Udostępnij za pośrednictwem


Konfigurowanie automatycznego przekazywania dzienników przy użyciu lokalnej platformy Docker w systemie Windows

Automatyczne przekazywanie dzienników można skonfigurować dla raportów ciągłych w usłudze Defender dla Chmury Apps przy użyciu platformy Docker w systemie Windows.

Wymagania wstępne

  • Specyfikacje architektury:

    Specyfikacja opis
    System operacyjny Jedną z następujących czynności:
  • Windows 10 (aktualizacja fall creators)
  • Windows Server w wersji 1709+ (SAC)
  • Windows Server 2019 (LTSC)
  • Miejsce na dysku 250 GB
    Rdzenie procesora CPU 2
    Architektura procesora CPU Intel 64 i AMD 64
    RAM 4 GB

    Aby uzyskać listę obsługiwanych architektur platformy Docker, zobacz dokumentację instalacji platformy Docker.

  • Ustaw zaporę zgodnie z potrzebami. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci.

  • Wirtualizacja w systemie operacyjnym musi być włączona z funkcją Hyper-V.

Ważne

  • Klienci korporacyjni z ponad 250 użytkownikami lub więcej niż 10 milionów USD w rocznych przychodach wymagają płatnej subskrypcji do korzystania z aplikacji Docker Desktop dla systemu Windows. Aby uzyskać więcej informacji, zobacz Omówienie subskrypcji platformy Docker.
  • Aby zbierać dzienniki, użytkownik musi zalogować się do platformy Docker. Zalecamy doradzanie użytkownikom platformy Docker rozłączania bez wylogowywanie się.
  • Platforma Docker dla systemu Windows nie jest oficjalnie obsługiwana w scenariuszach wirtualizacji oprogramowania VMWare.
  • Platforma Docker dla systemu Windows nie jest oficjalnie obsługiwana w scenariuszach wirtualizacji zagnieżdżonej. Jeśli nadal planujesz używać wirtualizacji zagnieżdżonej, zapoznaj się z oficjalnym przewodnikiem platformy Docker.
  • Aby uzyskać informacje na temat dodatkowych zagadnień dotyczących konfiguracji i implementacji platformy Docker dla systemu Windows, zobacz Instalowanie programu Docker Desktop w systemie Windows.

Usuwanie istniejącego modułu zbierającego dzienniki

Jeśli masz istniejący moduł zbierający dzienniki i chcesz go usunąć przed ponownym wdrożeniem lub jeśli po prostu chcesz go usunąć, uruchom następujące polecenia:

docker stop <collector_name>
docker rm <collector_name>

Wydajność modułu zbierającego dzienniki

Moduł zbierający dzienniki może pomyślnie obsłużyć pojemność dziennika do 50 GB na godzinę. Głównymi wąskimi gardłami procesu zbierania dzienników są:

  • Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.

  • Wydajność operacji we/wy maszyny wirtualnej — określa szybkość zapisywania dzienników na dysku modułu zbierającego dzienniki. W moduł zbierający dzienniki wbudowano mechanizm bezpieczeństwa, który monitoruje szybkość pojawiania się dzienników i porównuje ją z szybkością przekazywania. W przypadku przeciążenia moduł zbierający dzienniki zaczyna porzucać pliki dzienników. Jeśli konfiguracja zwykle przekracza 50 GB na godzinę, zaleca się podzielenie ruchu między wieloma modułami zbierającym dzienniki.

Krok 1 — konfiguracja portalu internetowego

Wykonaj poniższe kroki, aby zdefiniować źródła danych i połączyć je z modułem zbierającym dzienniki. Pojedynczy moduł zbierający dzienniki może obsługiwać wiele źródeł danych.

  1. W portalu usługi Microsoft Defender wybierz kartę Ustawienia Aplikacje>>w chmurze Automatyczne przekazywanie>dzienników rozwiązania Cloud Discovery.>

  2. Utwórz pasujące źródło danych dla każdej zapory lub każdego serwera proxy, z którego chcesz przekazać dzienniki:

    1. Wybierz pozycję +Dodaj źródło danych.

      Zrzut ekranu przedstawiający przycisk Dodaj źródło danych.

    2. Nadaj nazwę serwerowi proxy lub zaporze.

      Zrzut ekranu przedstawiający okno dialogowe Dodawanie źródła danych

    3. Wybierz urządzenie z listy Źródło. Jeśli wybierzesz opcję Niestandardowy format dziennika, aby pracować z urządzeniem sieciowym, które nie ma na liście, zobacz Praca z niestandardowym analizatorem dzienników , aby uzyskać instrukcje dotyczące konfiguracji.

