Configurer le chargement automatique des journaux à l’aide de Docker dans Azure

Article
11/28/2024

Cet article explique comment configurer les chargements automatiques de journaux pour les rapports continus dans Defender for Cloud Apps à l’aide d’un Docker sur Ubuntu ou centOS dans Azure.

Configuration requise

Avant de commencer, assurez-vous que votre environnement répond aux exigences suivantes :

Conditions requises	Description
Système d’exploitation	Un des éléments suivants : - Ubuntu 14.04, 16.04, 18.04 et 20.04 - CentOS 7.2 ou version ultérieure
Espace disque	250 Go
Cœurs de processeur	2
Architecture du processeur	Intel 64 et AMD 64
Mémoire RAM	4 Go
Configuration du pare-feu	Comme défini dans Configuration réseau requise

Planifier vos collecteurs de journaux par performances

Chaque collecteur de journaux peut gérer avec succès une capacité de journal allant jusqu’à 50 Go par heure, comprenant jusqu’à 10 sources de données. Les goulots d’étranglement main dans le processus de collecte des journaux sont les suivants :

Bande passante réseau : votre bande passante réseau détermine la vitesse de chargement du journal.
Performances d’E/S de la machine virtuelle : détermine la vitesse à laquelle les journaux sont écrits sur le disque du collecteur de journaux. Le collecteur de journaux dispose d’un mécanisme de sécurité intégré qui surveille la vitesse d’arrivée des journaux et la compare au taux de chargement. En cas de congestion, le collecteur de journaux commence à supprimer les fichiers journaux. Si votre configuration dépasse généralement 50 Go par heure, nous vous recommandons de fractionner le trafic entre plusieurs collecteurs de journaux.

Si vous avez besoin de plus de 10 sources de données, nous vous recommandons de fractionner les sources de données entre plusieurs collecteurs de journaux.

Définir vos sources de données

Dans le portail Microsoft Defender, sélectionnez Paramètres > Cloud Apps > Chargement automatique des journaux Cloud Discovery>.
Sous l’onglet Sources de données , créez une source de données correspondante pour chaque pare-feu ou proxy à partir duquel vous souhaitez charger les journaux :
1. Sélectionnez Ajouter une source de données.
2. Dans la boîte de dialogue Ajouter une source de données , entrez un nom pour votre source de données, puis sélectionnez la source et le type de récepteur.
  
  Avant de sélectionner une source, sélectionnez Afficher l’exemple de fichier journal attendu et comparez votre journal au format attendu. Si le format de votre fichier journal ne correspond pas à cet exemple, ajoutez votre source de données en tant que Autre.
  
  Pour utiliser un Appliance réseau qui n’est pas répertorié, sélectionnez Autre > format de journal client ou Autre (manuel uniquement) . Pour plus d’informations, consultez Utilisation de l’analyseur de journal personnalisé.
Remarque

L’intégration à des protocoles de transfert sécurisé (FTPS et Syslog – TLS) nécessite souvent des paramètres supplémentaires sur votre pare-feu/proxy. Pour plus d’informations, consultez Gestion avancée du collecteur de journaux.

Répétez ce processus pour chaque pare-feu et proxy dont les journaux peuvent être utilisés pour détecter le trafic sur votre réseau.

Nous vous recommandons de configurer une source de données dédiée par appareil réseau, ce qui vous permet de surveiller les status de chaque appareil séparément à des fins d’investigation, et d’explorer shadow IT Discovery par appareil si chaque appareil est utilisé par un segment d’utilisateur différent.

Créer un collecteur de journaux

Dans le portail Microsoft Defender, sélectionnez Paramètres > Cloud Apps > Chargement automatique des journaux Cloud Discovery>.
Sous l’onglet Collecteurs de journaux , sélectionnez Ajouter un collecteur de journaux.
Dans la boîte de dialogue Créer un collecteur de journaux , entrez les informations suivantes :
- Nom de votre collecteur de journaux
- L’adresse IP de l’hôte, qui est l’adresse IP privée de l’ordinateur que vous utiliserez pour déployer Docker. L’adresse IP de l’hôte peut également être remplacée par le nom de l’ordinateur, s’il existe un serveur DNS ou un équivalent pour résoudre le nom d’hôte.
Sélectionnez ensuite la ou les sources de données pour sélectionner les sources de données que vous souhaitez connecter au collecteur, puis sélectionnez Mettre à jour pour enregistrer vos modifications. Chaque collecteur de journaux peut gérer plusieurs sources de données.

La boîte de dialogue Créer un collecteur de journaux affiche d’autres détails de déploiement, notamment une commande pour importer la configuration du collecteur. Par exemple :
Sélectionnez Icône Copier en regard de la commande pour la copier dans le Presse-papiers.

Les détails affichés dans la boîte de dialogue Créer un collecteur de journaux diffèrent selon les types de source et de récepteur sélectionnés. Par exemple, si vous avez sélectionné Syslog, la boîte de dialogue inclut des détails sur le port sur lequel l’écouteur syslog écoute.

Copiez le contenu de l’écran et enregistrez-le localement, car vous en aurez besoin lorsque vous configurerez le collecteur de journaux pour communiquer avec Defender for Cloud Apps.
Sélectionnez Exporter pour exporter la configuration source vers un fichier .CSV qui décrit comment configurer l’exportation de journal dans vos appliances.

Conseil

Pour les utilisateurs qui envoient des données de journal via FTP pour la première fois, nous vous recommandons de modifier le mot de passe de l’utilisateur FTP. Pour plus d’informations, consultez Modification du mot de passe FTP.

