Delen via

Automatisch uploaden van logboeken configureren met on-premises Docker in Windows

  • Artikel

U kunt het automatisch uploaden van logboeken configureren voor doorlopende rapporten in Defender for Cloud Apps met behulp van een Docker in Windows.

Vereisten

  • Architectuurspecificaties:

    Specificatie Beschrijving
    Besturingssysteem Een van de volgende opties:
  • Windows 10 (fall creators update)
  • Windows Server versie 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Schijfruimte 250 GB
    CPU-kernen 2
    CPU-architectuur Intel 64 en AMD 64
    RAM 4 GB

    Zie Docker-installatiedocumentatie voor een lijst met ondersteunde Docker-architecturen.

  • Stel uw firewall zo nodig in. Zie Netwerkvereisten voor meer informatie.

  • Virtualisatie op het besturingssysteem moet zijn ingeschakeld met Hyper-V.

Belangrijk

  • Enterprise-klanten met meer dan 250 gebruikers of meer dan $ 10 miljoen USD aan jaarlijkse omzet hebben een betaald abonnement nodig om Docker Desktop voor Windows te gebruiken. Zie Overzicht van Docker-abonnementen voor meer informatie.
  • Een gebruiker moet zijn aangemeld voor Docker om logboeken te kunnen verzamelen. We raden u aan uw Docker-gebruikers te adviseren de verbinding te verbreken zonder u af te melden.
  • Docker voor Windows wordt niet officieel ondersteund in VMWare-virtualisatiescenario's.
  • Docker voor Windows wordt niet officieel ondersteund in geneste virtualisatiescenario's. Als u nog steeds van plan bent geneste virtualisatie te gebruiken, raadpleegt u de officiële handleiding van Docker.
  • Zie Docker Desktop installeren in Windows voor meer informatie over aanvullende overwegingen voor de configuratie en implementatie van Docker voor Windows.

Een bestaande logboekverzamelaar verwijderen

Als u een bestaande logboekverzamelaar hebt en deze wilt verwijderen voordat u deze opnieuw implementeert, of als u deze gewoon wilt verwijderen, voert u de volgende opdrachten uit:

docker stop <collector_name>
docker rm <collector_name>

Prestaties van logboekverzamelaar

De logboekverzamelaar kan een logboekcapaciteit van maximaal 50 GB per uur verwerken. De belangrijkste knelpunten in het logboekverzamelingsproces zijn:

  • Netwerkbandbreedte: uw netwerkbandbreedte bepaalt de snelheid van het uploaden van logboeken.

  • I/O-prestaties van de virtuele machine: bepaalt de snelheid waarmee logboeken naar de schijf van de logboekverzamelaar worden geschreven. De logboekverzamelaar heeft een ingebouwd veiligheidsmechanisme dat de snelheid bewaakt waarmee logboeken binnenkomen en deze vergelijkt met de uploadsnelheid. In geval van congestie begint de logboekverzamelaar logboekbestanden te verwijderen. Als uw installatie doorgaans groter is dan 50 GB per uur, wordt u aangeraden het verkeer te splitsen tussen meerdere logboekverzamelaars.

Stap 1: configuratie van webportal

Gebruik de volgende stappen om uw gegevensbronnen te definiëren en deze te koppelen aan een logboekverzamelaar. Eén logboekverzamelaar kan meerdere gegevensbronnen verwerken.

  1. Selecteer in de Microsoft Defender portal Instellingen>Cloud Apps>Cloud Discovery>Het tabblad Gegevensbronnen automatisch uploaden van logboeken>.

  2. Maak een overeenkomende gegevensbron voor elke firewall of proxy van waaruit u logboeken wilt uploaden:

    1. Selecteer +Gegevensbron toevoegen.

      Schermopname van de knop Gegevensbron toevoegen.

    2. Geef uw proxy of firewall een naam.

      Schermopname van het dialoogvenster Gegevensbron toevoegen

    3. Selecteer het apparaat in de lijst Bron . Als u Aangepaste logboekindeling selecteert om te werken met een netwerkapparaat dat niet wordt vermeld, raadpleegt u Werken met de aangepaste logboekparser voor configuratie-instructies.

