Konfigurowanie automatycznego przekazywania dzienników przy użyciu platformy Docker na platformie Azure

W tym artykule opisano sposób konfigurowania automatycznego przekazywania dzienników dla raportów ciągłych w Defender for Cloud Apps przy użyciu platformy Docker w systemie Ubuntu lub CentOS na platformie Azure.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że środowisko spełnia następujące wymagania:

Wymaganie	Opis
System operacyjny	Jedna z następujących czynności: - Ubuntu 14.04, 16.04, 18.04 i 20.04 - CentOS 7.2 lub nowszy
Miejsce na dysku	250 GB
Rdzenie procesora CPU	2
Architektura procesora CPU	Intel 64 i AMD 64
BARAN	4 GB
Konfiguracja zapory	Zgodnie z definicją w temacie Wymagania dotyczące sieci

Planowanie modułów zbierających dzienniki według wydajności

Każdy moduł zbierający dzienniki może pomyślnie obsługiwać pojemność dziennika do 50 GB na godzinę składającą się z maksymalnie 10 źródeł danych. Główne wąskie gardła w procesie zbierania dzienników to:

• Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.

• Wydajność we/wy maszyny wirtualnej — określa szybkość zapisywania dzienników na dysku modułu zbierającego dzienniki. Moduł zbierający dzienniki ma wbudowany mechanizm bezpieczeństwa, który monitoruje szybkość docierania dzienników i porównuje go z szybkością przekazywania. W przypadku przeciążenia moduł zbierający dzienniki zaczyna usuwać pliki dziennika. Jeśli konfiguracja zwykle przekracza 50 GB na godzinę, zalecamy podzielenie ruchu między wiele modułów zbierających dzienniki.

Jeśli potrzebujesz więcej niż 10 źródeł danych, zalecamy podzielenie źródeł danych między wiele modułów zbierających dzienniki.

Definiowanie źródeł danych

1. W portalu Microsoft Defender wybierz pozycję Ustawienia > Cloud Apps > Cloud Discovery > Automatyczne przekazywanie dziennika.

2. Na karcie Źródła danych utwórz pasujące źródło danych dla każdej zapory lub serwera proxy, z którego chcesz przekazać dzienniki:

   1. Wybierz pozycję Dodaj źródło danych.

   2. W oknie dialogowym Dodawanie źródła danych wprowadź nazwę źródła danych, a następnie wybierz typ źródła i odbiorcy.

      Przed wybraniem źródła wybierz pozycję Wyświetl przykład oczekiwanego pliku dziennika i porównaj dziennik z oczekiwanym formatem. Jeśli format pliku dziennika nie jest zgodny z tym przykładem, dodaj źródło danych jako inne.

      Aby pracować z urządzeniem sieciowym, które nie znajduje się na liście, wybierz pozycję Inny > format dziennika klienta lub Inny (tylko ręcznie). Aby uzyskać więcej informacji, zobacz Praca z niestandardowym analizatorem dzienników.

   Uwaga

   Integracja z protokołami bezpiecznego transferu (FTPS i Syslog — TLS) często wymaga dodatkowych ustawień lub zapory/serwera proxy.

Powtórz ten proces dla każdej zapory i serwera proxy, których dzienniki mogą służyć do wykrywania ruchu w sieci.

Zalecamy skonfigurowanie dedykowanego źródła danych na urządzenie sieciowe, umożliwiając osobne monitorowanie stanu każdego urządzenia w celach badawczych oraz eksplorowanie odnajdywania w tle it na urządzeniu, jeśli każde urządzenie jest używane przez inny segment użytkownika.

Tworzenie modułu zbierającego dzienniki

1. W portalu Microsoft Defender wybierz pozycję Ustawienia > Cloud Apps > Cloud Discovery > Automatyczne przekazywanie dziennika.

