Azure での Docker を使用した自動ログ アップロードを構成する
この記事では、Ubuntu または Azure の CentOS 上の Docker を使用して、Defender for Cloud Apps の継続的レポートの自動ログ アップロードを構成する方法について説明します。
前提条件
始める前に、環境が次の要件を満たしていることを確認します。
要件 | 説明 |
---|---|
OS | 次のいずれかです。 - Ubuntu 14.04、16.04、18.04、20.04 - CentOS 7.2以降 |
ディスク領域 | 250 GB |
CPU コア | 2 |
CPU のアーキテクチャ | Intel 64 および AMD 64 |
RAM | 4 GB |
ファイアウォールの構成 | ネットワーク要件で 定義されているとおり |
パフォーマンス別にログ コレクターを計画する
各ログ コレクターは、最大 10 個のデータ ソースで構成される 1 時間あたり最大 50 GB のログ容量を正常に処理できます。 ログ収集プロセスの主なボトルネックは次のとおりです。
ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。
仮想マシンの I/O パフォーマンス - ログがログ コレクターのディスクに書き込まれる速度を決定します。 ログ コレクターには、ログの収集速度を監視して、アップロード速度と比較する安全メカニズムが組み込まれています。 輻輳の場合、ログ コレクターは、ログ ファイルの削除を開始します。 通常、セットアップが 1 時間あたり 50 GB を超える場合は、複数のログ コレクター間でトラフィックを分割することをお勧めします。
10 を超えるデータ ソースが必要な場合は、複数のログ コレクター間でデータ ソースを分割することをお勧めします。
データ ソースを定義する
Microsoft Defender Portal で、[設定] > [クラウド アプリ] > [Cloud Discovery] > [自動ログ アップロード] を選択します。
[データ ソース] タブで、ログをアップロードするファイアウォールまたはプロキシごとに、対応するデータ ソースを作成します。
[データ ソースの追加] を選択します。
[データ ソースの追加] ダイアログで、データ ソースの名前を入力し、ソースとレシーバーの種類を選択します。
ソースを選択する前に、[期待されるログ ファイルのサンプルを表示] を選択し、目的の形式とログを比較します。 ログ ファイルの形式がこのサンプルと一致しない場合は、[その他] としてデータ ソースを追加します。
一覧にないネットワーク アプライアンスを操作するには、[その他]> [顧客ログ形式] または [その他 (手動のみ)] を選択します。 詳細については、「カスタム ログ パーサーの使用」を参照してください。
Note
多くの場合、セキュリティで保護された転送プロトコル (FTPS、Syslog – TLS) と統合するには、ファイアウォール/プロキシの追加設定が必要です。
ネットワークのトラフィックを検出するために使用できるログの取得先であるファイアウォールおよびプロキシそれぞれに対して、この手順を繰り返します。
ネットワーク デバイスごとに専用のデータ ソースを設定し、調査目的で各デバイスの状態を個別に監視できるようにすることをお勧めします。各デバイスが異なるユーザー セグメントで使用されている場合は、デバイスごとのシャドウ IT Discovery を調べるために使用することもできるようになります。
ログ コレクターを作成する
Microsoft Defender Portal で、[設定] > [クラウド アプリ] > [Cloud Discovery] > [自動ログ アップロード] を選択します。
[ログ コレクター] タブで、[ログ コレクターの追加] を選択します。
[ログ コレクターの作成] ダイアログで、次の詳細を入力します。
- ログ コレクターの名前
- Docker のデプロイに使用するマシンのホスト IP アドレス (プライベート IP アドレス) ホスト名を解決する DNS サーバー (または同等の機能) がある場合、ホスト IP アドレスをコンピューター名で置換することもできます。
次に、[データ ソース] ボックスからコレクターに接続するデータ ソースを選択し、[更新] を選択して変更を保存します。 各ログ コレクターで複数のデータ ソースを処理できます。
[ログ コレクターの 作成] ダイアログには、コレクター 構成をインポートするコマンドなど、デプロイの詳細が表示されます。 次に例を示します。
コマンドの横にある [コピー] アイコンを選択して、コマンドをクリップボードにコピーします。
[ログ コレクターの作成] ダイアログに表示される詳細は、選択したソースと受信者の種類によって異なります。 たとえば、Syslog を選択した場合、Syslog リスナーがリッスンしているポートの詳細がダイアログに表示されます。
画面の内容は、Defender for Cloud Apps と通信できるようログ コレクターを構成するときに必要になるため、コピーしてローカルに保存します。
[エクスポート] を選択して、アプライアンスでログ エクスポートを構成する方法を説明する CSV ファイルにソース構成をエクスポートします。
ヒント
初めて FTP 経由でログデータを送信するユーザーは、FTP ユーザーのパスワードを変更することをお勧めします。 詳細については、「FTPパスワードの変更」を参照してください。
Azure にマシンをデプロイする
この手順では、Ubuntu を使用してマシンをデプロイする方法について説明します。 他のプラットフォームの展開手順は若干異なります。
Azure 環境内で新しい Ubuntu マシンを作成します。
マシンが起動したら、ポートを開きます。
