Docker unter Windows (lokal)

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen aktualisieren wir die Screenshots und Anweisungen hier und in verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Sie können den automatischen Protokollupload für fortlaufende Berichte in Defender für Cloud Apps mithilfe eines Docker auf Windows konfigurieren.

Voraussetzungen

  • Betriebssystem:

    • Windows 10 (Fall Creators Update)
    • Windows Serverversion 1709+ (SAC)
    • Windows Server 2019 (LTSC)
  • 250 GB Speicherplatz

  • CPU-Kerne: 2

  • CPU-Architektur: Intel® 64 und AMD 64

  • 4 GB RAM

  • Konfigurieren Sie Ihre Firewall wie in den Netzwerkanforderungen beschrieben.

  • Für die Virtualisierung auf dem Betriebssystem muss Hyper-V aktiv sein.

Wichtig

  • Enterprise Kunden mit mehr als 250 Benutzern ein kostenpflichtiges Abonnement benötigen, um Docker Desktop für Windows zu verwenden.
  • Ein Benutzer muss für Docker angemeldet sein, um Protokolle zu sammeln. Es wird empfohlen, Ihre Docker-Benutzer zu beraten, ohne sich abmelden zu lassen.
  • Docker für Windows wird in VMWare-Virtualisierungsszenarien nicht offiziell unterstützt.
  • Docker für Windows wird in geschachtelten Virtualisierungsszenarien nicht offiziell unterstützt. Wenn Sie weiterhin geschachtelte Virtualisierung verwenden möchten, lesen Sie den offiziellen Leitfaden von Docker.
  • Informationen zu zusätzlichen Konfigurations- und Implementierungsüberlegungen für Docker für Windows finden Sie unter Installieren von Docker Desktop auf Windows.

Hinweis

Wenn Sie über einen vorhandenen Protokollsammler verfügen und sie entfernen möchten, bevor Sie es erneut bereitstellen oder wenn Sie es einfach entfernen möchten, führen Sie die folgenden Befehle aus:

docker stop <collector_name>
docker rm <collector_name>

Leistung des Protokollsammlers

Der Protokollsammler kann erfolgreich eine Protokollkapazität von bis zu 50 GB pro Stunde verarbeiten. Die wichtigsten Engpässe im Protokollsammelprozess sind:

  • Netzwerkbandbreite: Ihre Netzwerkbandbreite bestimmt die Geschwindigkeit des Protokolluploads.

  • I/O-Leistung des virtuellen Computers – Bestimmt die Geschwindigkeit, in der Protokolle auf den Datenträger des Protokollsammlers geschrieben werden. Der Protokollsammler verfügt über einen integrierten Sicherheitsmechanismus, der die Rate überwacht, mit der Protokolle ankommen, und mit der Uploadrate vergleicht. Bei Überlastung beginnt der Protokollsammler, Protokolldateien zu verwerfen. Überschreitet Ihr Setup in der Regel 50 GB pro Stunde, sollten Sie den Datenverkehr auf mehrere Protokollsammler aufteilen.

Einrichten und Konfiguration

  1. Wechseln Sie zur Einstellungsseite Automatischer Protokollupload.

    1. Klicken Sie im Defender für Cloud Apps-Portal auf das Symbol "Einstellungen" gefolgt von Protokollsammlern.

    settings icon.

  2. Erstellen Sie für jede Firewall bzw. jeden Proxy, von der/dem Sie Protokolle hochladen möchten, eine entsprechende Datenquelle.

    1. Klicken Sie auf "Datenquelle hinzufügen".
      Add a data source.
    2. Geben Sie Ihrem Proxy/Ihrer Firewall einen Namen.
      Add name for data source.
    3. Wählen Sie das Gerät aus der Liste Quelle. Wenn Sie Benutzerdefiniertes Protokollformat auswählen, um mit einem nicht aufgeführten Netzwerkgerät zu arbeiten, lesen Sie die Konfigurationsanweisungen unter Verwenden eines benutzerdefinierten Protokollparsers.
    4. Vergleichen Sie Ihr Protokoll mit dem Beispiel für das erwartete Protokollformat. Wenn Ihr Protokolldateiformat nicht mit diesem Beispiel übereinstimmt, sollten Sie die Datenquelle als Andere hinzufügen.
    5. Legen Sie den Empfängertyp auf FTP, FTPS, Syslog – UDP oder Syslog – TCP bzw. Syslog – TLS fest.

