Konfigurieren des automatischen Protokolluploads mit lokalem Docker unter Windows

  • Artikel

Sie können den automatischen Protokollupload für fortlaufende Berichte in Defender for Cloud Apps mithilfe von Docker unter Windows konfigurieren.

Voraussetzungen

  • Architekturspezifikationen:

    • Betriebssystem: Eine der folgenden:

      • Windows 10 (Fall Creators Update)

      • Windows Server, Version 1709+ (SAC)

      • Windows Server 2019 (LTSC)

    • Speicherplatz: 250 GB

    • CPU-Kerne: 2

    • CPU-Architektur:Intel 64 und AMD 64

    • RAM: 4 GB

    Eine Liste der unterstützten Docker-Architekturen finden Sie in der Dokumentation zur Docker-Installation.

  • Legen Sie Ihre Firewall wie in den Netzwerkanforderungen beschrieben fest

  • Die Virtualisierung auf dem Betriebssystem muss mit Hyper-V aktiviert werden.

Wichtig

  • Enterprise-Kunden mit über 250 Benutzern oder mehr als 10 Millionen US-Dollar Jahresumsatz müssen für die Verwendung von Docker Desktop für Windows ein kostenpflichtiges Abonnement abschließen. Weitere Informationen finden Sie in der Übersicht über das Docker-Abonnement.
  • Benutzer*innen müssen bei Docker angemeldet sein, um Protokolle zu sammeln. Wir empfehlen, Ihre Docker-Benutzer*innen anzuweisen, die Verbindung zu trennen, ohne sich abzumelden.
  • Docker für Windows wird in VMWare-Virtualisierungsszenarien nicht offiziell unterstützt.
  • Docker für Windows wird in geschachtelten Virtualisierungsszenarien nicht offiziell unterstützt. Wenn Sie trotzdem die geschachtelte Virtualisierung verwenden möchten, lesen Sie das Offizielle Handbuch von Docker.
  • Weitere Informationen zu zusätzlichen Konfigurations- und Implementierungsaspekten zu Docker für Windows finden Sie unter Installieren von Docker Desktop unter Windows.

Hinweis

Führen Sie die folgenden Befehle aus, wenn Sie über einen Protokollsammler verfügen und ihn entfernen möchten, bevor Sie ihn erneut bereitstellen, oder wenn Sie ihn einfach nur entfernen möchten:

docker stop <collector_name>
docker rm <collector_name>

Leistung des Protokollsammlers

Der Protokollsammler kann erfolgreich eine Protokollkapazität von bis zu 50 GB pro Stunde verarbeiten. Die wichtigsten Engpässe im Protokollsammelprozess sind:

  • Netzwerkbandbreite: Ihre Netzwerkbandbreite bestimmt die Geschwindigkeit des Protokolluploads.

  • E/A-Leistung des virtuellen Computers: Bestimmt die Geschwindigkeit, mit der Protokolle auf den Datenträger des Protokollsammlers geschrieben werden. Der Protokollsammler verfügt über einen integrierten Sicherheitsmechanismus, der die Rate überwacht, mit der Protokolle ankommen, und mit der Uploadrate vergleicht. Bei Überlastung beginnt der Protokollsammler, Protokolldateien zu verwerfen. Überschreitet Ihr Setup in der Regel 50 GB pro Stunde, sollten Sie den Datenverkehr auf mehrere Protokollsammler aufteilen.

Einrichten und Konfiguration

Schritt 1: Konfiguration des Webportals – Definieren von Datenquellen und Verknüpfen der Datenquellen mit einem Protokollsammler

  1. Klicken Sie im Microsoft Defender-Portal auf Einstellungen. Wählen Sie dann Cloud-Apps.

  2. Wählen Sie unter Cloud Discovery die Option Cloud Discovery,Automatischer Protokollupload. Wählen Sie die Registerkarte Datenquellen.

  3. Erstellen Sie für jede Firewall bzw. jeden Proxy, von der/dem Sie Protokolle hochladen möchten, eine entsprechende Datenquelle.

    1. Wählen Sie die Option +Datenquelle hinzufügen.
      Add a data source.
    2. Geben Sie Ihrem Proxy/Ihrer Firewall einen Namen.
      Add name for data source.
    3. Wählen Sie das Gerät aus der Liste Quelle. Wenn Sie Benutzerdefiniertes Protokollformat auswählen, um mit einem nicht aufgeführten Netzwerkgerät zu arbeiten, lesen Sie die Konfigurationsanweisungen unter Verwenden eines benutzerdefinierten Protokollparsers.
    4. Vergleichen Sie Ihr Protokoll mit dem Beispiel für das erwartete Protokollformat. Wenn Ihr Protokolldateiformat nicht mit diesem Beispiel übereinstimmt, sollten Sie die Datenquelle als Andere hinzufügen.
    5. Legen Sie den Empfängertyp auf FTP, FTPS, Syslog – UDP oder Syslog – TCP bzw. Syslog – TLS fest.

