Configuración de la carga de registros automática con una instancia local de Docker en Linux

Puede configurar la carga de registros automática para informes continuos en Defender for Cloud Apps con Docker en un servidor de CentOS o Ubuntu local.

Importante

Si usa RHEL versión 7.1 o posterior, debe usar Podman para la recopilación automática de registros en lugar de Docker. Para obtener más información, consulte Configuración de la carga automática de registros mediante Podman (versión preliminar).

Información esencial necesaria para que el usuario realice correctamente el procedimiento

Requisitos previos

• Sistema operativo:

  • Ubuntu 14.04, 16.04, 18.04 and 20.04
  • CentOS 7.2 o superior

• Espacio en disco: 250 GB

• Núcleos de CPU: 2

• Arquitectura de CPU: Intel® 64 y AMD 64

• RAM: 4 GB

• Configuración del firewall, tal como se describe en Requisitos de red

Nota:

Si tiene un recopilador de registros existente y desea quitarlo antes de implementarlo de nuevo, o si simplemente desea quitarlo, ejecute los siguientes comandos:

docker stop <collector_name>
docker rm <collector_name>

Rendimiento del recopilador de registros

El recopilador de registros puede manejar correctamente una capacidad de registros de hasta 50 GB por hora. Los principales cuellos de botella del proceso de recopilación de registros son:

• Ancho de banda de red: el ancho de banda de red determina la velocidad de carga de registros.

• Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y la compara con la velocidad de carga. En caso de congestión, el recopilador de registros comienza a quitar archivos de registro. Si la configuración normalmente supera los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.

Establecimiento y configuración

Paso 1: Configuración del portal web: definición de orígenes de datos y vinculación a un recopilador de registros

1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

2. En Cloud Discovery, seleccione Carga automática del registro. A continuación, seleccione la pestaña Orígenes de datos.

3. Cree un origen de datos coincidente para cada firewall o servidor proxy desde el que quiera cargar registros.

   1. Haga clic en Agregar origen de datos.
      
   2. Ponga nombre al servidor proxy o firewall.
      
   3. Seleccione el dispositivo en la lista Origen. Si selecciona Formato de los registros personalizados para trabajar con un dispositivo de red que no aparezca en la lista, consulte el artículo sobre cómo trabajar con el analizador de registros personalizados para ver las instrucciones de configuración.
   4. Compare el registro con el ejemplo del formato de registro esperado. Si el formato de archivo del registro no coincide con este ejemplo, debe agregar el origen de datos como Otro.
   5. Establezca el tipo de receptor en FTP, FTPS, Syslog – UDP, Syslog – TCP o Syslog – TLS.

   Nota:

   La integración con protocolos de transferencia segura (FTPS y Syslog – TLS) a menudo requiere una configuración adicional o firewall/proxy.

   f. Repita este proceso para cada servidor proxy y firewall cuyos registros se puedan usar para detectar tráfico en la red. Se recomienda configurar un origen de datos dedicado por dispositivo de red para poder hacer lo siguiente:

   • Supervisar el estado de cada dispositivo por separado para fines de investigación.
   • Explorar Shadow IT Discovery de cada dispositivo, si cada uno de ellos lo usa un segmento de usuarios distinto.

4. Vaya a la pestaña Recopiladores de registros de la parte superior.

   1. Haga clic en Agregar recopilador de registros.
   2. Ponga nombre al recopilador de registros.
   3. Escriba la dirección IP de host (dirección IP privada) de la máquina que se va a usar para implementar Docker. La dirección IP del host puede reemplazarse con el nombre del equipo si un servidor DNS (o equivalente) resolverá el nombre de host.
   4. Seleccione todos los orígenes de datos que desea conectar al recopilador y seleccione Actualizar para guardar la configuración. Luego, consulte los pasos de implementación siguientes.

   

5. Aparecerá más información de implementación. Copie el comando de ejecución desde el cuadro de diálogo. Puede usar el icono Copiar al Portapapeles.

6. Exporte la configuración de origen de datos esperada. Esta configuración describe cómo debe establecer la exportación de registro en los dispositivos.

   

   Nota:

   • Un único recopilador de registros puede administrar varios orígenes de datos.
   • Copie el contenido de la pantalla, ya que necesitará la información al configurar el recopilador de registros para comunicarse con Defender for Cloud Apps. Si ha seleccionado Syslog, esta información incluirá información sobre el puerto en el que escucha el agente de escucha de Syslog.
   • Para los usuarios que envían datos de registro a través de FTP por primera vez, se recomienda cambiar la contraseña para el usuario FTP. Para obtener más información, consulte Cambio de la contraseña de FTP.

