Configurar o carregamento automático de registos com o Docker no Azure

Este artigo descreve como configurar carregamentos de registos automáticos para relatórios contínuos no Defender para Aplicativos de Nuvem através de um Docker no Ubuntu ou CentOS no Azure.

Pré-requisitos

Antes de começar, certifique-se de que o seu ambiente cumpre os seguintes requisitos:

Requisito	Descrição
SO	Uma das seguintes opções: - Ubuntu 14.04, 16.04, 18.04 e 20.04 - CentOS 7.2 ou superior
Espaço em disco	250 GB
Núcleos de CPU	2
Arquitetura da CPU	Intel 64 e AMD 64
RAM	4 GB
Configuração do firewall	Conforme definido nos Requisitos de rede

Planear os recoletores de registos por desempenho

Cada recoletor de registos pode processar com êxito a capacidade de registo de até 50 GB por hora, composta por até 10 origens de dados. Os estrangulamentos main no processo de recolha de registos são:

• Largura de banda de rede – a largura de banda de rede determina a velocidade de carregamento do registo.

• Desempenho de E/S da máquina virtual – determina a velocidade a que os registos são escritos no disco do recoletor de registos. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a velocidade a que os registos chegam e compara-o com a taxa de carregamento. Em caso de congestionamento, o recoletor de registos começa a remover ficheiros de registo. Se a configuração exceder normalmente os 50 GB por hora, recomendamos que divida o tráfego entre vários recoletores de registos.

Se precisar de mais de 10 origens de dados, recomendamos que divida as origens de dados entre vários recoletores de registos.

Definir as origens de dados

1. No portal do Microsoft Defender, selecione Definições > Cloud Apps > Carregamento automático de registos da Cloud Discovery>.

2. No separador Origens de dados , crie uma origem de dados correspondente para cada firewall ou proxy a partir do qual pretende carregar registos:

   1. Selecione Adicionar origem de dados.

   2. Na caixa de diálogo Adicionar origem de dados , introduza um nome para a origem de dados e, em seguida, selecione o tipo de origem e recetor.

      Antes de selecionar uma origem, selecione Ver exemplo do ficheiro de registo esperado e compare o registo com o formato esperado. Se o formato do ficheiro de registo não corresponder a este exemplo, adicione a origem de dados como Outro.

      Para trabalhar com uma rede dispositivo que não está listada, selecione Outro > formato de registo de Cliente ou Outro (apenas manual). Para obter mais informações, consulte Trabalhar com o analisador de registos personalizado.

   Observação

   A integração com protocolos de transferência segura (FTPS e Syslog – TLS) requer frequentemente definições adicionais ou a firewall/proxy.

Repita este processo para cada firewall e proxy cujos registos podem ser utilizados para detetar tráfego na sua rede.

Recomendamos que configure uma origem de dados dedicada por dispositivo de rede, permitindo-lhe monitorizar a status de cada dispositivo separadamente para fins de investigação e explorar a Deteção de TI Sombra por dispositivo se cada dispositivo for utilizado por um segmento de utilizador diferente.

Criar um recoletor de registos

1. No portal do Microsoft Defender, selecione Definições > Cloud Apps > Carregamento automático de registos da Cloud Discovery>.

2. No separador Recoletores de registos , selecione Adicionar recoletor de registos.

3. Na caixa de diálogo Criar recoletor de registos , introduza os seguintes detalhes:

   • Um nome para o recoletor de registos
   • O endereço IP do anfitrião, que é o endereço IP privado do computador que irá utilizar para implementar o Docker. O endereço IP do anfitrião também pode ser substituído pelo nome do computador, se existir um servidor DNS ou equivalente a resolve o nome do anfitrião.

   Em seguida, selecione a caixa Origens de dados para selecionar as origens de dados que pretende ligar ao recoletor e selecione Atualizar para guardar as alterações. Cada recoletor de registos pode processar várias origens de dados.

   A caixa de diálogo Criar recoletor de registos mostra mais detalhes de implementação, incluindo um comando para importar a configuração do recoletor. Por exemplo:

   

4. Selecione o Ícone Copiar junto ao comando para copiá-lo para a área de transferência.

   Os detalhes apresentados na caixa de diálogo Criar recoletor de registos diferem consoante os tipos de origem e recetor selecionados. Por exemplo, se tiver selecionado syslog, a caixa de diálogo inclui detalhes sobre a porta em que o serviço de escuta do syslog está a escutar.

   Copie os conteúdos do ecrã e guarde-os localmente, pois irá precisar deles quando configurar o recoletor de registos para comunicar com Defender para Aplicativos de Nuvem.

5. Selecione Exportar para exportar a configuração de origem para um ficheiro de .CSV que descreva como configurar a exportação de registos nas suas aplicações.