Déployer votre machine dans Azure

Cette procédure décrit comment déployer votre machine avec Ubuntu. Les étapes de déploiement pour d’autres plateformes sont légèrement différentes.

Créez une machine Ubuntu dans votre environnement Azure.

Une fois la machine en place, ouvrez les ports :

Dans la vue de l’ordinateur, accédez à Mise en réseau , sélectionnez l’interface appropriée en double-cliquant dessus.
Accédez à Groupe de sécurité réseau et sélectionnez le groupe de sécurité réseau approprié.
Accédez à Règles de sécurité de trafic entrant , puis cliquez sur Ajouter.

Ajoutez les règles suivantes (en mode Avancé ) :

Nom	Plages de ports de destination	Protocole	Source	Destination
caslogcollector_ftp	21	TCP	`Your appliance's IP address's subnet`	N’importe lequel
caslogcollector_ftp_passive	20000-20099	TCP	`Your appliance's IP address's subnet`	N’importe lequel
caslogcollector_syslogs_tcp	601-700	TCP	`Your appliance's IP address's subnet`	N’importe lequel
caslogcollector_syslogs_udp	514-600	UDP	`Your appliance's IP address's subnet`	N’importe lequel

Pour plus d’informations, consultez Utiliser des règles de sécurité.

Retour à l’ordinateur et cliquez sur Se connecter pour ouvrir un terminal sur l’ordinateur.
Passez aux privilèges racine à l’aide de sudo -i.
Si vous acceptez les termes du contrat de licence logiciel, désinstallez les anciennes versions et installez Docker CE en exécutant les commandes appropriées pour votre environnement :
- CentOS
- Ubuntu
1. Supprimez les anciennes versions de Docker : yum erase docker docker-engine docker.io
2. Installez les prérequis du moteur Docker : yum install -y yum-utils
3. Ajouter un référentiel Docker :
```
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache
```
4. Installez le moteur Docker : yum -y install docker-ce
5. Démarrer Docker
```
systemctl start docker
systemctl enable docker
```
6. Tester l’installation de Docker : docker run hello-world
1. Supprimez les anciennes versions de Docker : apt-get remove docker docker-engine docker.io
2. Si vous installez sur Ubuntu 14.04, installez le package linux-image-extra.
```
apt-get update -y
apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
```
3. Installez les prérequis du moteur Docker :
```
apt-get update -y
(apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
```
4. Vérifiez que l’UID apt-empreinte digitale de clé est docker@docker.com:apt-key fingerprint | grep uid
5. Installez le moteur Docker :
```
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get update -y
apt-get install -y docker-ce
```
6. Tester l’installation de Docker : docker run hello-world

Exécutez la commande que vous avez copiée précédemment à partir de la boîte de dialogue Créer un collecteur de journaux . Par exemple :

(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

Pour vérifier que le collecteur de journaux s’exécute correctement, exécutez la commande suivante : Docker logs <collector_name>. Vous devez obtenir les résultats : Terminé avec succès !

Configurer les paramètres Appliance réseau locaux

Configurez vos pare-feu et proxys réseau pour exporter régulièrement les journaux vers le port Syslog dédié du répertoire FTP en fonction des instructions de la boîte de dialogue. Par exemple :

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Vérifier votre déploiement dans Defender for Cloud Apps

Vérifiez le status du collecteur dans la table Collecteur de journaux et vérifiez que le status est Connecté. S’il est créé, il est possible que la connexion et l’analyse du collecteur de journaux ne soient pas terminées.

Par exemple :

Vous pouvez également accéder au journal de gouvernance et vérifier que les journaux sont chargés régulièrement sur le portail.

Vous pouvez également case activée le collecteur de journaux status à partir du conteneur Docker à l’aide des commandes suivantes :

Connectez-vous au conteneur à l’aide de la commande suivante : docker exec -it <Container Name> bash
Vérifiez que le collecteur de journaux status à l’aide de cette commande :collector_status -p

Si vous rencontrez des problèmes pendant le déploiement, consultez Résolution des problèmes de découverte du cloud.

Facultatif - Créer des rapports continus personnalisés

Vérifiez que les journaux sont chargés dans Defender for Cloud Apps et que les rapports sont générés. Après vérification, créez des rapports personnalisés. Vous pouvez créer des rapports de découverte personnalisés basés sur Microsoft Entra groupes d’utilisateurs. Par exemple, si vous souhaitez voir l’utilisation cloud de votre service marketing, importez le groupe marketing à l’aide de la fonctionnalité Importer un groupe d’utilisateurs. Créez ensuite un rapport personnalisé pour ce groupe. Vous pouvez également personnaliser un rapport en fonction de la balise d’adresse IP ou des plages d’adresses IP.

Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps.
Sous Cloud Discovery, sélectionnez Rapports continus.
Cliquez sur le bouton Créer un rapport et renseignez les champs.
Sous Filtres , vous pouvez filtrer les données par source de données, par groupe d’utilisateurs importé ou par balises et plages d’adresses IP.

Remarque

Lors de l’application de filtres sur des rapports continus, la sélection est incluse, et non exclue. Par exemple, si vous appliquez un filtre sur un certain groupe d’utilisateurs, seul ce groupe d’utilisateurs sera inclus dans le rapport.

Supprimer votre collecteur de journaux

Si vous disposez d’un collecteur de journaux existant et que vous souhaitez le supprimer avant de le déployer à nouveau, ou si vous souhaitez simplement le supprimer, exécutez les commandes suivantes :

docker stop <collector_name>
docker rm <collector_name>

Étapes suivantes

Modifier la configuration FTP du collecteur de journaux

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.

Partager via