Поделиться через

Настройка автоматической отправки журналов с помощью локального Docker в Windows

  • Статья

Вы можете настроить автоматическую отправку журналов для непрерывных отчетов в Defender for Cloud Apps с помощью Docker в Windows.

Предварительные условия

  • Спецификации архитектуры:

    Спецификация Описание
    Операционная система Один из следующих продуктов:
  • Windows 10 (fall creators update)
  • Windows Server версии 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Место на диске 250 ГБ
    Ядра ЦП 2
    Архитектура ЦП Intel 64 и AMD 64
    ОЗУ 4 ГБ

    Список поддерживаемых архитектур Docker см. в документации по установке Docker.

  • При необходимости настройте брандмауэр . Дополнительную информацию см. в статье Требования к сети.

  • Виртуализация в операционной системе должна быть включена с помощью Hyper-V.

Важно!

  • Корпоративным клиентам с более чем 250 пользователями или годовой доходом более 10 миллионов долларов США требуется платная подписка для использования Docker Desktop для Windows. Дополнительные сведения см. в статье Общие сведения о подписке Docker.
  • Пользователь должен войти в Docker для сбора журналов. Рекомендуется рекомендовать пользователям Docker отключиться без выхода.
  • Docker для Windows официально не поддерживается в сценариях виртуализации VMWare.
  • Docker для Windows официально не поддерживается во вложенных сценариях виртуализации. Если вы по-прежнему планируете использовать вложенную виртуализацию, обратитесь к официальному руководству Docker.
  • Дополнительные сведения о настройке и реализации Docker для Windows см. в статье Установка Docker Desktop в Windows.

Удаление существующего сборщика журналов

Если у вас есть сборщик журналов и вы хотите удалить его перед его развертыванием снова или просто удалить его, выполните следующие команды:

docker stop <collector_name>
docker rm <collector_name>

Производительность сборщика журналов

Сборщик журналов может успешно обрабатывать емкость журнала до 50 ГБ в час. Ниже перечислены main узкие места в процессе сбора журналов.

  • Пропускная способность сети. Скорость передачи журнала определяется пропускной способностью сети.

  • Производительность ввода-вывода виртуальной машины определяет скорость записи журналов на диск сборщика журналов. Сборщик журналов имеет встроенный механизм безопасности, который отслеживает скорость поступления журналов и сравнивает ее со скоростью отправки. В случаях перегрузки сборщик журналов начинает удалять файлы журналов. Если настройка обычно превышает 50 ГБ в час, рекомендуется разделить трафик между несколькими сборщиками журналов.

Шаг 1. Настройка веб-портала

Чтобы определить источники данных и связать их со сборщиком журналов, выполните следующие действия. Один сборщик журналов может обрабатывать несколько источников данных.

  1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Автоматическая отправка>журналов вкладка Источники данных.

  2. Для каждого брандмауэра или прокси-сервера, из которого требуется отправить журналы, создайте соответствующий источник данных:

    1. Выберите +Добавить источник данных.

      Снимок экрана: кнопка

    2. Присвойте имя прокси-серверу или брандмауэру.

      Снимок экрана: диалоговое окно

    3. Выберите (модуль) в списке Источник. Если выбран пользовательский формат журнала для работы с сетевым (модуль), который отсутствует в списке, см. инструкции по настройке в статье Работа с пользовательским анализатором журналов.

    4. Сравните журнал с примером ожидаемого формата журнала. Если формат файла журнала не соответствует этому примеру, следует добавить источник данных в качестве другого.

    5. Задайте для параметра Тип приемника значениеFTP, FTPS, Syslog — UDP или Syslog — TCP или Syslog — TLS.

      Примечание.

      Для интеграции с протоколами безопасной передачи (FTPS и Syslog — TLS) часто требуются дополнительные параметры брандмауэра или прокси-сервера.

    6. Повторите этот процесс для каждого брандмауэра и прокси-сервера, журналы которых можно использовать для обнаружения трафика в сети. Рекомендуется настроить выделенный источник данных для каждого сетевого устройства, чтобы обеспечить следующие возможности:

      • Отслеживайте состояние каждого устройства отдельно в целях исследования.
      • Изучите обнаружение теневых ИТ-ресурсов для каждого устройства, если каждое устройство используется в разных сегментах пользователей.

  3. В верхней части страницы выберите вкладку Сборщики журналов , а затем выберите Добавить сборщик журналов.

  4. В диалоговом окне Создание сборщика журналов выполните следующие действия:

    1. В поле Имя введите понятное имя для сборщика журналов.

    2. Присвойте сборщику журналов имя и введите IP-адрес узла (частный IP-адрес) компьютера, который будет использоваться для развертывания Docker. IP-адрес узла можно заменить именем компьютера, если есть DNS-сервер (или эквивалент), который будет разрешать имя узла.

    3. Выберите все источники данных , которые нужно подключить к сборщику, и нажмите кнопку Обновить , чтобы сохранить конфигурацию.

      Дополнительные сведения о развертывании отображаются в разделе Дальнейшие действия , включая команду, которую вы будете использовать позже для импорта конфигурации сборщика. Если вы выбрали Syslog, эти сведения также включают данные о том, какой порт прослушивает прослушиватель syslog.