    4. Vergelijk uw logboek met het voorbeeld van de verwachte logboekindeling. Als de indeling van uw logboekbestand niet overeenkomt met dit voorbeeld, moet u uw gegevensbron toevoegen als Overige.

    5. Stel het type ontvanger in op FTP, FTPS, Syslog – UDP of Syslog – TCP of Syslog – TLS.

      Opmerking

      Voor integratie met beveiligde overdrachtsprotocollen (FTPS en Syslog – TLS) zijn vaak aanvullende instellingen voor uw firewall/proxy vereist.

    6. Herhaal dit proces voor elke firewall en proxy waarvan de logboeken kunnen worden gebruikt om verkeer op uw netwerk te detecteren. U wordt aangeraden per netwerkapparaat een toegewezen gegevensbron in te stellen, zodat u het volgende kunt doen:

      • Controleer de status van elk apparaat afzonderlijk voor onderzoeksdoeleinden.
      • Verken Shadow IT Discovery per apparaat als elk apparaat wordt gebruikt door een ander gebruikerssegment.

  3. Selecteer bovenaan de pagina het tabblad Logboekverzamelaars en selecteer vervolgens Logboekverzamelaar toevoegen.

  4. In het dialoogvenster Logboekverzamelaar maken :

    1. Voer in het veld Naam een betekenisvolle naam in voor de logboekverzamelaar.

    2. Geef de logboekverzamelaar een naam en voer het HOST-IP-adres (privé-IP-adres) in van de computer die u gebruikt om de Docker te implementeren. Het IP-adres van de host kan worden vervangen door de naam van de computer, als er een DNS-server (of een equivalent) is die de hostnaam omgeeft.

    3. Selecteer alle gegevensbronnen die u wilt verbinden met de collector en selecteer Bijwerken om de configuratie op te slaan.

      Meer informatie over de implementatie wordt weergegeven in de sectie Volgende stappen , met inbegrip van een opdracht die u later gebruikt om de collectorconfiguratie te importeren. Als u Syslog hebt geselecteerd, bevat deze informatie ook gegevens over op welke poort de Syslog-listener luistert.

    4. Gebruik het pictogram Kopiëren naar klembord.Knop Kopiëren om de opdracht naar het klembord te kopiëren en op een afzonderlijke locatie op te slaan.

    5. Gebruik de knop Exporteren exporteren om de verwachte configuratie van de gegevensbron te exporteren. In deze configuratie wordt beschreven hoe u de logboekexport in uw apparaten moet instellen.

Voor gebruikers die logboekgegevens voor het eerst via FTP verzenden, raden we u aan het wachtwoord voor de FTP-gebruiker te wijzigen. Zie Het FTP-wachtwoord wijzigen voor meer informatie.

Stap 2: on-premises implementatie van uw computer

In de volgende stappen wordt de implementatie in Windows beschreven. De implementatiestappen voor andere platforms verschillen enigszins.

  1. Open een PowerShell-terminal als beheerder op uw Windows-computer.

  2. Voer de volgende opdracht uit om het PowerShell-scriptbestand van het Windows Docker-installatieprogramma te downloaden:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Zie Handtekening van het installatieprogramma valideren om te controleren of het installatieprogramma is ondertekend door Microsoft.

  3. Voer het volgende uit om de uitvoering van PowerShell-scripts in te schakelen:

    Set-ExecutionPolicy RemoteSigned`

  4. Voer het volgende uit om de Docker-client op uw computer te installeren:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    De machine wordt automatisch opnieuw opgestart nadat u de opdracht hebt uitgevoerd.

  5. Wanneer de machine weer actief is, voert u dezelfde opdracht opnieuw uit:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Voer het Docker-installatieprogramma uit en selecteer WSL 2 in plaats van Hyper-V.

    Nadat de installatie is voltooid, wordt de machine automatisch opnieuw opgestart.

  7. Nadat het opnieuw opstarten is voltooid, opent u de Docker-client en accepteert u de Docker-abonnementsovereenkomst.

  8. Als de installatie van WSL2 niet is voltooid, wordt er een bericht weergegeven om aan te geven dat de WSL 2 Linux-kernel is geïnstalleerd met behulp van een afzonderlijk MSI-updatepakket.

