato de suscripción de Docker.

8. Si no se completa la instalación de WSL2, se muestra un mensaje para indicar que el kernel de Linux de WSL 2 está instalado mediante un paquete de actualización MSI independiente.

9. Complete la instalación descargando el paquete. Para obtener más información, consulte Descarga del paquete de actualización del kernel de Linux.

10. Vuelva a abrir el cliente de Docker Desktop y asegúrese de que se ha iniciado.

11. Abra un símbolo del sistema como administrador y escriba el comando de ejecución que copió anteriormente del portal en Paso 1: Configuración del portal web.

    Si necesita configurar un proxy, agregue la dirección IP del proxy y el número de puerto. Por ejemplo, si los detalles del proxy son 172.31.255.255:8080, el comando de ejecución actualizado es:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

12. Para comprobar que el recopilador se ejecuta correctamente, ejecute:

    docker logs <collector_name>
    

    Debería ver el mensaje: ¡Ha finalizado correctamente! Por ejemplo:

    

Paso 3: Configuración local de los dispositivos de red

Configure los firewalls de red y los servidores proxy para exportar periódicamente los registros al puerto syslog dedicado del directorio FTP según las instrucciones del cuadro de diálogo. Por ejemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Paso 4: Comprobación de la implementación correcta en el portal

Compruebe el estado del recopilador en la tabla del recopilador de registros y asegúrese de que el estado es Conectado. Si se crea, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.

También puede ir al registro de gobernanza y comprobar que los registros se cargan periódicamente en el portal.

Como alternativa, puede comprobar el estado del recopilador de registros desde dentro del contenedor de Docker mediante los siguientes comandos:

1. Inicie sesión en el contenedor:

   docker exec -it <Container Name> bash
   

2. Compruebe el estado del recopilador de registros:

   collector_status -p
   

Si tiene problemas durante la implementación, consulte Solución de problemas de detección de nube.

Opcional: creación de informes continuos personalizados

Compruebe que los registros se cargan en Defender for Cloud Apps y que se generan informes. Después de la comprobación, cree informes personalizados. Puede crear informes de detección personalizados basados en Microsoft Entra grupos de usuarios. Por ejemplo, si desea ver el uso en la nube del departamento de marketing, importe el grupo de marketing mediante la característica importar grupo de usuarios. A continuación, cree un informe personalizado para este grupo. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.

1. En el portal de Microsoft Defender, seleccione Settings Cloud Apps Cloud Discovery Continuous reports (Configuración> deinformes continuos deCloud Apps>Cloud Discovery>).

2. Seleccione el botón Crear informe y rellene los campos.

3. En Filtros , puede filtrar los datos por origen de datos, por grupo de usuarios importados o por intervalos y etiquetas de direcciones IP.

   Nota:

   Al aplicar filtros en informes continuos, se incluirá la selección, no se excluirá. Por ejemplo, si aplica un filtro en un grupo de usuarios determinado, solo ese grupo de usuarios se incluirá en el informe.

   

Opcional: validación de la firma del instalador

Para asegurarse de que el instalador de Docker está firmado por Microsoft:

1. Haga clic con el botón derecho en el archivo y seleccione Propiedades.

2. Seleccione Firmas digitales y asegúrese de que dice Esta firma digital está bien.

3. Asegúrese de que Microsoft Corporation aparece como la única entrada en Nombre del firmante.

   

   Si la firma digital no es válida, dirá que esta firma digital no es válida:

   

Pasos siguientes

Modificación de la configuración de FTP del recopilador de registros

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.