Partager via

Configurer le chargement automatique des journaux à l’aide de Docker local sur Windows

  • Article

Vous pouvez configurer le chargement automatique des journaux pour les rapports continus dans Defender for Cloud Apps à l’aide d’un docker sur Windows.

Configuration requise

  • Spécifications de l’architecture :

    Spécification Description
    Système d’exploitation Un des éléments suivants :
  • Windows 10 (fall creators update)
  • Windows Server version 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Espace disque 250 Go
    Cœurs de processeur 2
    Architecture du processeur Intel 64 et AMD 64
    Mémoire RAM 4 Go

    Pour obtenir la liste des architectures Docker prises en charge, consultez la documentation sur l’installation de Docker.

  • Définissez votre pare-feu en fonction des besoins. Pour plus d’informations, consultez Configuration réseau requise.

  • La virtualisation sur le système d’exploitation doit être activée avec Hyper-V.

Importante

  • Les clients d’entreprise avec plus de 250 utilisateurs ou plus de 10 millions de dollars de chiffre d’affaires annuel ont besoin d’un abonnement payant pour utiliser Docker Desktop pour Windows. Pour plus d’informations, consultez Vue d’ensemble de l’abonnement Docker.
  • Un utilisateur doit être connecté pour que Docker collecte les journaux. Nous vous recommandons de conseiller à vos utilisateurs Docker de se déconnecter sans se déconnecter.
  • Docker pour Windows n’est pas officiellement pris en charge dans les scénarios de virtualisation VMWare.
  • Docker pour Windows n’est pas officiellement pris en charge dans les scénarios de virtualisation imbriquée. Si vous envisagez toujours d’utiliser la virtualisation imbriquée, reportez-vous au guide officiel de Docker.
  • Pour plus d’informations sur les considérations supplémentaires relatives à la configuration et à l’implémentation de Docker pour Windows, consultez Installer Docker Desktop sur Windows.

Supprimer un collecteur de journaux existant

Si vous disposez d’un collecteur de journaux existant et que vous souhaitez le supprimer avant de le déployer à nouveau, ou si vous souhaitez simplement le supprimer, exécutez les commandes suivantes :

docker stop <collector_name>
docker rm <collector_name>

Performances du collecteur de journaux

Le collecteur de journaux peut gérer avec succès une capacité de journal allant jusqu’à 50 Go par heure. Les goulots d’étranglement main dans le processus de collecte des journaux sont les suivants :

  • Bande passante réseau : votre bande passante réseau détermine la vitesse de chargement du journal.

  • Performances d’E/S de la machine virtuelle : détermine la vitesse à laquelle les journaux sont écrits sur le disque du collecteur de journaux. Le collecteur de journaux dispose d’un mécanisme de sécurité intégré qui surveille la vitesse d’arrivée des journaux et la compare au taux de chargement. En cas de congestion, le collecteur de journaux commence à supprimer les fichiers journaux. Si votre configuration dépasse généralement 50 Go par heure, il est recommandé de fractionner le trafic entre plusieurs collecteurs de journaux.

Étape 1 : configuration du portail web

Procédez comme suit pour définir vos sources de données et les lier à un collecteur de journaux. Un seul collecteur de journaux peut gérer plusieurs sources de données.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Cloud Apps>Cloud Discovery>Chargement automatique des journaux> sous l’ongletSources de données.

  2. Pour chaque pare-feu ou proxy à partir duquel vous souhaitez charger des journaux, créez une source de données correspondante :

    1. Sélectionnez +Ajouter une source de données.

      Capture d’écran du bouton Ajouter une source de données.

    2. Nommez votre proxy ou votre pare-feu.

      Capture d’écran de la boîte de dialogue Ajouter une source de données

    3. Sélectionnez le Appliance dans la liste Source. Si vous sélectionnez Format de journal personnalisé pour utiliser un Appliance réseau qui n’est pas répertorié, consultez Utilisation de l’analyseur de journal personnalisé pour obtenir des instructions de configuration.

