Konfigurace automatického nahrávání protokolů pomocí místního Dockeru ve Windows

  • Článek

Automatické nahrávání protokolů můžete nakonfigurovat pro průběžné sestavy v programu Defender for Cloud Apps pomocí Dockeru ve Windows.

Požadavky

  • Specifikace architektury:

    • Operační systém: Jeden z následujících:

      • Windows 10 (aktualizace fall creators)

      • Windows Sever verze 1709+ (SAC)

      • Windows Server 2019 (LTSC)

    • Místo na disku: 250 GB

    • Jádra procesoru: 2

    • Architektura procesoru: Intel 64 a AMD 64

    • PAMĚŤ RAM: 4 GB

    Seznam podporovaných architektur Dockeru najdete v dokumentaci k instalaci Dockeru.

  • Nastavení brány firewall podle popisu v požadavcích na síť

  • Virtualizace v operačním systému musí být povolená pomocí technologie Hyper-V.

Důležité

  • Podnikoví zákazníci s více než 250 uživateli nebo více než 10 milionů USD v ročních výnosech vyžadují placené předplatné pro používání Docker Desktopu pro Windows. Další informace najdete v tématu Přehled předplatného Dockeru.
  • Aby uživatel shromažďuje protokoly, musí být přihlášený k Dockeru. Doporučujeme uživatelům Dockeru, aby se odpojili bez odhlášení.
  • Ve scénářích virtualizace VMWare se Docker pro Windows oficiálně nepodporuje.
  • Docker pro Windows se oficiálně nepodporuje ve scénářích vnořené virtualizace. Pokud stále plánujete používat vnořenou virtualizaci, přečtěte si oficiální příručku k Dockeru.
  • Informace o dalších aspektech konfigurace a implementace Dockeru pro Windows najdete v tématu Instalace Desktopu Dockeru ve Windows.

Poznámka:

Pokud máte existující kolektor protokolů a chcete ho před opětovným nasazením odebrat nebo ho jednoduše chcete odebrat, spusťte následující příkazy:

docker stop <collector_name>
docker rm <collector_name>

Výkon kolektoru protokolů:

Kolektor protokolů dokáže úspěšně zpracovávat kapacitu protokolů do 50 GB za hodinu. Proces shromažďování protokolů má tato hlavní problémová místa:

  • Šířka pásma sítě – Šířka pásma sítě určuje rychlost nahrávání protokolů.

  • Výkon vstupně-výstupních operací virtuálního počítače – určuje rychlost zápisu protokolů na disk kolektoru protokolů. Kolektor protokolů má integrovaný bezpečnostní mechanismus, který sleduje rychlost přijímání protokolů a porovnává ji s rychlostí odesílání. V případě přetížení začne kolektor protokolů některé soubory protokolu vyřazovat. Pokud vaše nastavení obvykle překračuje 50 GB za hodinu, doporučujeme rozdělit provoz mezi několik kolektorů protokolů.

Nastavení a konfigurace

Krok 1 – Konfigurace webového portálu: definice zdrojů dat a jejich připojení ke kolektoru protokolů

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Cloud Discovery vyberte Automatické nahrávání protokolů. Pak vyberte kartu Zdroje dat.

  3. Pro každou bránu firewall nebo proxy server, ze kterého chcete nahrát protokoly, vytvořte odpovídající zdroj dat.

    1. Vyberte +Přidat zdroj dat.
      Add a data source.
    2. Zadejte Název proxy serveru nebo brány firewall.
      Add name for data source.
    3. Vyberte zařízení v seznamu Zdroj. Pokud pro práci se síťovým zařízením, které není uvedené, vyberete vlastní formát protokolu, najdete pokyny ke konfiguraci v části Práce s vlastním analyzátorem protokolů.
    4. Porovnejte svůj protokol s ukázkou očekávaného formátu protokolu. Pokud formát souboru protokolu neodpovídá této ukázce, měli byste zdroj dat přidat jako jiný.
    5. Nastavte typ příjemce na FTP, FTPS, Syslog – UDP nebo Syslog – TCP nebo Syslog – TLS.