  9. Voltooi de installatie door het pakket te downloaden. Zie Het Linux-kernelupdatepakket downloaden voor meer informatie.

  10. Open de Docker Desktop-client opnieuw en controleer of deze is gestart.

  11. Open een opdrachtprompt als beheerder en voer de opdracht uitvoeren in die u eerder uit de portal hebt gekopieerd in stap 1: configuratie van webportal.

    Als u een proxy wilt configureren, voegt u het IP-adres en poortnummer van de proxy toe. Als uw proxygegevens bijvoorbeeld 172.31.255.255:8080 zijn, is de bijgewerkte uitvoeringsopdracht:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Voer het volgende uit om te controleren of de collector correct wordt uitgevoerd:

    docker logs <collector_name>

    U ziet nu het bericht: Voltooid! Bijvoorbeeld:

    Schermopname van een opdracht dat de collector correct wordt uitgevoerd.

Stap 3: on-premises configuratie van uw netwerkapparaten

Configureer uw netwerkfirewalls en -proxy's om periodiek logboeken te exporteren naar de toegewezen Syslog-poort van de FTP-map volgens de aanwijzingen in het dialoogvenster. Bijvoorbeeld:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Stap 4: controleer of de implementatie in de portal is geslaagd

Controleer de collectorstatus in de logboekverzamelaartabel en zorg ervoor dat de status Verbonden is. Als deze is gemaakt, is het mogelijk dat de verbinding met de logboekverzamelaar en het parseren niet zijn voltooid.

Controleer of de collectorstatus Verbonden is.

U kunt ook naar het governancelogboek gaan en controleren of er regelmatig logboeken worden geüpload naar de portal.

U kunt ook de status van de logboekverzamelaar vanuit de Docker-container controleren met behulp van de volgende opdrachten:

  1. Meld u aan bij de container:

    docker exec -it <Container Name> bash

  2. Controleer de status van de logboekverzamelaar:

    collector_status -p

Als u problemen ondervindt tijdens de implementatie, raadpleegt u Problemen met clouddetectie oplossen.

Optioneel: aangepaste doorlopende rapporten maken

Controleer of de logboeken worden geüpload naar Defender for Cloud Apps en of er rapporten worden gegenereerd. Maak na verificatie aangepaste rapporten. U kunt aangepaste detectierapporten maken op basis van Microsoft Entra gebruikersgroepen. Als u bijvoorbeeld het cloudgebruik van uw marketingafdeling wilt zien, importeert u de marketinggroep met behulp van de functie gebruikersgroep importeren. Maak vervolgens een aangepast rapport voor deze groep. U kunt een rapport ook aanpassen op basis van IP-adrestag of IP-adresbereiken.

  1. Selecteer in de Microsoft Defender-portal Instellingen>Cloud-apps> Continuerapportenclouddetectie>.

  2. Selecteer de knop Rapport maken en vul de velden in.

  3. Onder Filters kunt u de gegevens filteren op gegevensbron, op geïmporteerde gebruikersgroep of op IP-adrestags en -bereiken.

    Opmerking

    Wanneer u filters toepast op doorlopende rapporten, wordt de selectie opgenomen, niet uitgesloten. Als u bijvoorbeeld een filter toepast op een bepaalde gebruikersgroep, wordt alleen die gebruikersgroep opgenomen in het rapport.

    Aangepast doorlopend rapport.

Optioneel - Handtekening van het installatieprogramma valideren

Ga als volgt te werk om ervoor te zorgen dat het docker-installatieprogramma is ondertekend door Microsoft:

  1. Klik met de rechtermuisknop op het bestand en selecteer Eigenschappen.

  2. Selecteer Digitale handtekeningen en zorg ervoor dat Deze digitale handtekening is OK wordt weergegeven.

  3. Zorg ervoor dat Microsoft Corporation wordt vermeld als enige vermelding onder Naam van ondertekenaar.

    Digitale handtekening geldig.

    Als de digitale handtekening niet geldig is, wordt deze digitale handtekening ongeldig weergegeven:

    Digitale handtekening is ongeldig.

Volgende stappen

De FTP-configuratie van de logboekverzamelaar wijzigen

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.