次の方法で共有

オンプレミスの Docker on Windows を使用してログの自動アップロードを構成する

  • [アーティクル]

Windows 上の Docker を使用して、Defender for Cloud Appsで継続的レポートの自動ログ アップロードを構成できます。

前提条件

  • アーキテクチャの仕様:

    仕様 説明
    オペレーティング システム 以下のいずれか:
  • Windows 10 (Fall creators update)
  • Windows Server バージョン 1709 以降 (SAC)
  • Windows Server 2019 (LTSC)
    		•
    ディスク領域 250 GB
    CPU コア 2
    CPU アーキテクチャ Intel 64 と AMD 64
    RAM 4 GB

    サポートされている Docker アーキテクチャの一覧については、 Docker のインストールに関するドキュメントを参照してください

  • 必要に応じてファイアウォールを設定します 。 詳細については、「ネットワーク要件」を参照してください。

  • オペレーティング システム上の仮想化は、Hyper-V で有効にする必要があります。

重要

  • 250 人を超えるユーザーまたは年間収益が 1,000 万米ドルを超えるエンタープライズのお客様は、Docker Desktop for Windows を使用するために有料サブスクリプションが必要です。 詳細については、「 Docker サブスクリプションの概要」を参照してください。
  • Docker がログを収集するには、ユーザーがサインインしている必要があります。 Docker ユーザーには、サインアウトせずに切断することをお勧めします。
  • Docker for Windows は、VMWare 仮想化シナリオでは正式にはサポートされていません。
  • Docker for Windows は、入れ子になった仮想化シナリオでは公式にはサポートされていません。 それでも入れ子になった仮想化を使用する予定の場合 は、Docker の公式ガイドを参照してください。
  • Docker for Windows の追加の構成と実装に関する考慮事項については、「Windows に Docker Desktop をインストールする」を参照してください。

既存のログ コレクターを削除する

既存のログ コレクターがあり、再度デプロイする前に削除する場合、または単に削除する場合は、次のコマンドを実行します。

docker stop <collector_name>
docker rm <collector_name>

ログ コレクターのパフォーマンス

ログ コレクターは、1 時間あたり最大 50 GB のログ容量を正常に処理できます。 ログ収集プロセスのメインボトルネックは次のとおりです。

  • ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。

  • 仮想マシンの I/O パフォーマンス - ログ コレクターのディスクにログを書き込む速度を決定します。 ログ コレクターには、ログが到着したレートを監視し、アップロード率と比較する安全メカニズムが組み込まれています。 輻輳が発生した場合、ログ コレクターはログ ファイルの削除を開始します。 通常、セットアップが 1 時間あたり 50 GB を超える場合は、複数のログ コレクター間でトラフィックを分割することをお勧めします。

手順 1 – Web ポータルの構成

次の手順を使用して、データ ソースを定義し、それらをログ コレクターにリンクします。 1 つのログ コレクターで複数のデータ ソースを処理できます。

  1. Microsoft Defender ポータルで、[設定>Cloud Apps>Cloud Discovery>自動ログ アップロード>[データ ソース] タブを選択します。

  2. ログをアップロードするファイアウォールまたはプロキシごとに、一致するデータ ソースを作成します。

    1. [ + データ ソースの追加] を選択します

      [データ ソースの追加] ボタンのスクリーンショット。

    2. プロキシまたはファイアウォールに名前を付けます。

      [データ ソースの追加] ダイアログのスクリーンショット

    3. [ソース] ボックスの一覧からアプライアンスを選択します。 一覧にないネットワーク アプライアンスを操作するために [カスタム ログ形式] を選択した場合は、構成手順については、「カスタム ログ パーサーの使用」を参照してください。

    4. ログを、予想されるログ形式のサンプルと比較します。 ログ ファイルの形式がこのサンプルと一致しない場合は、データ ソースを [その他] として追加する必要があります。

    5. 受信者の 種類FTPFTPSSyslog - UDP、または Syslog – TCP、または Syslog – TLS のいずれかに設定します。

      注:

      セキュリティで保護された転送プロトコル (FTPS と Syslog – TLS) との統合には、ファイアウォール/プロキシの追加設定が必要な場合がよくあります。

    6. ネットワーク上のトラフィックを検出するためにログを使用できるファイアウォールとプロキシごとに、このプロセスを繰り返します。 次のことができるように、ネットワーク デバイスごとに専用データ ソースを設定することをお勧めします。

      • 調査目的で、各デバイスの状態を個別に監視します。
      • 各デバイスが異なるユーザー セグメントで使用されている場合は、デバイスごとのシャドウ IT 検出について調べる。

  3. ページの上部にある [ ログ コレクター ] タブを選択し、[ ログ コレクターの追加] を選択します。

  4. [ログ コレクターの作成] ダイアログで、次の 手順を実行 します。

    1. [ 名前 ] フィールドに、ログ コレクターのわかりやすい名前を入力します。

    2. ログ コレクターに 名前 を付け、Docker のデプロイに使用するマシンの ホスト IP アドレス (プライベート IP アドレス) を入力します。 ホスト IP アドレスは、ホスト名を解決する DNS サーバー (またはそれと同等) がある場合は、マシン名に置き換えることができます。

    3. コレクターに接続するすべての データ ソース を選択し、[ 更新 ] を選択して構成を保存します。

      詳細なデプロイ情報は、[ 次の手順 ] セクションに表示されます。これには、後でコレクター構成をインポートするために使用するコマンドが含まれます。 Syslog を選択した場合、この情報には、Syslog リスナーがリッスンしているポートに関するデータも含まれます。