    Poznámka:

    Integrace se zabezpečenými přenosovými protokoly (FTPS a Syslog – TLS) často vyžaduje další nastavení nebo bránu firewall nebo proxy server.

    f. Tento postup opakujte pro každou bránu firewall a proxy server, jejichž protokoly se dají použít ke zjišťování přenosů dat ve vaší síti. Doporučujeme nastavit vyhrazený zdroj dat na síťové zařízení, abyste mohli:

    • Monitorujte stav jednotlivých zařízení samostatně pro účely šetření.
    • Prozkoumejte zjišťování stínového IT na zařízení, pokud každé zařízení používá jiný uživatelský segment.

  4. Přejděte na kartu Kolektory protokolů v horní části.

    1. Vyberte Přidat kolektor protokolů.
    2. Zadejte Název kolektoru protokolů.
    3. Zadejte IP adresu hostitele (privátní IP adresu) počítače, který použijete k nasazení Dockeru. IP adresu hostitele je možné nahradit názvem počítače, pokud existuje server DNS (nebo ekvivalent), který přeloží název hostitele.
    4. Vyberte všechny zdroje dat, které chcete připojit ke kolektoru, a uložte konfiguraci výběrem možnosti Aktualizovat . Select data source to connect.

  5. Zobrazí se další informace o nasazení. Zkopírujte příkaz spustit z dialogového okna. Kopii můžete použít k ikoně copy to clipboard icon.schránky. Budete ho potřebovat později.

  6. Exportujte očekávanou konfiguraci zdroje dat. Tato konfigurace popisuje, jak byste měli nastavit export protokolu ve vašich zařízeních.

    Create log collector.

    Poznámka:

    • Jeden kolektor protokolů může zpracovávat více zdrojů dat.
    • Zkopírujte obsah obrazovky, protože budete potřebovat informace, když nakonfigurujete kolektor protokolů pro komunikaci s Defenderem for Cloud Apps. Pokud jste vybrali možnost Syslog, budou tyto informace zahrnovat informace o tom, na kterém portu naslouchací proces Syslog naslouchá.
    • Pro uživatele, kteří odesílají data protokolu přes FTP poprvé, doporučujeme změnit heslo pro uživatele FTP. Další informace naleznete v tématu Změna hesla FTP.

Krok 2 – místní nasazení počítače

Následující kroky popisují nasazení ve Windows. Postup nasazení pro jiné platformy se mírně liší.

  1. Na počítači s Windows otevřete terminál PowerShellu jako správce.

  2. Spuštěním následujícího příkazu stáhněte soubor skriptu PowerShellu instalačního programu Windows Dockeru: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Pokud chcete ověřit, jestli je instalační program podepsaný společností Microsoft, přečtěte si téma Ověření podpisu instalačního programu.

  3. Spuštění skriptu PowerShellu povolíte spuštěním příkazu Set-ExecutionPolicy RemoteSigned

  4. Spuštění: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Tím se na počítač nainstaluje klient Dockeru.

    Docker is installed.

    Po spuštění příkazu se počítač automaticky restartuje.

  5. Po opětovném spuštění počítače spusťte stejný příkaz v PowerShellu: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Run PowerShell command again.

  6. Spusťte instalační program Dockeru. Vyberte Možnost Použít WSL 2 místo Technologie Hyper-V (doporučeno):

    Installing Docker desktop.

    Po dokončení instalace se počítač automaticky restartuje znovu.

  7. Po dokončení restartování otevřete klienta Dockeru a projděte si smlouvu o předplatném Dockeru:

    Accept Docker service agreement.

  8. Pokud instalace WSL2 není dokončená, zobrazí se následující automaticky otevíraná zpráva:

    WSL 2 installation is incomplete.

