Docker v systému Linux v Azure

Poznámka

  • Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps je teď součástí Microsoft 365 Defender. Portál Microsoft 365 Defender umožňuje správcům zabezpečení provádět své úlohy zabezpečení na jednom místě. To zjednoduší pracovní postupy a přidá funkce ostatních služeb Microsoft 365 Defender. Microsoft 365 Defender bude domovem pro monitorování a správu zabezpečení napříč identitami, daty, zařízeními, aplikacemi a infrastrukturou Microsoftu. Další informace o těchto změnách najdete v tématu Microsoft Defender for Cloud Apps v Microsoft 365 Defender.

Automatické nahrávání protokolů můžete nakonfigurovat pro průběžné sestavy v Defender for Cloud Apps pomocí Dockeru na Ubuntu, Red Hat Enterprise Linuxu (RHEL) nebo CentOS v Azure.

Požadavky

  • Operační systém:

    • Ubuntu 14.04, 16.04, 18.04 a 20.04
    • RHEL 7.2 nebo novější
    • CentOS 7.2 nebo vyšší
  • Volné místo na disku: 250 GB

  • Jádra procesoru: 2

  • Architektura procesoru: Intel® 64 a AMD 64

  • Paměť RAM: 4 GB

  • Nastavení brány firewall podle popisu v požadavcích na síť

Poznámka

Pokud máte existující kolektor protokolů a chcete ho před opětovným nasazením odebrat, nebo ho jednoduše chcete odebrat, spusťte následující příkazy:

docker stop <collector_name>
docker rm <collector_name>

Výkon kolektoru protokolů:

Kolektor protokolů dokáže úspěšně zpracovat kapacitu protokolu až 50 GB za hodinu, která se skládá z až 10 zdrojů dat. Proces shromažďování protokolů má tato hlavní problémová místa:

  • Šířka pásma sítě – Šířka pásma sítě určuje rychlost nahrávání protokolů.

  • Výkon vstupně-výstupních operací virtuálního počítače – Určuje rychlost zápisu protokolů na disk kolektoru protokolů. Kolektor protokolů má integrovaný bezpečnostní mechanismus, který sleduje rychlost přijímání protokolů a porovnává ji s rychlostí odesílání. V případě přetížení začne kolektor protokolů některé soubory protokolu vyřazovat. Pokud vaše nastavení obvykle překračuje 50 GB za hodinu, doporučujeme rozdělit provoz mezi několik kolektorů protokolů.

Poznámka

Pokud potřebujete více než 10 zdrojů dat, doporučujeme rozdělit zdroje dat mezi více kolektorů protokolů.

Nastavení a konfigurace

  1. Přejděte na stránku nastavení automatického nahrávání protokolu .

    1. Na portálu Defender for Cloud Apps klikněte na ikonu nastavení následovanou kolektory protokolů.

    settings icon.

  2. Pro každou bránu firewall nebo proxy server, ze kterého chcete nahrát protokoly, vytvořte odpovídající zdroj dat.

    1. Klikněte na Přidat zdroj dat.
      Add a data source.
    2. Zadejte Název proxy serveru nebo brány firewall.
      Name for proxy or firewall.
    3. Vyberte zařízení v seznamu Zdroj. Pokud vyberete Vlastní formát protokolu pro práci se síťovým zařízením, které není uvedené, přečtěte si téma Práce s vlastním analyzátorem protokolů a pokyny ke konfiguraci.
    4. Porovnejte svůj protokol s ukázkou očekávaného formátu protokolu. Pokud formát souboru protokolu neodpovídá této ukázce, měli byste zdroj dat přidat jako jiný.
    5. Nastavte typ příjemce na FTP, FTPS, Syslog – UDP nebo Syslog – TCP nebo Syslog – TLS.

    Poznámka

    Integrace se zabezpečenými přenosovými protokoly (FTPS a Syslog – TLS) často vyžaduje další nastavení nebo bránu firewall nebo proxy server.

    f. Tento postup opakujte pro každou bránu firewall a proxy server, jejichž protokoly se dají použít ke zjišťování přenosů dat ve vaší síti. Doporučujeme nastavit vyhrazený zdroj dat na síťové zařízení, abyste mohli:

    • Monitorujte stav jednotlivých zařízení samostatně pro účely šetření.
    • Prozkoumejte zjišťování stínového IT na zařízení, pokud každé zařízení používá jiný uživatelský segment.
  3. Přejděte na kartu Kolektory protokolů v horní části.

    1. Klikněte na Přidat kolektor protokolů.
    2. Zadejte Název kolektoru protokolů.
    3. Zadejte IP adresu hostitele (privátní IP adresu) počítače, který použijete k nasazení Dockeru. IP adresu hostitele lze nahradit názvem počítače, pokud existuje server DNS (nebo ekvivalent), který přeloží název hostitele.
    4. Vyberte všechny zdroje dat , které se chcete připojit ke kolektoru, a kliknutím na Aktualizovat uložte konfiguraci.
      Select data sources.
  4. Zobrazí se další informace o nasazení. Zkopírujte příkaz spustit z dialogového okna. Ikonu kopírování do schránky můžete použít. copy to clipboard icon.

  5. Exportujte očekávanou konfiguraci zdroje dat. Tato konfigurace popisuje, jak byste měli nastavit export protokolu ve vašich zařízeních.

    Create log collector.