    4. Используйте значок копирования в буфер обмена.Кнопка "Копировать", чтобы скопировать команду в буфер обмена и сохранить ее в отдельном расположении.

    5. Используйте кнопку Экспорт для экспорта ожидаемой конфигурации источника данных. В этой конфигурации описывается настройка экспорта журналов в устройствах.

Для пользователей, отправляющих данные журнала через FTP в первый раз, рекомендуется изменить пароль для пользователя FTP. Дополнительные сведения см. в разделе Изменение пароля FTP.

Шаг 2. Локальное развертывание компьютера

Ниже описано развертывание в Windows. Шаги развертывания для других платформ немного отличаются.

  1. Откройте терминал PowerShell с правами администратора на компьютере с Windows.

  2. Выполните следующую команду, чтобы скачать файл сценария PowerShell установщика Windows Docker:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Сведения о том, что установщик подписан корпорацией Майкрософт, см. в статье Проверка подписи установщика.

  3. Чтобы включить выполнение скрипта PowerShell, выполните следующую команду:

    Set-ExecutionPolicy RemoteSigned`

  4. Чтобы установить клиент Docker на компьютере, выполните следующую команду:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Компьютер автоматически перезагружается после выполнения команды .

  5. Когда компьютер снова будет запущен, снова выполните ту же команду:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Запустите установщик Docker, выбрав использовать WSL 2 вместо Hyper-V.

    После завершения установки компьютер автоматически перезагружается снова.

  7. После завершения перезапуска откройте клиент Docker и примите соглашение о подписке Docker.

  8. Если установка WSL2 не завершена, появится сообщение о том, что ядро WSL 2 Linux устанавливается с помощью отдельного пакета обновления MSI.

  9. Завершите установку, скачав пакет. Дополнительные сведения см . в разделе Скачивание пакета обновления ядра Linux.

  10. Снова откройте клиент Docker Desktop и убедитесь, что он запущен.

  11. Откройте командную строку от имени администратора и введите команду run, которую вы скопировали ранее на портале на шаге 1 — настройка веб-портала.

    Если необходимо настроить прокси-сервер, добавьте IP-адрес прокси-сервера и номер порта. Например, если сведения о прокси-сервере — 172.31.255.255:8080, обновленная команда run:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Чтобы убедиться, что сборщик работает правильно, выполните следующую команду:

    docker logs <collector_name>

    Должно появиться сообщение: Успешно завершено! Например:

    Снимок экрана: команда, которая правильно выполняется сборщиком.

Шаг 3. Локальная конфигурация сетевых устройств

Настройте сетевые брандмауэры и прокси-серверы для периодического экспорта журналов в выделенный порт syslog каталога FTP в соответствии с инструкциями в диалоговом окне. Например:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Шаг 4. Проверка успешного развертывания на портале

Проверьте состояние сборщика в таблице сборщика журналов и убедитесь, что состояние подключено. Если он создан, возможно, подключение к сборщику журналов и синтаксический анализ не завершены.

Убедитесь, что сборщик имеет состояние Подключено.

Вы также можете перейти к журналу управления и убедиться, что журналы периодически отправляются на портал.

Кроме того, можно проверка состояние сборщика журналов из контейнера Docker с помощью следующих команд:

  1. Войдите в контейнер:

    docker exec -it <Container Name> bash

  2. Проверьте состояние сборщика журналов:

    collector_status -p

Если во время развертывания возникли проблемы, см. статью Устранение неполадок с обнаружением облака.

Необязательно. Создание пользовательских непрерывных отчетов

Убедитесь, что журналы отправляются в Defender for Cloud Apps и что создаются отчеты. После проверки создайте настраиваемые отчеты. Вы можете создавать настраиваемые отчеты об обнаружении на основе Microsoft Entra групп пользователей. Например, если вы хотите просмотреть использование облачных технологий отдела маркетинга, импортируйте маркетинговую группу с помощью функции импорта группы пользователей. Затем создайте пользовательский отчет для этой группы. Вы также можете настроить отчет на основе тега IP-адреса или диапазонов IP-адресов.

  1. На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Непрерывные отчеты.

  2. Нажмите кнопку Создать отчет и заполните поля.

  3. В разделе Фильтры можно фильтровать данные по источнику данных, импортированной группе пользователей или по тегам и диапазонам IP-адресов.

    Примечание.

    При применении фильтров к непрерывным отчетам выбор будет включен, а не исключен. Например, если применить фильтр к определенной группе пользователей, в отчет будет включена только эта группа пользователей.

    Пользовательский непрерывный отчет.

Необязательно. Проверка подписи установщика

Чтобы убедиться, что установщик Docker подписан корпорацией Майкрософт, сделайте следующее:

  1. Щелкните файл правой кнопкой мыши и выберите Пункт Свойства.

  2. Выберите Цифровые подписи и убедитесь, что в нем указано значение Эта цифровая подпись в порядке.

  3. Убедитесь, что корпорация Майкрософт указана в качестве единственной записи в разделе Имя подписывающего.

    Действительная цифровая подпись.

    Если цифровая подпись недействительна, будет указано, что эта цифровая подпись недопустима:

    Недопустимая цифровая подпись.

Дальнейшие действия

Изменение конфигурации FTP сборщика журналов

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.