  9. Dokončete instalaci stažením balíčku, jak je vysvětleno v části Stažení balíčku aktualizace jádra Linuxu.

  10. Znovu otevřete klienta Docker Desktopu a ujistěte se, že se spustil:

    Open the Docker Desktop client.

  11. Spusťte příkaz CMD jako správce a zadejte příkaz spustit vygenerovaný na portálu. Pokud potřebujete nakonfigurovat proxy server, přidejte IP adresu proxy serveru a číslo portu. Pokud jsou například podrobnosti o proxy serveru 192.168.10.1:8080, je aktualizovaný příkaz spustit následující:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  12. Pomocí následujícího příkazu ověřte, že kolektor běží správně: docker logs <collector_name>

Měla by se zobrazit zpráva: Úspěšně dokončeno!

Verify that collector is running properly.

Krok 3 : Místní konfigurace síťových zařízení

Nakonfigurujte síťové brány firewall a proxy servery tak, aby pravidelně exportovali protokoly do vyhrazeného portu syslogu adresáře FTP podle pokynů v dialogovém okně. Příklad:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Krok 4 – Ověření úspěšného nasazení na portálu

Zkontrolujte stav kolektoru v tabulce kolektoru protokolů a ujistěte se, že je stav Připojení. Pokud je vytvořený, je možné, že se připojení kolektoru protokolů a analýza nedokončila.

Verify that the collector status is Connected.

Můžete také přejít do protokolu zásad správného řízení a ověřit, že se protokoly pravidelně nahrávají na portál.

Další možností je zkontrolovat stav kolektoru protokolů v kontejneru Dockeru pomocí následujících příkazů:

  1. Přihlaste se ke kontejneru pomocí tohoto příkazu: docker exec -it <Container Name> bash
  2. Pomocí tohoto příkazu ověřte stav kolektoru protokolů: collector_status -p

Pokud máte během nasazování problémy, přečtěte si téma Řešení potíží se službou Cloud Discovery.

Volitelné – Vytváření vlastních průběžných sestav

Ověřte, že se protokoly nahrávají do Defenderu for Cloud Apps a že se generují sestavy. Po ověření vytvořte vlastní sestavy. Můžete vytvářet vlastní sestavy zjišťování založené na skupinách uživatelů Microsoft Entra. Pokud například chcete zobrazit používání cloudu marketingového oddělení, naimportujte skupinu marketingu pomocí funkce importovat skupinu uživatelů. Pak vytvořte vlastní sestavu pro tuto skupinu. Sestavu můžete také přizpůsobit na základě značky IP adresy nebo rozsahů IP adres.

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Cloud Discovery vyberte Průběžné sestavy.

  3. Vyberte tlačítko Vytvořit sestavu a vyplňte pole.

  4. V části Filtry můžete filtrovat data podle zdroje dat, podle importované skupiny uživatelů nebo podle značek a rozsahů IP adres.

    Poznámka:

    Při použití filtrů u průběžných sestav se výběr zahrne, nebude vyloučen. Pokud například použijete filtr pro určitou skupinu uživatelů, bude do sestavy zahrnuta pouze tato skupina uživatelů.

    Custom continuous report.

Volitelné – Ověření podpisu instalačního programu

Pokud chcete zajistit, aby byl instalační program Dockeru podepsaný Microsoftem:

  1. Klikněte pravým tlačítkem myši na soubor a vyberte Vlastnosti.

  2. Vyberte Digitální podpisy a ujistěte se, že je tento digitální podpis v pořádku.

  3. Ujistěte se, že je společnost Microsoft Corporation uvedená jako jediná položka pod názvem podepisující osoby.

    Digital signature valid.

    Pokud digitální podpis není platný, řekne se, že tento digitální podpis není platný:

    Digital signature not valid.

Další kroky

Úprava konfigurace FTP kolektoru protokolů

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.