Configuración de la carga de registros automática con Docker en Azure

En este artículo se describe cómo configurar las cargas automáticas de registros para informes continuos en Defender for Cloud Apps mediante un Docker en Ubuntu o CentOS en Azure.

Requisitos previos

Antes de comenzar, asegúrese de que su entorno cumple los requisitos siguientes:

Requisito	Descripción
SISTEMA OPERATIVO	Uno de los siguientes: - Ubuntu 14.04, 16.04, 18.04, y 20.04 - CentOS 7.2 o superior
Espacio en disco	250 GB
Núcleos de CPU	2
Arquitectura de CPU	Intel 64 y AMD 64
RAM	4 GB
Configuración de firewall	Tal como se define en Requisitos de red

Planificación de los recopiladores de registros por rendimiento

Cada recopilador de registros puede gestionar con éxito una capacidad de registro de hasta 50 GB por hora compuesta por hasta 10 fuentes de datos. Los principales cuellos de botella del proceso de recopilación de registros son:

• Ancho de banda de red: el ancho de banda de red determina la velocidad de carga de registros.

• Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y la compara con la velocidad de carga. En caso de congestión, el recopilador de registros comienza a quitar archivos de registro. Si la configuración normalmente supera los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.

Si necesita más de 10 orígenes de datos, se recomienda dividirlos entre varios recopiladores de registros.

Definición de los orígenes de datos

1. En el portal de Microsoft Defender, seleccione Configuración > Cloud Apps > Cloud Discovery > Carga automática de registros.

2. En la pestaña Orígenes de datos, cree un origen de datos coincidente para cada firewall o servidor proxy desde el que quiera cargar registros:

   1. Seleccione Add data source(Agregar origen de datos).

   2. En el cuadro de diálogo Agregar origen de datos, escriba el nombre del origen de datos y, a continuación, seleccione el origen y el tipo de receptor.

      Antes de seleccionar un origen, seleccione Ver ejemplo de archivo de registro esperado y compare el registro con el formato esperado. Si el formato de archivo del registro no coincide con este ejemplo, agregue el origen de datos como Otro.

      Para trabajar con un dispositivo de red que no aparece en la lista, seleccione Otro > Formato de registro de cliente u Otro (solo manual). Para obtener más información, consulte Trabajo con el analizador de registros personalizado.

   Nota:

   La integración con protocolos de transferencia segura (FTPS y Syslog – TLS) a menudo requiere una configuración adicional o firewall/proxy.

Repita este proceso para cada servidor proxy y firewall cuyos registros se puedan usar para detectar tráfico en la red.

Se recomienda configurar un origen de datos dedicado por dispositivo de red, lo que le permite supervisar el estado de cada dispositivo por separado con fines de investigación y explorar Shadow IT Discovery por dispositivo si cada dispositivo lo usa un segmento de usuario diferente.

Creación de un recopilador de registros

1. En el portal de Microsoft Defender, seleccione Configuración > Cloud Apps > Cloud Discovery > Carga automática de registros.

2. En la pestaña Recopiladores de registros, seleccione Agregar recopilador de registros.

3. En el cuadro de diálogo Crear recopilador de registros, especifique los siguientes detalles:

   • Un nombre para el recopilador de registros
   • La dirección IP de host, que es la dirección IP privada de la máquina que se va a usar para implementar el Docker. La dirección IP del host también puede reemplazarse por el nombre del equipo si existe un servidor DNS o equivalente para resolver el nombre de host.

   A continuación, seleccione el cuadro Orígenes de datos para seleccionar los orígenes de datos que desee conectar al recopilador y seleccione Actualizar para guardar los cambios. Cada recopilador de registros puede administrar varios orígenes de datos.

   El cuadro de diálogo Crear recopilador de registros muestra más detalles de implementación, incluido un comando para importar la configuración del recopilador. Por ejemplo:

   

4. Seleccione el icono de Copiar situado junto al comando para copiarlo en el portapapeles.

   Los detalles que se muestran en el cuadro de diálogo Crear recopilador de registros difieren en función del origen y el tipo de receptor seleccionados. Por ejemplo, si seleccionó Syslog, el cuadro de diálogo incluye detalles sobre el puerto en el que escucha syslog.

   Copie el contenido de la pantalla y guárdelo de forma local, ya que lo necesitará al configurar el recopilador de registros para comunicarse con Defender for Cloud Apps.

5. Seleccione Exportar para exportar la configuración de origen a un archivo .CSV que describe cómo configurar la exportación de registros en los dispositivos.

Sugerencia

Para los usuarios que envían datos de registro a través de FTP por primera vez, se recomienda cambiar la contraseña para el usuario FTP. Para obtener más información, consulte Cambio de la contraseña de FTP.