    Hinweis

    Die Integration in sichere Übertragungsprotokolle (FTPS und Syslog – TLS) erfordert häufig zusätzliche Einstellungen für Ihre Firewall bzw. den Proxy.

    f. Wiederholen Sie diesen Vorgang für alle Firewalls/Proxys, deren Protokolle verwendet werden können, um Datenverkehr in Ihrem Netzwerk zu erkennen. Es wird empfohlen, eine dedizierte Datenquelle pro Netzwerkgerät einzurichten, damit Sie folgende Aktionen durchführen können:

    • Separates Überwachen des Status jedes Geräts zu Untersuchungszwecken.
    • Untersuchen von Shadow IT Discovery pro Gerät, wenn jedes Gerät von einem anderen Benutzersegment verwendet wird.

  4. Wechseln Sie zur Registerkarte Protokollsammler am oberen Rand.

    1. Wählen Sie Protokollsammler hinzufügen.
    2. Geben Sie dem Protokollsammler einen Namen.
    3. Geben Sie die IP-Hostadresse (private IP-Adresse) des Computers ein, den Sie zum Bereitstellen von Docker verwenden möchten. Die IP-Adresse des Hosts kann durch den Computernamen ersetzt werden, wenn ein DNS-Server (oder ein ähnlicher Server) verfügbar ist, der den Hostnamen auflöst.
    4. Wählen Sie alle Datenquellen aus, die Sie mit dem Sammler verbinden möchten, und wählen Sie Aktualisieren, um die Konfiguration zu speichern. Select data source to connect.

  5. Weitere Informationen zur Bereitstellung werden angezeigt. Kopieren Sie den Befehl „run“ aus dem Dialogfeld. Sie können das Symbol „In Zwischenablage kopieren“ copy to clipboard icon. verwenden. Das wird später noch benötigt.

  6. Exportieren Sie die erwartete Datenquellenkonfiguration. Diese Konfiguration beschreibt, wie Sie den Protokollexport in Ihren Geräten festlegen sollten.

    Create log collector.

    Hinweis

    • Ein einzelner Protokollsammler kann mehrere Datenquellen verarbeiten.
    • Kopieren Sie den Inhalt des Bildschirms, da Sie die Informationen benötigen, wenn Sie den Protokollsammler für die Kommunikation mit Defender for Cloud Apps konfigurieren. Wenn Sie „Syslog“ ausgewählt haben, enthalten diese Informationen Angaben darüber, an welchem Port der Syslog-Listener lauscht.
    • Benutzer*innen, die zum ersten Mal Protokolldaten per FTP senden, empfehlen wir, das Passwort für den FTP-Benutzer zu ändern. Weitere Informationen finden Sie unter Ändern des FTP-Passworts.

Schritt 2 – Lokale Bereitstellung Ihres Computers

In den folgenden Schritten wird die Bereitstellung unter Windows beschrieben. Die Bereitstellungsschritte für andere Plattformen weichen davon geringfügig ab.

  1. Öffnen Sie ein PowerShell-Terminal als Administrator auf Ihrem Windows-Computer.

  2. Führen Sie den folgenden Befehl aus, um die PowerShell-Skriptdatei des Docker-Installationsprogramm für Windows herunterzuladen: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Wenn Sie überprüfen möchten, ob das Installationsprogramm von Microsoft signiert wurde, finden Sie weitere Informationen unter Überprüfen der Signatur des Installationsprogramms.

  3. Führen Sie Set-ExecutionPolicy RemoteSigned aus, um die Ausführung von PowerShell-Skripts zu aktivieren.

  4. Führen Sie & (Join-Path $Env:Temp LogCollectorInstaller.ps1) aus. Damit wird der Docker-Client auf Ihrem Computer installiert.

    Docker is installed.

    Nachdem Sie diesen Befehl ausgeführt haben, wird der Computer automatisch neu gestartet.

  5. Wenn der Computer wieder hochgefahren ist, führen Sie denselben Befehl in PowerShell aus: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Run PowerShell command again.

  6. Führen Sie das Docker-Installationsprogramm aus. Wählen Sie WSL 2 anstelle von Hyper-V verwenden (empfohlen):

    Installing Docker desktop.

    Nach Abschluss der Installation wird der Computer automatisch neu gestartet.

  7. Öffnen Sie nach Abschluss des Neustarts den Docker-Client, und lesen Sie die Docker-Abonnementvereinbarung:

    Accept Docker service agreement.

  8. Wenn die WSL2-Installation nicht abgeschlossen ist, wird die folgende Popupmeldung angezeigt:

    WSL 2 installation is incomplete.

