Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Configuración en UbuntuSet up and configuration on Ubuntu

Requisitos técnicosTechnical requirements

  • Sistema operativo: Ubuntu 14.04 y 16.04 (para versiones más recientes, póngase en contacto con el soporte técnico)OS: Ubuntu 14.04 and 16.04 (for newer versions, contact support)

  • Espacio en disco: 250 GBDisk space: 250 GB

  • CPU: 2CPU: 2

  • RAM: 4 GBRAM: 4 GB

  • Configuración del firewall, tal como se describe en Requisitos de redSet your firewall as described in Network requirements

Rendimiento del recopilador de registrosLog collector performance

El recopilador de registros puede manejar correctamente una capacidad de registros de hasta 50 GB por hora.The Log collector can successfully handle log capacity of up to 50 GB per hour. Los principales cuellos de botella del proceso de recopilación de registros son:The main bottlenecks in the log collection process are:

  • Ancho de banda de red: el ancho de banda de red determina la velocidad de carga de registros.Network bandwidth - your network bandwidth determines the log upload speed.

  • Rendimiento de E/S de la máquina virtual asignada por TI: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros.I/O performance of the virtual machine allocated by your IT - determines the speed at which logs are written to the log collector’s disk. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y la compara con la velocidad de carga.The log collector has a built-in safety mechanism that monitors the rate at which logs arrive and compares it to the upload rate. En caso de congestión, el recopilador de registros comienza a quitar archivos de registro.In cases of congestion, the log collector starts to drop log files. Si la configuración normalmente supera los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.If your setup generally exceeds 50 GB per hour, it is recommended that you split the traffic between multiple log collectors.

Establecimiento y configuraciónSet up and configuration

  1. Vaya a la página de configuración de carga automatizada:Go to the automated upload setting page:
    En el portal de Cloud App Security, haga clic en el icono de configuración y, después, en Recopiladores de registros.In the Cloud App Security portal, click the settings icon settings icon followed by Log collectors.

  2. Cree un origen de datos coincidente para cada firewall o servidor proxy desde el que quiera cargar registros:For each firewall or proxy from which you want to upload logs, create a matching data source:

    ubuntu1

    a.a. Haga clic en Agregar origen de datos.Click Add data source.

    b.b. Ponga nombre al servidor proxy o firewall.Name your proxy or firewall.

    c.c. Seleccione el dispositivo en la lista Origen.Select the appliance from the Source list. Si selecciona Formato de registro personalizado para trabajar con un dispositivo de red que no aparezca específicamente en la lista, consulte el artículo sobre cómo trabajar con el analizador de registro personalizado para ver las instrucciones de configuración.If you select Custom log format to work with a network appliance that is not specifically listed, see Working with the custom log parser for configuration instructions.

    d.d. Compare el registro con el ejemplo del formato de registro esperado.Compare your log with the sample of the expected log format. Si el formato del archivo de registro no coincide con este ejemplo, debe agregar el origen de datos como Otro.If your log file format does not match this sample, you should add your data source as Other.

    e.e. Establezca el tipo de receptor en FTP, FTPS, Syslog – UDP, Syslog – TCP o Syslog – TLS.Set the Receiver type to either FTP, FTPS, Syslog – UDP, or Syslog – TCP, or Syslog – TLS.

    Nota

    La integración con protocolos de transferencia segura (FTPS y Syslog – TLS) a menudo requiere una configuración adicional o firewall/proxy.Integrating with secure transfer protocols (FTPS and Syslog – TLS) often requires additional settings or your firewall/proxy.

    f.f. Repita este proceso para cada servidor proxy y firewall cuyos registros se puedan usar para detectar tráfico en la red.Repeat this process for each firewall and proxy whose logs can be used to detect traffic on your network.

  3. Vaya a la pestaña Recopiladores de registros de la parte superior.Go to the Log collectors tab at the top.

    a.a. Haga clic en Agregar recopilador de registros.Click Add log collector.

    b.b. Ponga nombre al recopilador de registros.Give the log collector a name.

    c.c. Escriba la dirección IP de host de la máquina que usará para implementar Docker.Enter the Host IP address of the machine you will use to deploy the Docker.