Dica

Para os utilizadores que enviam dados de registo através de FTP pela primeira vez, recomendamos que alterem a palavra-passe do utilizador de FTP. Para obter mais informações, veja Alterar a palavra-passe de FTP.

Implementar o computador no Azure

Este procedimento descreve como implementar o computador com o Ubuntu. Os passos de implementação para outras plataformas são ligeiramente diferentes.

1. Crie um novo computador Ubuntu no seu ambiente do Azure.

2. Depois de a máquina estar ativada, abra as portas:

   1. Na vista do computador, aceda a Rede selecione a interface relevante ao fazer duplo clique na mesma.

   2. Aceda a Grupo de segurança de rede e selecione o grupo de segurança de rede relevante.

   3. Aceda a Regras de segurança de entrada e clique em Adicionar.

   4. Adicione as seguintes regras (no modo Avançado ):

      Nome	Intervalos de portas de destino	Protocolo	Origem	Destino
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Qualquer
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Qualquer
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Qualquer
      caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Qualquer

   Para obter mais informações, consulte Trabalhar com regras de segurança.

3. Voltar ao computador e clique em Ligar para abrir um terminal no computador.

4. Mude para privilégios de raiz com sudo -i.

5. Se aceitar os termos de licenciamento de software, desinstale versões antigas e instale o Docker CE ao executar os comandos adequados para o seu ambiente:

   CentOS

   1. Remover versões antigas do Docker: yum erase docker docker-engine docker.io

   2. Instale os pré-requisitos do motor do Docker: yum install -y yum-utils

   3. Adicionar repositório do Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Instalar o motor do Docker: yum -y install docker-ce

   5. Iniciar o Docker

      systemctl start docker
      systemctl enable docker
      

   6. Testar a instalação do Docker: docker run hello-world

   Ubuntu

   1. Remover versões antigas do Docker: apt-get remove docker docker-engine docker.io

   2. Se estiver a instalar no Ubuntu 14.04, instale o pacote linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Instale os pré-requisitos do motor do Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Verifique se o UID apt-impressão digital da chave é docker@docker.com:apt-key fingerprint | grep uid

   5. Instalar o motor do Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Testar a instalação do Docker: docker run hello-world

6. Execute o comando que copiou anteriormente a partir da caixa de diálogo Criar recoletor de registos . Por exemplo:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Para verificar se o recoletor de registos está a ser executado corretamente, execute o seguinte comando: Docker logs <collector_name>. Deverá obter os resultados: Concluído com êxito!

Configurar definições de rede dispositivo no local

Configure as firewalls e proxies de rede para exportar periodicamente registos para a porta Syslog dedicada do diretório FTP de acordo com as instruções na caixa de diálogo. Por exemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Verificar a implementação no Defender para Aplicativos de Nuvem

Verifique o recoletor status na tabela Recoletor de registos e certifique-se de que o status está Ligado. Se for Criado, é possível que a ligação e a análise do recoletor de registos não tenham sido concluídas.

Por exemplo:

Também pode aceder ao Registo de governação e verificar se os registos estão a ser carregados periodicamente para o portal.

Em alternativa, pode marcar o recoletor de registos status a partir do contentor do Docker com os seguintes comandos:

1. Inicie sessão no contentor com este comando: docker exec -it <Container Name> bash
2. Verifique se o recoletor de registos status com este comando:collector_status -p

Se tiver problemas durante a implementação, veja Resolução de problemas de deteção da cloud.

Opcional - Criar relatórios contínuos personalizados

Verifique se os registos estão a ser carregados para Defender para Aplicativos de Nuvem e se os relatórios são gerados. Após a verificação, crie relatórios personalizados. Pode criar relatórios de deteção personalizados com base em Microsoft Entra grupos de utilizadores. Por exemplo, se quiser ver a utilização da cloud do seu departamento de marketing, importe o grupo de marketing com a funcionalidade importar grupo de utilizadores. Em seguida, crie um relatório personalizado para este grupo. Também pode personalizar um relatório com base na etiqueta de endereço IP ou nos intervalos de endereços IP.

1. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud.

2. Em Cloud Discovery, selecione Relatórios contínuos.

3. Clique no botão Criar relatório e preencha os campos.

4. Em Filtros , pode filtrar os dados por origem de dados, por grupo de utilizadores importado ou por etiquetas e intervalos de endereços IP.

   Observação

   Ao aplicar filtros em relatórios contínuos, a seleção será incluída e não excluída. Por exemplo, se aplicar um filtro a um determinado grupo de utilizadores, apenas esse grupo de utilizadores será incluído no relatório.

   

Remover o recoletor de registos

Se tiver um recoletor de registos existente e quiser removê-lo antes de o implementar novamente ou se pretender simplesmente removê-lo, execute os seguintes comandos:

docker stop <collector_name>
docker rm <collector_name>

Próximas etapas

Modificar a configuração de FTP do recoletor de registos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.