Implementación de la máquina en Azure

En este procedimiento se describe cómo implementar la máquina con Ubuntu. Los pasos de implementación en otras plataformas son ligeramente diferentes.

1. Cree una nueva máquina Ubuntu en el entorno Azure.

2. Cuando la máquina esté en funcionamiento, abra los puertos:

   1. En la vista de la máquina, vaya a Redes y seleccione la interfaz adecuada haciendo doble clic en ella.

   2. Vaya a Grupo de seguridad de red y seleccione el grupo de seguridad de red pertinente.

   3. Vaya a Reglas de seguridad de entrada y haga clic en Agregar.

   4. Agregue las siguientes reglas (en modo Avanzado):

      Nombre	Intervalos de puertos de destino	Protocolo	Origen	Destination
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Any
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Any
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Any
      caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Any

   Para obtener más información, consulte Trabajo con reglas de seguridad.

3. Vuelva a la máquina y haga clic en Conectar para abrir un terminal en ella.

4. Cambie a los privilegios raíz con sudo -i.

5. Si acepta los términos de la licencia del software, desinstale las versiones antiguas e instale Docker CE ejecutando los comandos adecuados para su entorno:

   CentOS

   1. Elimine las versiones anteriores de Docker: yum erase docker docker-engine docker.io

   2. Instale los requisitos previos del motor Docker: yum install -y yum-utils

   3. Añada el repositorio Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Instale el motor Docker: yum -y install docker-ce

   5. Inicie Docker

      systemctl start docker
      systemctl enable docker
      

   6. Pruebe la instalación de Docker: docker run hello-world

   Ubuntu

   1. Elimine las versiones anteriores de Docker: apt-get remove docker docker-engine docker.io

   2. Si va a instalar en Ubuntu 14.04, instale el paquete linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Instale los requisitos previos del motor Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Compruebe que el UID de la huella digital de apt-key es docker@docker.com: apt-key fingerprint | grep uid

   5. Instale el motor Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Pruebe la instalación de Docker: docker run hello-world

6. Ejecute el comando que copió anteriormente del cuadro de diálogo Crear recopilador de registros. Por ejemplo:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Para comprobar si el recopilador de registros se ejecuta correctamente, ejecute el comando siguiente: Docker logs <collector_name>. Debe obtener los resultados: Finalizado correctamente.

Configuración de los ajustes locales del dispositivo de red

Configure los firewalls y los servidores proxy de la red de modo que exporten periódicamente los registros al puerto Syslog dedicado del directorio FTP según las instrucciones del cuadro de diálogo. Por ejemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Comprobación de la implementación en Defender for Cloud Apps

Compruebe el estado del recopilador en la tabla Recopilador de registros y asegúrese de que el estado es Conectado. Si es Creado, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.

Por ejemplo:

También puede ir al registro de gobernanza y comprobar que los registros se están cargando periódicamente en el portal.

Como alternativa, puede comprobar el estado del recopilador de registros desde el contenedor de Docker mediante los siguientes comandos:

1. Inicie sesión en el contenedor utilizando este comando: docker exec -it <Container Name> bash
2. Compruebe el estado del recopilador de registros mediante este comando: collector_status -p

Si tiene problemas durante la implementación, consulte Solución de problemas de Cloud Discovery.

Opcional: crear informes continuos personalizados

Compruebe que se cargan los registros de Defender for Cloud Apps y que se generan los informes. Después de la comprobación, cree informes personalizados. Puede crear informes de detección personalizados basados en grupos de usuarios de Microsoft Entra. Por ejemplo, si quiere ver el uso de la nube por parte del departamento de marketing, importe el grupo de marketing mediante la característica para importar grupos de usuarios. Después, cree un informe personalizado para este grupo. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.

1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

2. En Cloud Discovery, seleccione Informes continuos.

3. Haga clic en el botón Crear informe y rellene los campos.

4. En Filtros, puede filtrar los datos por origen de datos, por grupo de usuarios importados o por etiquetas e intervalos de direcciones IP.

   Nota:

   Al aplicar filtros en los informes continuos, la selección no se excluye, sino que se incluye. Por ejemplo, si aplica un filtro en un grupo de usuarios determinado, solo se incluirá ese grupo de usuarios en el informe.

   

Eliminación del recopilador de registros

Si tiene un recopilador de registros existente y desea quitarlo antes de implementarlo de nuevo, o si simplemente desea quitarlo, ejecute los siguientes comandos:

docker stop <collector_name>
docker rm <collector_name>

Pasos siguientes

Modificación de la configuración FTP del recopilador de registros

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.