    Nota

    La dirección IP del host puede reemplazarse con el nombre del equipo si un servidor DNS (o equivalente) resolverá el nombre de host.The host IP address can be replaced with the machine name, if there is a DNS server (or equivalent) that will resolve the host name.

    d.d. Seleccione todos los orígenes de datos que desea conectar al recopilador y haga clic en Actualizar para guardar la configuración. Luego, consulte los pasos de implementación siguientes.Select all Data sources that you want to connect to the collector, and click Update to save the configuration see the next deployment steps.

    ubuntu2

    Nota

    • Un único recopilador de registros puede administrar varios orígenes de datos.A single Log collector can handle multiple data sources.
    • Copie el contenido de la pantalla, ya que necesitará la información al configurar el recopilador de registros para comunicarse con Cloud App Security.Copy the contents of the screen because you will need the information when you configure the Log Collector to communicate with Cloud App Security. Si ha seleccionado Syslog, esta información incluirá información sobre el puerto en el que escucha el agente de escucha de Syslog.If you selected Syslog, this information will include information about which port the Syslog listener is listening on.
  4. Aparecerá más información de implementación.Further deployment information will appear. Copie el comando de ejecución desde el cuadro de diálogo.Copy the run command from the dialog. Puede usar el icono Copiar al Portapapeles icono Copiar al Portapapeles.You can use the copy to clipboard icon copy to clipboard icon.

  5. Exporte la configuración de origen de datos esperada.Export the expected data source configuration. Esta configuración describe cómo debe establecer la exportación de registro en los dispositivos.This configuration describes how you should set the log export in your appliances.

    Crear un recopilador de registros

Paso 2: Implementación de la máquina en AzureStep 2 – Deployment of your machine in Azure

Nota

En los pasos siguientes se describe la implementación de Ubuntu.The following steps describe the deployment in Ubuntu. Los pasos de implementación en otras plataformas son ligeramente diferentes.The deployment steps for other platforms are slightly different.

  1. Cree una nueva máquina Ubuntu en el entorno Azure.Create a new Ubuntu machine in your Azure environment.

  2. Cuando la máquina esté en funcionamiento, abra los puertos mediante:After the machine is up, open the ports by:

    1. En la vista de la máquina, vaya a Redes y seleccione la interfaz adecuada haciendo doble clic en ella.In the machine view go to Networking select the relevant interface by double clicking on it.

    2. Vaya a Grupo de seguridad de red y seleccione el grupo de seguridad de red pertinente.Go to Network security group and select the relevant network security group.

    3. Vaya a Reglas de seguridad de entrada y haga clic en Agregar.Go to Inbound security rules and click Add,

      Ubuntu en Azure

    4. Agregue las siguientes reglas (en modo Avanzado):Add the following rules (in Advanced mode):

    NombreName Rangos de puertos de destinoDestination port ranges ProtocoloProtocol OrigenSource DestinationDestination
    caslogcollector_ftpcaslogcollector_ftp 2121 TCPTCP <Subred de la dirección IP del dispositivo><Your appliance's IP address's subnet> CualquieraAny
    caslogcollector_ftp_passivecaslogcollector_ftp_passive 20000-2009920000-20099 TCPTCP <Subred de la dirección IP del dispositivo><Your appliance's IP address's subnet> CualquieraAny
    caslogcollector_syslogs_tcpcaslogcollector_syslogs_tcp 601-700601-700 TCPTCP <Subred de la dirección IP del dispositivo><Your appliance's IP address's subnet> CualquieraAny
    caslogcollector_syslogs_udpcaslogcollector_syslogs_udp 514-600514-600 UDPUDP <Subred de la dirección IP del dispositivo><Your appliance's IP address's subnet> CualquieraAny

    Reglas de Ubuntu en Azure

  3. Vuelva a la máquina y haga clic en Conectar para abrir un terminal en ella.Go back to the machine and click Connect to open a terminal on the machine.