マシン ビューで、[ネットワーク] に移動して、関連するインターフェイスをダブルクリックして選択します。
[ネットワーク セキュリティ グループ] に移動して、関連するネットワーク セキュリティ グループを選択します。
[受信セキュリティ規則] に移動して [追加] をクリックします。
次の規則を追加します (詳細設定モード)。
Name 宛先ポート範囲 プロトコル ソース 宛先 caslogcollector_ftp 21 TCP Your appliance's IP address's subnet
[任意] caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet
[任意] caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet
[任意] caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet
[任意]
詳細については、「セキュリティ ルールの使用」をご覧ください。
マシンに戻って、[接続] をクリックし、マシン上のターミナルを開きます。
sudo -i
を使ってルート権限に変更します。ソフトウェア ライセンス条項に同意する場合は、環境に適したコマンドを実行して古いバージョンをアンインストールし、Docker CE をインストールします。
古いバージョンの Docker を削除します。
yum erase docker docker-engine docker.io
Docker エンジンの前提条件をインストールします:
yum install -y yum-utils
Docker リポジトリを追加します。
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache
Docker エンジンをインストールします:
yum -y install docker-ce
Dockerを起動する
systemctl start docker systemctl enable docker
Docker インストールのテスト:
docker run hello-world
[ログ コレクターの作成] ダイアログから、先ほどコピーしたコマンドを実行します。 次に例を示します。
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
コマンド
Docker logs <collector_name>
を実行して、ログ コレクターが正しく動作していることを確認します。 ”Finished successfully!” という結果を受け取ります。
ネットワーク アプライアンスのオンプレミス設定を構成する
ネットワーク ファイアウォールとプロキシを、ダイアログの指示に従って FTP ディレクトリの専用 Syslog ポートにログが定期的にエクスポートされるように構成します。 次に例を示します。
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Defender for Cloud Apps でのデプロイの確認
[ログ コレクター] の表でコレクターの状態をチェックし、状態が [接続済み] であることを確認します。 [作成済み] の場合は、ログ コレクターの接続と解析が完了していない可能性があります。
次に例を示します。
ガバナンス ログに移動して、ログがポータルに定期的にアップロードされていることを確認することもできます。
あるいは、次のコマンドを使用して、Docker コンテナ内からログ コレクターのステータスを確認することもできます。
- 次のコマンドを使用してコンテナにログインします:
docker exec -it <Container Name> bash
- 次のコマンドを使用して、ログ コレクターのステータスを確認します。
collector_status -p
デプロイ中に問題が発生した場合は、「クラウド ディスカバリーのトラブルシューティング」を参照してください。
省略可能 - カスタムの継続的レポートを作成する
ログが Defender for Cloud Apps にアップロードされ、レポートが生成されていることを確認します。 検証の後、カスタム レポートを作成します。 Microsoft Entra ユーザー グループに基づいて、カスタム検出レポートを作成できます。 たとえば、マーケティング部門のクラウドの使用状況を確認する場合、ユーザー グループのインポート機能を使用してマーケティング グループをインポートします。 次に、このグループに対するカスタム レポートを作成します。 また、IP アドレス タグや IP アドレスの範囲に基づいてレポートをカスタマイズすることもできます。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
[Cloud Discovery] で、[継続的レポート] を選択します。
[レポートの作成] ボタンをクリックし、フィールドに入力します。
[フィルター] では、データ ソース、インポートされたユーザー グループ、または IP アドレスのタグと範囲を指定してフィルターすることができます。
Note
継続レポートにフィルターを適用すると、選択内容は除外されずに含まれます。 たとえば、特定のユーザー グループにフィルターを適用すると、そのユーザー グループのみがレポートに含まれます。
ログ コレクターを削除する
既存のログ コレクターがあり、それを再度デプロイする前に削除したい場合、または単に削除したい場合は、次のコマンドを実行します。
docker stop <collector_name>
docker rm <collector_name>
次のステップ
問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。