Paso 2: Implementación local de la máquina

En los pasos siguientes se describe la implementación de Ubuntu.

Nota:

Los pasos de implementación para otras plataformas compatibles pueden ser ligeramente diferentes.

1. Abra un terminal en la máquina Ubuntu.

2. Cambie a los privilegios raíz con el comando: sudo -i

3. Para omitir a un servidor proxy en la red, ejecute los dos comandos siguientes:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Si acepta los términos de la licencia del software, desinstale las versiones antiguas e instale Docker CE ejecutando los comandos adecuados para su entorno:

CentOS

1. Elimine las versiones anteriores de Docker: yum erase docker docker-engine docker.io

2. Instale los requisitos previos del motor Docker: yum install -y yum-utils

3. Añada el repositorio Docker:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Instale el motor Docker: yum -y install docker-ce

5. Inicie Docker

   systemctl start docker
   systemctl enable docker
   

6. Pruebe la instalación de Docker: docker run hello-world

Red Hat 7

1. Elimine las versiones anteriores de Docker: yum erase docker docker-engine docker.io

2. Instale los requisitos previos del motor Docker:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Añada el repositorio Docker:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. Instale las dependencias:

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Instale el motor Docker: sudo yum install docker-ce

6. Inicie Docker

   systemctl start docker
   systemctl enable docker
   

7. Pruebe la instalación de Docker: docker run hello-world

Red Hat 8

1. Elimine el módulo container-tools: yum module remove container-tools

2. Agregue el repositorio de Docker CE: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. Modifique el archivo de repositorio yum para usar paquetes de CentOS 8: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Instale Docker CE: yum install docker-ce

5. Inicie Docker

   systemctl start docker
   systemctl enable docker
   

6. Pruebe la instalación de Docker: docker run hello-world

Ubuntu

1. Elimine las versiones anteriores de Docker: apt-get remove docker docker-engine docker.io

2. Si va a instalar en Ubuntu 14.04, instale el paquete linux-image-extra.

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. Instale los requisitos previos del motor Docker:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. Compruebe que el UID de la huella digital de apt-key es docker@docker.com: apt-key fingerprint | grep uid

5. Instale el motor Docker:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Pruebe la instalación de Docker: docker run hello-world

5. Implemente la imagen del recopilador en la máquina host al importar la configuración del recopilador. Para importar la configuración, copie el comando de ejecución generado en el portal. Si necesita configurar un proxy, agregue la dirección IP del proxy y el número de puerto. Por ejemplo, si los detalles de proxy son 192.168.10.1:8080, el comando de ejecución actualizado es:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

6. Ejecute el comando siguiente para comprobar si el recopilador se ejecuta correctamente: docker logs <collector_name>

Debería ver el mensaje: Finalizó correctamente.

Paso 3: Configuración local de los dispositivos de red

Configure los firewalls y los servidores proxy de la red de modo que exporten periódicamente los registros al puerto Syslog dedicado o al directorio FTP según las instrucciones del cuadro de diálogo. Por ejemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Paso 4: Comprobación de la implementación correcta en el portal

Compruebe el estado del recopilador en la tabla Recopilador de registros y asegúrese de que el estado es Conectado. Si es Creado, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.

También puede ir al registro de gobernanza y comprobar que los registros se están cargando periódicamente en el portal.

Como alternativa, puede comprobar el estado del recopilador de registros desde el contenedor de Docker mediante los siguientes comandos:

1. Inicie sesión en el contenedor utilizando este comando: docker exec -it <Container Name> bash
2. Compruebe el estado del recopilador de registros mediante este comando: collector_status -p

Si tiene problemas durante la implementación, consulte Solución de problemas de Cloud Discovery.

Opcional: crear informes continuos personalizados

Compruebe que se cargan los registros de Defender for Cloud Apps y que se generan los informes. Después de la comprobación, cree informes personalizados. Puede crear informes de detección personalizados basados en grupos de usuarios de Microsoft Entra. Por ejemplo, si quiere ver el uso de la nube por parte del departamento de marketing, importe el grupo de marketing mediante la característica para importar grupos de usuarios. Después, cree un informe personalizado para este grupo. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.

1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

2. En Cloud Discovery, seleccione Informes continuos.

3. Haga clic en el botón Crear informe y rellene los campos.

4. En Filtros, puede filtrar los datos por origen de datos, por grupo de usuarios importados o por etiquetas e intervalos de direcciones IP.

   Nota:

   Al aplicar filtros en los informes continuos, la selección no se excluye, sino que se incluye. Por ejemplo, si aplica un filtro en un grupo de usuarios determinado, solo se incluirá ese grupo de usuarios en el informe.

   

Pasos siguientes

Modificación de la configuración FTP del recopilador de registros

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.