  9. Schließen Sie die Installation ab, indem Sie das Paket herunterladen, wie unter Herunterladen des Updatepakets für den Linux-Kernel beschrieben.

  10. Öffnen Sie den Docker Desktop-Client erneut, und stellen Sie sicher, dass er gestartet wurde:

    Open the Docker Desktop client.

  11. Führen Sie CMD als Administrator*in aus, und geben Sie die im Portal generierte Skriptausführung ein. Wenn Sie einen Proxy konfigurieren müssen, fügen Sie die IP-Adresse des Proxys und die Portnummer hinzu. Wenn Ihre Proxydetails z. B. 192.168.10.1:8080 sind, lautet der aktualisierte Befehl „run“ folgendermaßen:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  12. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Sammler ordnungsgemäß ausgeführt wird: docker logs <collector_name>

Die folgende Meldung sollte angezeigt werden: Finished successfully!

Verify that collector is running properly.

Schritt 3: Lokale Konfiguration Ihrer Netzwerkgeräte

Konfigurieren Sie Ihre Netzwerkfirewalls und -proxys so, dass Protokolle in regelmäßigen Abständen gemäß den Anweisungen im Dialogfeld in den dedizierten Syslog-Port des FTP-Verzeichnisses exportiert werden. Beispiel:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Schritt 4: Überprüfen der erfolgreichen Bereitstellung im Portal

Überprüfen Sie den Status in der Tabelle Protokollsammler und achten Sie darauf, dass er Verbunden ist. Wenn der Status Erstellt angezeigt wird, wurde die Verbindung mit dem Protokollsammler möglicherweise nicht hergestellt und die Analyse nicht durchgeführt.

Verify that the collector status is Connected.

Sie können auch zum Governanceprotokoll navigieren und überprüfen, ob die Protokolle in regelmäßigen Abständen in das Portal hochgeladen werden.

Alternativ können Sie den Protokollsammlerstatus im Docker-Container mithilfe der folgenden Befehle überprüfen:

  1. Melden Sie sich mit diesem Befehl beim Container an: docker exec -it <Container Name> bash
  2. Überprüfen Sie den Protokollsammlerstatus mithilfe dieses Befehls: collector_status -p

Wenn Probleme bei der Bereitstellung auftreten, finden Sie weitere Informationen unter Problembehandlung bei Cloud Discovery.

Optional: Erstellen eines benutzerdefinierten kontinuierlichen Berichts

Überprüfen Sie, ob die Protokolle in Defender for Cloud Apps hochgeladen und Berichte erstellt werden. Nach der Überprüfung erstellen Sie benutzerdefinierte Berichte. Sie können benutzerdefinierte Ermittlungsberichte auf Grundlage von Microsoft Entra-Benutzergruppen erstellen. Wenn Sie z. B. wissen möchten, wie Ihre Marketingabteilung die Cloud nutzt, importieren Sie die Marketinggruppe mithilfe des Features „Benutzergruppe importieren“. Erstellen Sie anschließend einen benutzerdefinierten Bericht für diese Gruppe. Außerdem können Sie einen Bericht auf Grundlage von IP-Adressentags oder IP-Adressenbereichen anpassen.

  1. Klicken Sie im Microsoft Defender-Portal auf Einstellungen. Wählen Sie dann Cloud-Apps.

  2. Wählen Sie unter Cloud Discovery die Option Fortlaufende Berichte.

  3. Wählen Sie die Schaltfläche Bericht erstellen, und füllen Sie die Felder aus.

  4. Unter den Filtern können Sie die Daten nach Datenquellen filtern, entweder nach importierten Benutzergruppen oder nach IP-Adressentags und -bereichen.

    Hinweis

    Wenn Sie Filter auf fortlaufende Berichte anwenden, wird die Auswahl eingeschlossen, nicht ausgeschlossen. Wenn Sie beispielsweise einen Filter auf eine bestimmte Benutzergruppe anwenden, wird nur diese Benutzergruppe in den Bericht eingeschlossen.

    Custom continuous report.

Optional: Überprüfen der Signatur des Installationsprogramms

So stellen Sie sicher, dass das Docker-Installationsprogramm von Microsoft signiert wurde:

  1. Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie Eigenschaften.

  2. Wählen Sie Digitale Signaturen, und stellen Sie sicher, dass die Meldung Diese digitale Signatur ist OK lautet.

  3. Stellen Sie sicher, dass Microsoft Corporation als einziger Eintrag unter Name des Signaturgebers aufgeführt wird.

    Digital signature valid.

    Wenn die digitale Signatur nicht gültig ist, lautet die Meldung Diese digitale Signatur ist ungültig:

    Digital signature not valid.

Nächste Schritte

Ändern der FTP-Konfiguration des Protokollsammlers

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.