    Poznámka

    • Jeden kolektor protokolů může zpracovávat více zdrojů dat.
    • Zkopírujte obsah obrazovky, protože při konfiguraci kolektoru protokolů budete potřebovat informace ke komunikaci s Defender for Cloud Apps. Pokud jste vybrali možnost Syslog, budou tyto informace zahrnovat informace o tom, na kterém portu naslouchací proces Syslog naslouchá.
    • Pro uživatele, kteří odesílají data protokolu přes FTP poprvé, doporučujeme změnit heslo pro uživatele FTP. Další informace naleznete v tématu Změna hesla FTP.

Krok 2 – Nasazení počítače v Azure

Poznámka

Následující kroky popisují nasazení v Ubuntu. Postup nasazení pro jiné platformy se mírně liší.

  1. Ve svém prostředí Azure vytvořte nový počítač s Ubuntu.

  2. Po spuštění počítače otevřete porty takto:

    1. V zobrazení počítače přejděte na Položku Sítě výběrem příslušného rozhraní poklikáním na příslušné rozhraní.
    2. Přejděte do skupiny zabezpečení sítě a vyberte příslušnou skupinu zabezpečení sítě.
    3. Přejděte na Příchozí pravidla zabezpečení a klikněte na Přidat. Add inbound security rules.
    4. Přidejte následující pravidla (v rozšířeném režimu):
    Name Rozsahy cílových portů Protokol Zdroj Cíl
    caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Všechny
    caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Všechny
    caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Všechny
    caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Všechny

    Ubuntu Azure rules.

  3. Zpět k počítači a kliknutím na Připojení otevřete terminál na počítači.

  4. Změna na kořenová oprávnění pomocí sudo -i.

  5. Pokud souhlasíte s licenčními podmínkami pro software, odinstalujte staré verze a nainstalujte Docker CE spuštěním příkazů vhodných pro vaše prostředí:

  1. Odeberte staré verze Dockeru: yum erase docker docker-engine docker.io

  2. Nainstalujte požadavky na modul Docker: yum install -y yum-utils

  3. Přidejte úložiště Dockeru:

    yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
    yum makecache
    
  4. Nainstalujte modul Docker: yum -y install docker-ce

  5. Spuštění Dockeru

    systemctl start docker
    systemctl enable docker
    
  6. Otestujte instalaci Dockeru: docker run hello-world

  1. Na portálu Defender for Cloud Apps v okně Vytvořit nový kolektor protokolů zkopírujte příkaz pro import konfigurace kolektoru na hostitelském počítači:

    Copy command to import collector configuration on hosting machine.

  2. Spuštěním příkazu nasaďte kolektor protokolů.

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    Ubuntu proxy.

  3. Pokud chcete ověřit, že kolektor protokolů běží správně, spusťte následující příkaz: Docker logs <collector_name>. Měli byste získat výsledky: Dokončeno úspěšně!

    Command to verify log collector is running properly.

Krok 3 – místní konfigurace síťových zařízení

Nakonfigurujte síťové brány firewall a proxy servery tak, aby pravidelně exportovali protokoly do vyhrazeného portu Syslog adresáře FTP podle pokynů v dialogovém okně. Příklad:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Krok 4 – Ověření úspěšného nasazení na portálu Defender for Cloud Apps

Zkontrolujte stav kolektoru v tabulce kolektoru protokolů a ujistěte se, že je stav Připojeno. Pokud je vytvořený, je možné, že se nedokončila připojení kolektoru protokolů a analýza.

Check the collector status in the Log collector.

Můžete také přejít do protokolu zásad správného řízení a ověřit, že se protokoly pravidelně nahrávají na portál.

Případně můžete zkontrolovat stav kolektoru protokolů v kontejneru Dockeru pomocí následujících příkazů:

  1. Přihlaste se ke kontejneru pomocí tohoto příkazu: docker exec -it <Container Name> bash
  2. Pomocí tohoto příkazu ověřte stav kolektoru protokolů: collector_status -p

Pokud máte během nasazování problémy, přečtěte si téma Řešení potíží se službou Cloud Discovery.

Volitelné – Vytváření vlastních průběžných sestav

Ověřte, že se protokoly nahrávají do Defender for Cloud Apps a že se generují sestavy. Po ověření vytvořte vlastní sestavy. Můžete vytvářet vlastní sestavy zjišťování na základě skupin uživatelů Azure Active Directory. Pokud například chcete zobrazit cloudové použití marketingového oddělení, naimportujte marketingovou skupinu pomocí funkce importu skupiny uživatelů. Pak vytvořte vlastní sestavu pro tuto skupinu. Sestavu můžete přizpůsobit také na základě značky IP adresy nebo rozsahů IP adres.

  1. Na portálu Defender for Cloud Apps v části ozubeného kolečka Nastavení vyberte nastavení Cloud Discovery a pak vyberte Průběžné sestavy.

  2. Klikněte na tlačítko Vytvořit sestavu a vyplňte pole.

  3. V části Filtry můžete filtrovat data podle zdroje dat, podle importované skupiny uživatelů nebo podle značek a rozsahů IP adres.

    Poznámka

    Při použití filtrů u průběžných sestav se výběr zahrne, nebude vyloučený. Pokud například použijete filtr pro určitou skupinu uživatelů, zahrne se do sestavy jenom tato skupina uživatelů.

    Custom continuous report.

Další kroky

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.