2. Na karcie Moduły zbierające dzienniki wybierz pozycję Dodaj moduł zbierający dzienniki.

3. W oknie dialogowym Tworzenie modułu zbierającego dzienniki wprowadź następujące szczegóły:

   • Nazwa modułu zbierającego dzienniki
   • Adres IP hosta, który jest prywatnym adresem IP maszyny, której użyjesz do wdrożenia platformy Docker. Adres IP hosta można również zastąpić nazwą maszyny, jeśli istnieje serwer DNS lub odpowiednik rozpoznawania nazwy hosta.

   Następnie wybierz pole Źródła danych, aby wybrać źródła danych, które chcesz połączyć z modułem zbierającym, i wybierz pozycję Aktualizuj , aby zapisać zmiany. Każdy moduł zbierający dzienniki może obsługiwać wiele źródeł danych.

   Okno dialogowe Tworzenie modułu zbierającego dzienniki zawiera dalsze szczegóły wdrożenia, w tym polecenie importowania konfiguracji modułu zbierającego. Przykład:

   

4. Wybierz Skopiuj ikonę obok polecenia, aby skopiować ją do schowka.

   Szczegóły wyświetlane w oknie dialogowym Tworzenie modułu zbierającego dzienniki różnią się w zależności od wybranego typu źródła i odbiornika. Jeśli na przykład wybrano pozycję Syslog, okno dialogowe zawiera szczegółowe informacje o porcie, na którym nasłuchuje odbiornik dziennika systemu.

   Skopiuj zawartość ekranu i zapisz je lokalnie, ponieważ będą one potrzebne podczas konfigurowania modułu zbierającego dzienniki w celu komunikowania się z Defender for Cloud Apps.

5. Wybierz pozycję Eksportuj , aby wyeksportować konfigurację źródła do pliku .CSV opisującego sposób konfigurowania eksportu dziennika na urządzeniach.

Porada

W przypadku użytkowników wysyłających dane dziennika za pośrednictwem protokołu FTP po raz pierwszy zalecamy zmianę hasła dla użytkownika FTP. Aby uzyskać więcej informacji, zobacz Zmienianie hasła FTP.

Wdrażanie maszyny na platformie Azure

W tej procedurze opisano sposób wdrażania maszyny z systemem Ubuntu. Kroki wdrażania dla innych platform są nieco inne.

1. Utwórz nową maszynę z systemem Ubuntu w środowisku platformy Azure.

2. Po uruchomieniu maszyny otwórz porty:

   1. W widoku maszyny przejdź do pozycji Sieć , wybierając odpowiedni interfejs, klikając go dwukrotnie.

   2. Przejdź do sieciowej grupy zabezpieczeń i wybierz odpowiednią sieciowe grupy zabezpieczeń.

   3. Przejdź do pozycji Reguły zabezpieczeń dla ruchu przychodzącego i kliknij pozycję Dodaj.

   4. Dodaj następujące reguły (w trybie zaawansowanym ):

      Name (Nazwa)	Zakresy portów docelowych	Protocol (Protokół)	Źródło	Destination (Miejsce docelowe)
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Dowolna
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Dowolna
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Dowolna
      caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Dowolna

   Aby uzyskać więcej informacji, zobacz Praca z regułami zabezpieczeń.

3. Wstecz do maszyny i kliknij przycisk Połącz, aby otworzyć terminal na maszynie.

4. Zmień na uprawnienia główne przy użyciu polecenia sudo -i.

5. Jeśli akceptujesz postanowienia licencyjne dotyczące oprogramowania, odinstaluj stare wersje i zainstaluj platformę Docker CE, uruchamiając polecenia odpowiednie dla danego środowiska:

   Centos

   1. Usuń stare wersje platformy Docker: yum erase docker docker-engine docker.io

   2. Instalowanie wymagań wstępnych aparatu platformy Docker: yum install -y yum-utils

   3. Dodaj repozytorium platformy Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Zainstaluj aparat platformy Docker: yum -y install docker-ce