    4. Comparez votre journal avec l’exemple du format de journal attendu. Si le format de votre fichier journal ne correspond pas à cet exemple, vous devez ajouter votre source de données en tant que Autre.

    5. Définissez le type de récepteur sur FTP, FTPS, Syslog – UDP ou Syslog – TCP ou Syslog – TLS.

      Remarque

      L’intégration à des protocoles de transfert sécurisé (FTPS et Syslog – TLS) nécessite souvent des paramètres supplémentaires pour votre pare-feu/proxy.

    6. Répétez ce processus pour chaque pare-feu et proxy dont les journaux peuvent être utilisés pour détecter le trafic sur votre réseau. Nous vous recommandons de configurer une source de données dédiée par appareil réseau pour vous permettre d’effectuer les opérations suivantes :

      • Surveillez les status de chaque appareil séparément, à des fins d’investigation.
      • Explorez Shadow IT Discovery par appareil, si chaque appareil est utilisé par un segment d’utilisateur différent.

  3. En haut de la page, sélectionnez l’onglet Collecteurs de journaux , puis sélectionnez Ajouter un collecteur de journaux.

  4. Dans la boîte de dialogue Créer un collecteur de journaux :

    1. Dans le champ Nom , entrez un nom explicite pour votre collecteur de journaux.

    2. Donnez un nom au collecteur de journaux et entrez l’adresse IP de l’hôte (adresse IP privée) de l’ordinateur que vous utiliserez pour déployer docker. L’adresse IP de l’hôte peut être remplacée par le nom de l’ordinateur, s’il existe un serveur DNS (ou équivalent) qui résout le nom d’hôte.

    3. Sélectionnez toutes les sources de données que vous souhaitez connecter au collecteur, puis sélectionnez Mettre à jour pour enregistrer la configuration.

      Des informations supplémentaires sur le déploiement s’affichent dans la section Étapes suivantes , notamment une commande que vous utiliserez ultérieurement pour importer la configuration du collecteur. Si vous avez sélectionné Syslog, ces informations incluent également des données sur le port sur lequel l’écouteur Syslog écoute.

    4. Utilisez l’icône Copier dans le Presse-papiers.Bouton Copier pour copier la commande dans le Presse-papiers et l’enregistrer à un emplacement distinct.

    5. Utilisez le bouton Exporterexporter pour exporter la configuration de source de données attendue. Cette configuration décrit comment définir l’exportation de journaux dans vos appliances.

Pour les utilisateurs qui envoient des données de journal via FTP pour la première fois, nous vous recommandons de modifier le mot de passe de l’utilisateur FTP. Pour plus d’informations, consultez Modification du mot de passe FTP.

Étape 2 : déploiement local de votre ordinateur

Les étapes suivantes décrivent le déploiement dans Windows. Les étapes de déploiement pour d’autres plateformes sont légèrement différentes.

  1. Ouvrez un terminal PowerShell en tant qu’administrateur sur votre ordinateur Windows.

  2. Exécutez la commande suivante pour télécharger le fichier de script Windows Docker Installer PowerShell :

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Pour vérifier que le programme d’installation est signé par Microsoft, consultez Valider la signature du programme d’installation.

  3. Pour activer l’exécution de scripts PowerShell, exécutez :

    Set-ExecutionPolicy RemoteSigned`

  4. Pour installer le client Docker sur votre ordinateur, exécutez :

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    L’ordinateur redémarre automatiquement après avoir exécuté la commande .

  5. Lorsque la machine est à nouveau opérationnelle, réexécutez la même commande :

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Exécutez le programme d’installation docker, en choisissant d’utiliser WSL 2 au lieu d’Hyper-V.

    Une fois l’installation terminée, l’ordinateur redémarre automatiquement.

  7. Une fois le redémarrage terminé, ouvrez le client Docker et acceptez le contrat d’abonnement Docker.

  8. Si l’installation de WSL2 n’est pas terminée, un message s’affiche pour indiquer que le noyau Linux WSL 2 est installé à l’aide d’un package de mise à jour MSI distinct.