    4. クリップボードへのコピー アイコンを使用します。 [コピー] ボタンをクリックしてコマンドをクリップボードにコピーし、別の場所に保存します。

    5. [エクスポート ] ボタンを使用して、想定されるデータ ソース構成をエクスポートします。 この構成では、アプライアンスでログ エクスポートを設定する方法について説明します。

FTP 経由でログ データを初めて送信するユーザーの場合は、FTP ユーザーのパスワードを変更することをお勧めします。 詳細については、「 FTP パスワードの変更」を参照してください。

手順 2 – コンピューターのオンプレミスデプロイ

次の手順では、Windows での展開について説明します。 他のプラットフォームのデプロイ手順は若干異なります。

  1. Windows マシンの管理者として PowerShell ターミナルを開きます。

  2. 次のコマンドを実行して、Windows Docker インストーラー PowerShell スクリプト ファイルをダウンロードします。

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    インストーラーが Microsoft によって署名されていることを検証するには、「インストーラー署名の 検証」を参照してください。

  3. PowerShell スクリプトの実行を有効にするには、次を実行します。

    Set-ExecutionPolicy RemoteSigned`

  4. コンピューターに Docker クライアントをインストールするには、次のコマンドを実行します。

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    コマンドを実行すると、マシンが自動的に再起動します。

  5. マシンが起動し、もう一度実行されている場合は、同じコマンドをもう一度実行します。

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Docker インストーラーを実行し、Hyper-V ではなく WSL 2 を使用するように選択します。

    インストールが完了すると、マシンは自動的に再起動します。

  7. 再起動が完了したら、Docker クライアントを開き、Docker サブスクリプション契約に同意します。

  8. WSL2 のインストールが完了していない場合は、WSL 2 Linux カーネルが別の MSI 更新パッケージを使用してインストールされていることを示すメッセージが表示されます。

  9. パッケージをダウンロードしてインストールを完了します。 詳細については、「 Linux カーネル更新プログラム パッケージをダウンロードする」を参照してください。

  10. Docker Desktop クライアントをもう一度開き、起動していることを確認します。

  11. 管理者としてコマンド プロンプトを開き、 手順 1 - Web ポータルの構成でポータルから先ほどコピーした実行コマンドを入力します。

    プロキシを構成する必要がある場合は、プロキシ IP アドレスとポート番号を追加します。 たとえば、プロキシの詳細が 172.31.255.255:8080 の場合、更新された実行コマンドは次のようになります。

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. コレクターが正しく実行されていることを確認するには、次を実行します。

    docker logs <collector_name>

    "正常に完了しました" というメッセージ が表示されます。 例えば:

    コレクターが正常に実行されているコマンドのスクリーンショット。

手順 3 - ネットワーク アプライアンスのオンプレミス構成

ダイアログの指示に従って、FTP ディレクトリの専用 Syslog ポートにログを定期的にエクスポートするようにネットワーク ファイアウォールとプロキシを構成します。 以下に例を示します。

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

手順 4 - ポータルでデプロイが成功したことを確認する

ログ コレクター テーブルでコレクターの状態を確認し、状態が [接続済み] であることを確認します。 [作成済み] の場合は、ログ コレクターの接続と解析が完了していない可能性があります。

コレクターの状態が [接続済み] であることを確認します。

ガバナンス ログ に移動し、ログがポータルに定期的にアップロードされていることを確認することもできます。

または、次のコマンドを使用して、docker コンテナー内からログ コレクターの状態をチェックすることもできます。

  1. コンテナーにサインインします。

    docker exec -it <Container Name> bash

  2. ログ コレクターの状態を確認します。

    collector_status -p

デプロイ中に問題が発生した場合は、「 クラウド検出のトラブルシューティング」を参照してください。

省略可能 - カスタムの連続レポートを作成する

ログがDefender for Cloud Appsにアップロードされていること、およびレポートが生成されていることを確認します。 検証後、カスタム レポートを作成します。 ユーザー グループに基づいてカスタム検出レポートMicrosoft Entra作成できます。 たとえば、マーケティング部門のクラウド使用を確認する場合は、ユーザー グループのインポート機能を使用してマーケティング グループをインポートします。 次に、このグループのカスタム レポートを作成します。 IP アドレス タグまたは IP アドレス範囲に基づいてレポートをカスタマイズすることもできます。

  1. Microsoft Defender ポータルで、設定>Cloud Apps>Cloud Discovery>Continuous reports を選択します

  2. [ レポートの作成 ] ボタンを選択し、フィールドに入力します。

  3. [ フィルター ] では、データ ソース、 インポートされたユーザー グループ、または IP アドレス タグと範囲によってデータをフィルター処理できます。

    注:

    連続レポートにフィルターを適用する場合、選択内容は除外されずに含まれます。 たとえば、特定のユーザー グループにフィルターを適用すると、そのユーザー グループのみがレポートに含まれます。

    カスタムの連続レポート。

省略可能 - インストーラー署名を検証する

Docker インストーラーが Microsoft によって署名されていることを確認するには、次の手順を実行します。

  1. ファイルを右クリックし、[プロパティ] を選択 します

  2. [ デジタル署名] を選択し、[ このデジタル署名は OK] と表示されていることを確認します。

  3. Microsoft Corporation が [署名者の名前] の下の唯一のエントリとして一覧表示されていることを確認します。

    デジタル署名が有効です。

    デジタル署名が有効でない場合は、 このデジタル署名が無効であると表示されます。

    デジタル署名が無効です。

次の手順

ログ コレクターの FTP 構成を変更する

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。