Automaattisen lokin lataamisen määrittäminen Dockerin avulla Azuressa

Artikkeli
11/28/2024

Tässä artikkelissa kerrotaan, miten voit määrittää automaattiset lokien lataukset jatkuville raporteille Defender for Cloud Apps Käyttämällä Docker-toimintoa Ubuntussa tai CentOS:ssä Azuressa.

Ennakkovaatimukset

Ennen kuin aloitat, varmista, että ympäristösi täyttää seuraavat vaatimukset:

Vaatimus	Kuvaus
OS	Jokin seuraavista: - Ubuntu 14.04, 16.04, 18.04 ja 20.04 - CentOS 7.2 tai uudempi
Levytila	250 Gt
Suorittimen ytimet	2
Suoritinarkkitehtuuri	Intel 64 ja AMD 64
OINAS	4 Gt
Palomuurimääritys	Verkkovaatimuksissa määritetyllä tavalla

Suunnittele lokikeräimet suorituskyvyn mukaan

Jokainen lokinkeräin pystyy käsittelemään enintään 50 Gigatavua tunnissa olevan lokikapasiteetin, joka koostuu enintään 10 tietolähteestä. Lokinkeruuprosessin tärkeimmät pullonkaulat ovat seuraavat:

Verkon kaistanleveys – Verkon kaistanleveys määrittää lokin latausnopeuden.
Näennäiskoneen I/O-suorituskyky – Määrittää nopeuden, jolla lokit kirjoitetaan lokinkeräimen levylle. Lokikeräimissä on sisäinen turvamekanismi, joka valvoo lokien saapumisnopeutta ja vertaa sitä latausmäärään. Ruuhkautumisen yhteydessä lokinkeräin alkaa pudottaa lokitiedostoja. Jos määrityksesi ovat yleensä yli 50 Gt tunnissa, suosittelemme, että jaat liikenteen useiden lokikeräimien välillä.

Jos tarvitset yli 10 tietolähdettä, suosittelemme, että jaat tietolähteet useiden lokien keräilijöiden välillä.

Tietolähteiden määrittäminen

Valitse Microsoft Defender-portaalissa Asetukset > Pilvisovellukset Pilvipalvelun > etsinnän > automaattinen lokin lataaminen.
Luo Tietolähteet-välilehdessä vastaava tietolähde kullekin palomuurille tai välityspalvelimelle, josta haluat ladata lokit:
1. Valitse Lisää tietolähde.
2. Kirjoita Lisää tietolähde -valintaikkunaan tietolähteen nimi ja valitse sitten lähteen ja vastaanottimen tyyppi.
  
  Ennen kuin valitset lähteen, valitse Näytä esimerkki odotetusta lokitiedostosta ja vertaa lokia odotettuun muotoon. Jos lokitiedoston muoto ei vastaa tätä mallia, lisää tietolähteeksi Muu.
  
  Jos haluat käyttää verkkolaitetta, jota ei ole luettelossa, valitse Muu > asiakkaan lokimuoto tai Muu (vain manuaalinen). Lisätietoja on artikkelissa Mukautetun lokin jäsentimen käyttäminen.
Huomautus

Integrointi suojattujen siirtoprotokollien (FTPS ja Syslog – TLS) kanssa edellyttää usein lisäasetuksia tai palomuuria/välityspalvelinta.

Toista tämä prosessi jokaiselle palomuurille ja välityspalvelimelle, joiden lokien avulla voidaan tunnistaa liikennettä verkossasi.

Suosittelemme, että määrität verkkolaitetta kohden erillisen tietolähteen, jonka avulla voit valvoa kunkin laitteen tilaa erikseen tutkintaa varten ja tutkia laitekohtaisen varjostetun IT-etsinnän, jos kutakin laitetta käytetään eri käyttäjän segmentissä.