  9. Terminez l’installation en téléchargeant le package. Pour plus d’informations, consultez Télécharger le package de mise à jour du noyau Linux.

  10. Ouvrez à nouveau le client Docker Desktop et vérifiez qu’il a démarré.

  11. Ouvrez une invite de commandes en tant qu’administrateur et entrez la commande d’exécution que vous avez copiée précédemment à partir du portail à l’étape 1 : Configuration du portail web.

    Si vous devez configurer un proxy, ajoutez l’adresse IP du proxy et le numéro de port. Par exemple, si les détails de votre proxy sont 172.31.255.255:8080, votre commande d’exécution mise à jour est la suivante :

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Pour vérifier que le collecteur s’exécute correctement, exécutez :

    docker logs <collector_name>

    Le message suivant doit s’afficher : Terminé avec succès ! Par exemple:

    Capture d’écran d’une commande exécutée correctement par le collecteur.

Étape 3 : Configuration locale de vos appliances réseau

Configurez vos pare-feu et proxys réseau pour exporter régulièrement les journaux vers le port Syslog dédié du répertoire FTP en fonction des instructions de la boîte de dialogue. Par exemple :

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Étape 4 : vérifier la réussite du déploiement dans le portail

Vérifiez le status du collecteur dans la table du collecteur de journaux et vérifiez que le status est Connecté. S’il est créé, il est possible que la connexion et l’analyse du collecteur de journaux ne soient pas terminées.

Vérifiez que le collecteur status est Connecté.

Vous pouvez également accéder au journal de gouvernance et vérifier que les journaux sont chargés régulièrement sur le portail.

Vous pouvez également case activée le collecteur de journaux status à partir du conteneur Docker à l’aide des commandes suivantes :

  1. Connectez-vous au conteneur :

    docker exec -it <Container Name> bash

  2. Vérifiez que le collecteur de journaux status :

    collector_status -p

Si vous rencontrez des problèmes pendant le déploiement, consultez Résolution des problèmes de découverte du cloud.

Facultatif - Créer des rapports continus personnalisés

Vérifiez que les journaux sont chargés dans Defender for Cloud Apps et que les rapports sont générés. Après vérification, créez des rapports personnalisés. Vous pouvez créer des rapports de découverte personnalisés basés sur Microsoft Entra groupes d’utilisateurs. Par exemple, si vous souhaitez voir l’utilisation cloud de votre service marketing, importez le groupe marketing à l’aide de la fonctionnalité Importer un groupe d’utilisateurs. Créez ensuite un rapport personnalisé pour ce groupe. Vous pouvez également personnaliser un rapport en fonction de la balise d’adresse IP ou des plages d’adresses IP.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres Cloud>Apps>Cloud Discovery>Rapports continus.

  2. Sélectionnez le bouton Créer un rapport et renseignez les champs.

  3. Sous Filtres , vous pouvez filtrer les données par source de données, par groupe d’utilisateurs importé ou par balises et plages d’adresses IP.

    Remarque

    Lors de l’application de filtres sur des rapports continus, la sélection est incluse, et non exclue. Par exemple, si vous appliquez un filtre sur un certain groupe d’utilisateurs, seul ce groupe d’utilisateurs sera inclus dans le rapport.

    Rapport continu personnalisé.

Facultatif - Valider la signature du programme d’installation

Pour vous assurer que le programme d’installation docker est signé par Microsoft :

  1. Cliquez avec le bouton droit sur le fichier et sélectionnez Propriétés.

  2. Sélectionnez Signatures numériques et assurez-vous que cette signature numérique est correcte.

  3. Assurez-vous que Microsoft Corporation est répertorié comme seule entrée sous Nom du signataire.

    Signature numérique valide.

    Si la signature numérique n’est pas valide, cette signature numérique n’est pas valide :

    Signature numérique non valide.

Étapes suivantes

Modifier la configuration FTP du collecteur de journaux

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.