  4. Cambie a los privilegios raíz con sudo -i.Change to root privileges using sudo -i.

  5. Si acepta los términos de licencia del software, desinstale las versiones anteriores e instale Docker CE con el comando siguiente:If you accept the software license terms, uninstall old versions and install Docker CE by running the following command:

    curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.sh
    

    Comando de Ubuntu en Azure

  6. En el portal de Cloud App Security, en la ventana Create new log collector (Crear nuevo recopilador de registros), copie el comando para importar la configuración del recopilador en la máquina host:In the Cloud App Security portal in the Create new log collector window, copy the command to import the collector configuration on the hosting machine:

    Ubuntu en Azure

  7. Ejecute el comando para implementar el recopilador de registros.Run the command to deploy the log collector.

     (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i microsoft/caslogcollector starter
    

    Proxy Ubuntu

  8. Para comprobar si el recopilador de registros se ejecuta correctamente, ejecute el comando siguiente: Docker logs <collector_name>.To verify that the log collector is running properly, run the following command: Docker logs <collector_name>. Debe obtener los resultados: Finalizado correctamente.You should get the results: Finished successfully!

    ubuntu8

Paso 3: Configuración local de los dispositivos de redStep 3 - On-premises configuration of your network appliances

Configure los firewalls y los servidores proxy de la red de modo que exporten periódicamente los registros al puerto Syslog dedicado del directorio FTP según las instrucciones del cuadro de diálogo, por ejemplo:Configure your network firewalls and proxies to periodically export logs to the dedicated Syslog port of the FTP directory according to the directions in the dialog, for example:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Paso 4: Comprobación de la implementación correcta en el portal Cloud App SecurityStep 4 - Verify the successful deployment in the Cloud App Security portal

Compruebe el estado del recopilador en la tabla Recopilador de registros y asegúrese de que el estado es Conectado.Check the collector status in the Log collector table and make sure the status is Connected. Si es Creado, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.If it is Created, it is possible that the log collector connection and parsing has not completed.

ubuntu9

También puede ir al registro de gobierno y comprobar que los registros se carguen de manera periódica en el portal.You can also go to the Governance log and verify that logs are being periodically uploaded to the portal.

Si tiene problemas durante la implementación, consulte Solución de problemas de Cloud Discovery.If you encounter problems during deployment, see Troubleshooting Cloud Discovery.

Opcional: crear informes continuos personalizadosOptional - Create custom continuous reports

Después de comprobar que los registros se cargan en Cloud App Security y que se generan los informes, puede crear informes personalizados.After you have verified that the logs are being uploaded to Cloud App Security and the reports are being generated, you can create custom reports. Ahora puede crear informes de detección personalizados en función de los grupos de usuarios de Azure Active Directory.You can now create custom discovery reports based on Azure Active Directory user groups. Por ejemplo, si quiere ver el uso de la nube por parte del departamento de marketing, puede importar el grupo de marketing mediante la característica para importar grupos de usuarios y, después, crear un informe personalizado para este grupo.For example, if you want to see the cloud use of your marketing department, you can import the marketing group using the import user group feature, and then create a custom report for this group. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.You can also customize a report based on IP address tag or IP address ranges.

  1. En el portal de Cloud App Security, en el engranaje de configuración, seleccione Cloud Discovery settings (Configuración de Cloud Discovery) y Administrar informes continuos.In the Cloud App Security portal, under the Settings cog, select Cloud Discovery settings and then select Manage continuous reports.
  2. Haga clic en el botón Crear informe y rellene los campos.Click the Create report button and fill in the fields.
  3. En Filtros, puede filtrar los datos por origen de datos, por grupo de usuarios importados o por etiquetas e intervalos de direcciones IP.Under the Filters you can filter the data by data source, by imported user group, or by IP address tags and ranges.

Informe continuo personalizado

Consulte tambiénSee Also

Solución de problemas de implementación de Docker para Cloud DiscoveryTroubleshooting Cloud Discovery docker deployment

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal PremierPremier customers can also choose Cloud App Security directly from the Premier Portal