    Hinweis

    Die Integration in sichere Übertragungsprotokolle (FTPS und Syslog – TLS) erfordert häufig zusätzliche Einstellungen für Ihre Firewall bzw. den Proxy.

    f. Wiederholen Sie diesen Vorgang für alle Firewalls/Proxys, deren Protokolle verwendet werden können, um Datenverkehr in Ihrem Netzwerk zu erkennen. Es wird empfohlen, eine dedizierte Datenquelle pro Netzwerkgerät einzurichten, damit Sie folgende Aktionen durchführen können:

    • Separates Überwachen des Status jedes Geräts zu Untersuchungszwecken
    • Untersuchen von Shadow IT Discovery pro Gerät, wenn jedes Gerät von einem anderen Benutzersegment verwendet wird
  3. Wechseln Sie zur Registerkarte Protokollsammler am oberen Rand.

    1. Klicken Sie auf Protokollsammler hinzufügen.
    2. Geben Sie dem Protokollsammler einen Namen.
    3. Geben Sie die Host-IP-Adresse (private IP-Adresse ) des Computers ein, den Sie zum Bereitstellen des Docker verwenden. Die IP-Adresse des Hosts kann durch den Computernamen ersetzt werden, wenn ein DNS-Server (oder ein ähnlicher Server) verfügbar ist, der den Hostnamen auflöst.
    4. Wählen Sie alle Datenquellen aus, die Sie mit dem Sammler verbinden möchten, und klicken Sie auf "Aktualisieren ", um die Konfiguration zu speichern. Select data source to connect.
  4. Weitere Informationen zur Bereitstellung werden angezeigt. Kopieren Sie den Befehl „run“ aus dem Dialogfeld. Sie können die Kopie zum Zwischenablagesymbol verwenden. copy to clipboard icon. Sie benötigen sie später.

  5. Exportieren Sie die erwartete Datenquellenkonfiguration. Diese Konfiguration beschreibt, wie Sie den Protokollexport in Ihren Geräten festlegen sollten.

    Create log collector.

    Hinweis

    • Ein einzelner Protokollsammler kann mehrere Datenquellen verarbeiten.
    • Kopieren Sie den Inhalt des Bildschirms, da Sie die Informationen benötigen, wenn Sie den Protokollsammler für die Kommunikation mit Defender für Cloud Apps konfigurieren. Wenn Sie „Syslog“ ausgewählt haben, enthalten diese Informationen Angaben darüber, an welchem Port der Syslog-Listener lauscht.
    • Zum ersten Mal empfehlen wir, das Kennwort für den FTP-Benutzer zu ändern. Weitere Informationen finden Sie unter Ändern des FTP-Kennworts.

Schritt 2: Lokale Bereitstellung Ihres Computers

In den folgenden Schritten wird die Bereitstellung unter Windows beschrieben. Die Bereitstellungsschritte für andere Plattformen weichen davon geringfügig ab.

  1. Öffnen Sie ein PowerShell-Terminal als Administrator auf Ihrem Windows-Computer.

  2. Führen Sie den folgenden Befehl aus, um die Windows Docker-Installationsprogramm-PowerShell-Skriptdatei herunterzuladen:Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Informationen zur Überprüfung, ob das Installationsprogramm von Microsoft signiert ist, finden Sie unter Überprüfen der Installationssignatur

  3. Führen Sie die Ausführung von PowerShell-Skripts aus, um die Ausführung von PowerShell zu aktivieren. Set-ExecutionPolicy RemoteSigned

  4. Ausführen: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Dadurch wird der Docker-Client auf Ihrem Computer installiert. Während der Container für den Protokollsammler installiert wird, wird der Computer zweimal neu gestartet, und Sie müssen sich erneut anmelden. Stellen Sie sicher, dass der Docker-Client auf die Verwendung von Linux-Containern festgelegt ist.

  5. Öffnen Sie nach jedem Neustart ein PowerShell-Terminal als Administrator auf Ihrem Computer, führen Sie folgendes erneut aus: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

  6. Bevor die Installation abgeschlossen wird, müssen Sie den Ausführungsbefehl einfügen, den Sie zuvor kopiert haben.

  7. Stellen Sie das Protokollsammlerimage auf dem Hostcomputer bereit, indem Sie die Protokollsammlerkonfiguration importieren. Importieren Sie die Konfiguration, indem Sie den im Portal generierten Ausführungsbefehl kopieren. Wenn Sie einen Proxy konfigurieren müssen, fügen Sie die IP-Adresse des Proxys und die Portnummer hinzu. Wenn Ihre Proxydetails z. B. „192.168.10.1:8080“ sind, lautet der aktualisierte Befehl „run“ folgendermaßen:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    Create log collector.