Luo lokikeräin

Valitse Microsoft Defender-portaalissa Asetukset > Pilvisovellukset Pilvipalvelun > etsinnän > automaattinen lokin lataaminen.
Valitse Log collectors -välilehdessä Lisää lokinkeräystoiminto.
Kirjoita Luo lokinkerääjä -valintaikkunaan seuraavat tiedot:
- Lokinkeräimen nimi
- Isännän IP-osoite, joka on sen tietokoneen yksityinen IP-osoite, jolla otat Dockerin käyttöön. Isäntä-IP-osoite voidaan korvata myös tietokoneen nimellä, jos isäntänimen ratkaisemiseen on DNS-palvelin tai vastaava osoite.
Valitse sitten Tietolähteet-ruutu ja valitse sitten tietolähteet, joihin haluat muodostaa yhteyden keräystoimintoon, ja tallenna muutokset valitsemalla Päivitä . Jokainen lokinkeräin pystyy käsittelemään useita tietolähteitä.

Luo lokinkerääjä -valintaikkunassa on lisätietoja käyttöönotosta, mukaan lukien keräimen määrityksen tuontikomento. Esimerkki:
Valitse Kopioi kuvake komennon vierestä ja kopioi se leikepöydälle.

Luo lokinkeräys -valintaikkunassa näkyvät tiedot vaihtelevat valittujen lähde- ja vastaanottajatyyppien mukaan. Jos valitsit esimerkiksi Syslog-tekstin, valintaikkunassa on tietoja siitä, mitä porttia syslog-kuuntelutoiminto kuuntelee.

Kopioi näytön sisältö ja tallenna ne paikallisesti, sillä tarvitset niitä, kun määrität lokinkeräimen vaihtamaan tietoja Defender for Cloud Apps kanssa.
Valitse Vie , jos haluat viedä lähdemääritykset .CSV-tiedostoon, jossa kuvataan lokin viennin määrittäminen laitteissasi.

Vihje

Jos käyttäjä lähettää lokitietoja FTP:n kautta ensimmäistä kertaa, suosittelemme vaihtamaan FTP-käyttäjän salasanan. Lisätietoja on artikkelissa FTP-salasanan vaihtaminen.

Ota koneesi käyttöön Azuressa

Tässä ohjeartikkelissa kuvataan, miten voit ottaa tietokoneen käyttöön Ubuntulla. Muiden ympäristöjen käyttöönottovaiheet ovat hieman erilaiset.

Luo uusi Ubuntu-kone Azure-ympäristössäsi.

Kun kone on käynnissä, avaa portit:

Siirry konenäkymässä kohtaan Verkkopalvelut ja valitse haluamasi liittymä kaksoisnapsauttamalla sitä.
Siirry verkon käyttöoikeusryhmään ja valitse haluamasi verkon käyttöoikeusryhmä.
Siirry saapuvan liikenteen suojaussääntöihin ja valitse Lisää.

Lisää seuraavat säännöt ( Lisäasetukset-tilassa ):

Nimi	Kohdeporttialueet	Protocol (Protokolla)	Lähde	Kohde
caslogcollector_ftp	21	TCP	`Your appliance's IP address's subnet`	Mikä tahansa
caslogcollector_ftp_passive	20000-20099	TCP	`Your appliance's IP address's subnet`	Mikä tahansa
caslogcollector_syslogs_tcp	601-700	TCP	`Your appliance's IP address's subnet`	Mikä tahansa
caslogcollector_syslogs_udp	514-600	UDP	`Your appliance's IP address's subnet`	Mikä tahansa

Lisätietoja on kohdassa Suojaussääntöjen käsitteleminen.