    4. Porównaj dziennik z przykładem dziennika w oczekiwanym formacie. Jeśli format pliku dziennika nie jest zgodny z tym przykładem, należy dodać źródło danych jako Inne.

    5. Ustaw typ odbiornika na FTP, FTPS, Syslog — UDP lub Syslog — TCP lub Syslog — TLS.

      Uwaga

      Integracja z protokołami bezpiecznego transferu (FTPS i Syslog — TLS) często wymaga dodatkowych ustawień zapory/serwera proxy.

    6. Powtórz ten proces dla każdej zapory i każdego serwera proxy, których dzienniki mogą być używane do wykrywania ruchu w sieci. Zalecamy skonfigurowanie dedykowanego źródła danych na urządzenie sieciowe w celu umożliwienia:

      • Monitoruj stan każdego urządzenia oddzielnie na potrzeby badania.
      • Zapoznaj się z odnajdywaniem it w tle na urządzenie, jeśli każde urządzenie jest używane przez inny segment użytkownika.
  3. W górnej części strony wybierz kartę Moduły zbierające dzienniki, a następnie wybierz pozycję Dodaj moduł zbierający dzienniki.

  4. W oknie dialogowym Tworzenie modułu zbierającego dzienniki:

    1. W polu Nazwa wprowadź zrozumiałą nazwę modułu zbierającego dzienniki.

    2. Nadaj modułowi zbierającemu dzienniki nazwę i wprowadź adres IP hosta (prywatny adres IP) maszyny, której użyjesz do wdrożenia platformy Docker. Adres IP hosta można zastąpić nazwą maszyny, jeśli istnieje serwer DNS (lub odpowiednik), który rozpozna nazwę hosta.

    3. Wybierz wszystkie źródła danych, które chcesz połączyć z modułem zbierającym, a następnie wybierz pozycję Aktualizuj , aby zapisać konfigurację.

      Dalsze informacje o wdrożeniu są wyświetlane w sekcji Następne kroki , w tym polecenie, którego użyjesz później do zaimportowania konfiguracji modułu zbierającego. W przypadku wybrania opcji Dziennik systemowy te informacje zawierają również dane dotyczące portu, na którym nasłuchuje odbiornik Syslog.

    4. skopiuj do ikony schowka. Użyj przycisku Kopiuj, aby skopiować polecenie do schowka i zapisać je w oddzielnej lokalizacji.

    5. Użyj przycisku Eksportuj Export , aby wyeksportować oczekiwaną konfigurację źródła danych. W tej konfiguracji opisano sposób ustawiania eksportu dziennika na urządzeniach.

W przypadku użytkowników wysyłających dane dziennika za pośrednictwem protokołu FTP po raz pierwszy zalecamy zmianę hasła dla użytkownika FTP. Aby uzyskać więcej informacji, zobacz Zmienianie hasła FTP.

Krok 2 . Lokalne wdrożenie maszyny

W poniższych krokach opisano wdrożenie w systemie Windows. Kroki wdrażania dla innych platform są nieco inne.

  1. Otwórz terminal programu PowerShell jako administrator na komputerze z systemem Windows.

  2. Uruchom następujące polecenie, aby pobrać plik skryptu programu PowerShell instalatora platformy Docker systemu Windows:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
    

    Aby sprawdzić, czy instalator jest podpisany przez firmę Microsoft, zobacz Weryfikowanie podpisu instalatora.

  3. Aby włączyć wykonywanie skryptu programu PowerShell, uruchom polecenie:

    Set-ExecutionPolicy RemoteSigned`
    
  4. Aby zainstalować klienta platformy Docker na maszynie, uruchom polecenie:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
    

    Maszyna zostanie automatycznie uruchomiona ponownie po uruchomieniu polecenia .

  5. Gdy maszyna jest ponownie uruchomiona, uruchom to samo polecenie ponownie:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
    
  6. Uruchom instalatora platformy Docker, wybierając opcję używania programu WSL 2 zamiast funkcji Hyper-V.

    Po zakończeniu instalacji maszyna zostanie ponownie uruchomiona ponownie.

  7. Po zakończeniu ponownego uruchamiania otwórz klienta platformy Docker i zaakceptuj umowę subskrypcji platformy Docker.

  8. Jeśli instalacja WSL2 nie została ukończona, zostanie wyświetlony komunikat wskazujący, że jądro systemu Linux WSL 2 jest zainstalowane przy użyciu oddzielnego pakietu aktualizacji MSI.