  8. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Sammler ordnungsgemäß ausgeführt wird: docker logs <collector_name>

Die Meldung sollte angezeigt werden: Erfolgreich abgeschlossen!

Verify that collector is running properly.

Schritt 3: Lokale Konfiguration Ihrer Netzwerkgeräte

Konfigurieren Sie Ihre Netzwerkfirewalls und -proxys so, dass Protokolle in regelmäßigen Abständen gemäß den Anweisungen im Dialogfeld in den dedizierten Syslog-Port des FTP-Verzeichnisses exportiert werden. Zum Beispiel:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Schritt 4 : Überprüfen der erfolgreichen Bereitstellung im Defender für Cloud Apps-Portal

Überprüfen Sie den Status in der Tabelle Protokollsammler und achten Sie darauf, dass er Verbunden ist. Wenn der Status Erstellt angezeigt wird, wurde die Verbindung mit dem Protokollsammler möglicherweise nicht hergestellt und die Analyse nicht durchgeführt.

Verify that collector deployed successfully.

Sie können auch zum Governanceprotokoll navigieren und überprüfen, ob die Protokolle in regelmäßigen Abständen in das Portal hochgeladen werden.

Alternativ können Sie den Protokollsammlerstatus im Docker-Container mithilfe der folgenden Befehle überprüfen:

  1. Melden Sie sich mit diesem Befehl beim Container an: docker exec -it <Container Name> bash
  2. Überprüfen Sie den Protokollsammlerstatus mithilfe dieses Befehls: collector_status -p

Wenn Probleme bei der Bereitstellung auftreten, finden Sie weitere Informationen unter Problembehandlung bei Cloud Discovery.

Optional – Erstellen benutzerdefinierter fortlaufender Berichte

Stellen Sie sicher, dass die Protokolle in Defender für Cloud Apps hochgeladen werden und dass Berichte generiert werden. Nach der Überprüfung erstellen Sie benutzerdefinierte Berichte. Sie können benutzerdefinierte Ermittlungsberichte auf Grundlage von Azure Active Directory-Benutzergruppen erstellen. Wenn Sie z.B. wissen möchten, wie Ihre Marketingabteilung die Cloud nutzt, importieren Sie die Marketinggruppe mithilfe des Features „Benutzergruppe importieren“. Erstellen Sie anschließend einen benutzerdefinierten Bericht für diese Gruppe. Außerdem können Sie einen Bericht auf Grundlage von IP-Adressentags oder IP-Adressenbereichen anpassen.

  1. Wählen Sie im Defender für Cloud Apps-Portal unter dem Einstellungen-Kog Cloud Discovery-Einstellungen aus, und wählen Sie dann "Fortlaufende Berichte" aus.

  2. Klicken Sie auf die Schaltfläche Bericht erstellen und füllen Sie die Felder aus.

  3. Unter den Filtern können Sie die Daten nach Datenquellen filtern, entweder nach importierten Benutzergruppen oder nach IP-Adressentags und -bereichen.

    Hinweis

    Wenn Filter auf fortlaufende Berichte angewendet werden, wird die Auswahl eingeschlossen, nicht ausgeschlossen. Wenn Sie beispielsweise einen Filter für eine bestimmte Benutzergruppe anwenden, wird nur diese Benutzergruppe in den Bericht aufgenommen.

    Custom continuous report.

Optional: Überprüfen der Signatur des Installationsprogramms

So stellen Sie sicher, dass das Docker-Installationsprogramm von Microsoft signiert wurde:

  1. Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie Eigenschaften aus.

  2. Klicken Sie auf Digitale Signaturen, und stellen Sie sicher, dass die Meldung Diese digitale Signatur ist OK lautet.

  3. Stellen Sie sicher, dass Microsoft Corporation als einziger Eintrag unter Name des Signaturgebers aufgeführt wird.

    Digital signature valid.

Wenn die digitale Signatur nicht gültig ist, lautet die Meldung Diese digitale Signatur ist ungültig:

Digital signature not valid.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.