Siirry takaisin koneeseen ja avaa laitteen pääte valitsemalla Yhdistä .
Muuta pääoikeuksiksi käyttämällä -toimintoa sudo -i.
Jos hyväksyt ohjelmiston käyttöoikeussopimuksen ehdot, poista vanhojen versioiden asennus ja asenna Docker CE suorittamalla ympäristösi mukaiset komennot:
- Centos
- Ubuntu
1. Poista Dockerin vanhat versiot: yum erase docker docker-engine docker.io
2. Asenna Docker-moduulin edellytykset: yum install -y yum-utils
3. Lisää Docker-säilö:
```
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache
```
4. Asenna Docker-moduuli: yum -y install docker-ce
5. Käynnistä Docker
```
systemctl start docker
systemctl enable docker
```
6. Testaa Docker-asennusta: docker run hello-world
1. Poista Dockerin vanhat versiot: apt-get remove docker docker-engine docker.io
2. Jos olet asentamassa tiedostoa Ubuntu 14.04, asenna linux-image-extra-paketti.
```
apt-get update -y
apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
```
3. Asenna Docker-moduulin edellytykset:
```
apt-get update -y
(apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
```
4. Varmista, että apt-key-sormenjälki-UID on docker@docker.com: apt-key fingerprint | grep uid
5. Asenna Docker-moduuli:
```
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get update -y
apt-get install -y docker-ce
```
6. Testaa Docker-asennusta: docker run hello-world

Suorita aiemmin Kopioimasi komento Luo lokikeräys -valintaikkunasta. Esimerkki:

(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

Voit varmistaa, että lokinkeräin toimii oikein, suorittamalla seuraavan komennon: Docker logs <collector_name>. Sinun pitäisi saada tulokset: Onnistui!

Verkkolaitteen paikallisten asetusten määrittäminen

Määritä verkon palomuurit ja välityslaitteet viemään lokit määräajoin FTP-hakemiston erilliseen Syslog-porttiin valintaikkunan ohjeiden mukaisesti. Esimerkki:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Tarkista käyttöönotto Defender for Cloud Apps

Tarkista keräimen tila Log collector -taulukossa ja varmista, että tila on Yhdistetty. Jos se on luotu, lokinkeräysyhteys ja jäsennys eivät ehkä ole valmiita.

Esimerkki:

Voit myös siirtyä hallintolokiin ja varmistaa, että lokit ladataan ajoittain portaaliin.

Vaihtoehtoisesti voit tarkistaa lokinkerääjän tilan docker-säilöstä seuraavien komentojen avulla:

Kirjaudu säilöön tällä komennolla: docker exec -it <Container Name> bash
Tarkista lokinkerääjän tila tällä komennolla: collector_status -p

Jos sinulla on ongelmia käyttöönoton aikana, katso Pilven etsinnän vianmääritys.

Valinnainen – Luo mukautettuja jatkuvia raportteja

Varmista, että lokit ladataan Defender for Cloud Apps ja että raportit luodaan. Luo mukautettuja raportteja vahvistuksen jälkeen. Voit luoda mukautettuja etsintäraportteja Microsoft Entra käyttäjäryhmien perusteella. Jos esimerkiksi haluat tarkastella markkinointiosastosi pilvikäyttöä, tuo markkinointiryhmä tuontikäyttäjäryhmäominaisuuden avulla. Luo sitten mukautettu raportti tälle ryhmälle. Voit myös mukauttaa raporttia IP-osoitetunnisteen tai IP-osoitealueiden perusteella.

Valitse Microsoft Defender portaalissa Asetukset. Valitse sitten Pilvisovellukset.
Valitse Cloud Discovery -kohdasta Jatkuvat raportit.
Napsauta Luo raportti -painiketta ja täytä kentät.
Suodattimet-kohdassa voit suodattaa tiedot tietolähteen, tuodun käyttäjäryhmän tai IP-osoitetunnisteiden ja -alueiden mukaan.

Huomautus

Kun otat suodattimia käyttöön jatkuvissa raporteissa, valinta sisällytetään, eikä sitä jätetä pois. Jos esimerkiksi käytät suodatinta tietyssä käyttäjäryhmässä, raporttiin sisällytetään vain kyseinen käyttäjäryhmä.

Poista hirsikeräin

Jos sinulla on aiemmin luotu lokinkeräin ja haluat poistaa sen ennen sen käyttöönottoa uudelleen tai jos haluat poistaa sen, suorita seuraavat komennot:

docker stop <collector_name>
docker rm <collector_name>

Seuraavat vaiheet

Muokkaa lokinkeräimen FTP-määritystä

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.

Jaa