  9. Ukończ instalację, pobierając pakiet. Aby uzyskać więcej informacji, zobacz Pobieranie pakietu aktualizacji jądra systemu Linux.

  10. Otwórz ponownie klienta programu Docker Desktop i upewnij się, że został uruchomiony.

  11. Otwórz wiersz polecenia jako administrator i wprowadź polecenie przebiegu skopiowane wcześniej z portalu w kroku 1 — konfiguracja portalu internetowego.

    Jeśli musisz skonfigurować serwer proxy, dodaj adres IP serwera proxy i numer portu. Jeśli na przykład szczegóły serwera proxy to 172.31.255.255:8080, zaktualizowane polecenie uruchomienia to:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    
  12. Aby sprawdzić, czy moduł zbierający działa prawidłowo, uruchom polecenie:

    docker logs <collector_name>
    

    Powinien zostać wyświetlony komunikat: Zakończono pomyślnie! Na przykład:

    Zrzut ekranu przedstawiający polecenie, które moduł zbierający działa prawidłowo.

Krok 3. Konfiguracja lokalna urządzeń sieciowych

Skonfiguruj zapory sieciowe i serwery proxy, aby okresowo eksportować dzienniki do dedykowanego portu usługi Syslog katalogu FTP zgodnie z instrukcjami w oknie dialogowym. Na przykład:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Krok 4. Weryfikowanie pomyślnego wdrożenia w portalu

Sprawdź stan modułu zbierającego w tabeli modułu zbierającego dzienniki i upewnij się, że stan to Połączono. Jeśli jest utworzona, możliwe, że połączenie modułu zbierającego dzienniki i analizowanie nie zostało ukończone.

Sprawdź, czy stan modułu zbierającego to Połączono.

Możesz również przejść do dziennika nadzoru i sprawdzić, czy dzienniki są okresowo przekazywane do portalu.

Alternatywnie możesz sprawdzić stan modułu zbierającego dzienniki z poziomu kontenera platformy Docker przy użyciu następujących poleceń:

  1. Zaloguj się do kontenera:

    docker exec -it <Container Name> bash
    
  2. Sprawdź stan modułu zbierającego dzienniki:

    collector_status -p
    

Jeśli masz problemy podczas wdrażania, zobacz Rozwiązywanie problemów z odnajdywaniem w chmurze.

Opcjonalnie — tworzenie niestandardowych raportów ciągłych

Sprawdź, czy dzienniki są przekazywane do aplikacji Defender dla Chmury i czy raporty są generowane. Po weryfikacji utwórz raporty niestandardowe. Niestandardowe raporty odnajdywania można tworzyć na podstawie grup użytkowników firmy Microsoft Entra. Jeśli na przykład chcesz zobaczyć użycie chmury działu marketingu, zaimportuj grupę marketingu przy użyciu funkcji importowania grupy użytkowników. Następnie utwórz niestandardowy raport dla tej grupy. Możesz również dostosować raport na podstawie tagu adresu IP lub zakresów adresów IP.

  1. W portalu usługi Microsoft Defender wybierz pozycję Ustawienia>Raporty ciągłego odnajdywania w chmurze w usłudze Cloud Apps.>>

  2. Wybierz przycisk Utwórz raport i wypełnij pola.

  3. W obszarze Filtry można filtrować dane według źródła danych, zaimportowanych grup użytkowników lub według tagów i zakresów adresów IP.

    Uwaga

    Podczas stosowania filtrów w raportach ciągłych wybór zostanie uwzględniony, a nie wykluczony. Jeśli na przykład zastosujesz filtr dla określonej grupy użytkowników, tylko ta grupa użytkowników zostanie uwzględniona w raporcie.

    Niestandardowy raport ciągły.

Opcjonalne — weryfikowanie podpisu instalatora

Aby upewnić się, że instalator platformy Docker jest podpisany przez firmę Microsoft:

  1. Kliknij prawym przyciskiem myszy plik i wybierz polecenie Właściwości.

  2. Wybierz pozycję Podpisy cyfrowe i upewnij się, że jest wyświetlany komunikat Ten podpis cyfrowy jest ok.

  3. Upewnij się, że firma Microsoft Corporation jest wymieniona jako jedyny wpis w obszarze Nazwa osoby podpisujące.

    Podpis cyfrowy jest prawidłowy.

    Jeśli podpis cyfrowy jest nieprawidłowy, zostanie wyświetlony komunikat Ten podpis cyfrowy jest nieprawidłowy:

    Podpis cyfrowy jest nieprawidłowy.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.