   5. Uruchamianie platformy Docker

      systemctl start docker
      systemctl enable docker
      

   6. Testowanie instalacji platformy Docker: docker run hello-world

   Ubuntu

   1. Usuń stare wersje platformy Docker: apt-get remove docker docker-engine docker.io

   2. Jeśli instalujesz system ubuntu 14.04, zainstaluj pakiet linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Instalowanie wymagań wstępnych aparatu platformy Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Sprawdź, czy identyfikator UID odcisku palca apt-key to docker@docker.com: apt-key fingerprint | grep uid

   5. Zainstaluj aparat platformy Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Testowanie instalacji platformy Docker: docker run hello-world

6. Uruchom polecenie skopiowane wcześniej z okna dialogowego Tworzenie modułu zbierającego dzienniki . Przykład:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Aby sprawdzić, czy moduł zbierający dzienniki działa prawidłowo, uruchom następujące polecenie: Docker logs <collector_name>. Powinny zostać wyświetlone wyniki: Ukończono pomyślnie.

Konfigurowanie ustawień lokalnych urządzenia sieciowego

Skonfiguruj zapory sieciowe i serwery proxy, aby okresowo eksportować dzienniki do dedykowanego portu dziennika systemu w katalogu FTP zgodnie z instrukcjami w oknie dialogowym. Przykład:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Weryfikowanie wdrożenia w Defender for Cloud Apps

Sprawdź stan modułu zbierającego w tabeli Moduł zbierający dzienniki i upewnij się, że stan to Połączono. Jeśli jest utworzona, możliwe, że połączenie modułu zbierającego dzienniki i analizowanie nie zostały ukończone.

Przykład:

Możesz również przejść do dziennika ładu i sprawdzić, czy dzienniki są okresowo przekazywane do portalu.

Alternatywnie możesz sprawdzić stan modułu zbierającego dzienniki z poziomu kontenera platformy Docker przy użyciu następujących poleceń:

1. Zaloguj się do kontenera przy użyciu następującego polecenia: docker exec -it <Container Name> bash
2. Sprawdź stan modułu zbierającego dzienniki za pomocą tego polecenia: collector_status -p

Jeśli podczas wdrażania występują problemy, zobacz Rozwiązywanie problemów z odnajdywaniem w chmurze.

Opcjonalne — tworzenie niestandardowych raportów ciągłych

Sprawdź, czy dzienniki są przekazywane do Defender for Cloud Apps i czy raporty są generowane. Po weryfikacji utwórz raporty niestandardowe. Raporty odnajdywania niestandardowego można tworzyć na podstawie Microsoft Entra grup użytkowników. Jeśli na przykład chcesz zobaczyć użycie działu marketingu w chmurze, zaimportuj grupę marketingu przy użyciu funkcji importowania grupy użytkowników. Następnie utwórz raport niestandardowy dla tej grupy. Raport można również dostosować na podstawie zakresów tagów adresów IP lub adresów IP.

1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps.

2. W obszarze Cloud Discovery wybierz pozycję Raporty ciągłe.

3. Kliknij przycisk Utwórz raport i wypełnij pola.

4. W obszarze Filtry można filtrować dane według źródła danych, zaimportowanych grup użytkowników lub według tagów i zakresów adresów IP.

   Uwaga

   Podczas stosowania filtrów w raportach ciągłych wybór zostanie uwzględniony, a nie wykluczony. Jeśli na przykład zastosujesz filtr dla określonej grupy użytkowników, tylko ta grupa użytkowników zostanie uwzględniona w raporcie.

   

Usuwanie modułu zbierającego dzienniki

Jeśli masz istniejący moduł zbierający dzienniki i chcesz go usunąć przed ponownym wdrożeniem lub po prostu chcesz go usunąć, uruchom następujące polecenia:

docker stop <collector_name>
docker rm <collector_name>

Następne kroki

Modyfikowanie konfiguracji protokołu FTP modułu zbierającego dzienniki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.