Automatikus naplófeltöltés konfigurálása a Dockerrel az Azure-ban
Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltéseket a folyamatos jelentésekhez Felhőhöz készült Defender-alkalmazásokban az Ubuntu-on vagy a CentOS-en futó Docker használatával az Azure-ban.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy a környezet megfelel a következő követelményeknek:
Követelmény | Leírás |
---|---|
OS | Az alábbiak egyike: - Ubuntu 14.04, 16.04, 18.04 és 20.04 - CentOS 7.2 vagy újabb |
Lemezterület | 250 GB |
CPU-magok | 2 |
CPU-architektúra | Intel 64 és AMD 64 |
RAM | 4 GB |
Tűzfal-konfiguráció | A hálózati követelményekben meghatározottak szerint |
Naplógyűjtők tervezése teljesítmény szerint
Minden naplógyűjtő legfeljebb 50 GB/óra naplókapacitást képes kezelni, amely legfeljebb 10 adatforrásból áll. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:
Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.
A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.
Ha több mint 10 adatforrásra van szüksége, javasoljuk, hogy ossza fel az adatforrásokat több naplógyűjtő között.
Adatforrások meghatározása
A Microsoft Defender portálon válassza Gépház > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.
Az Adatforrások lapon hozzon létre egy megfelelő adatforrást minden olyan tűzfalhoz vagy proxyhoz, amelyből naplókat szeretne feltölteni:
Válassza az Adatforrás hozzáadása lehetőséget.
Az Adatforrás hozzáadása párbeszédpanelen adja meg az adatforrás nevét, majd válassza ki a forrás és a fogadó típusát.
A forrás kiválasztása előtt válassza a Várt naplófájl minta megtekintése lehetőséget, és hasonlítsa össze a naplót a várt formátummal. Ha a naplófájl formátuma nem egyezik a mintával, adja hozzá az adatforrást másként.
Ha olyan hálózati berendezést szeretne használni, amely nem szerepel a listán, válassza az Egyéb > ügyfélnapló formátumot vagy az Egyéb (csak manuális) lehetőséget. További információ: Az egyéni naplóelemző használata.
Feljegyzés
A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.
Minden olyan tűzfal és proxy esetében ismételje meg a műveletet, amelynek a naplói alkalmasak a hálózati forgalom meghatározására.
Javasoljuk, hogy hálózati eszközönként állítson be egy dedikált adatforrást, amely lehetővé teszi az egyes eszközök állapotának külön-külön történő monitorozását vizsgálat céljából, valamint az eszközönkénti árnyék informatikai felderítést, ha az egyes eszközöket egy másik felhasználói szegmens használja.
Naplógyűjtő létrehozása
A Microsoft Defender portálon válassza Gépház > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.
A Naplógyűjtők lapon válassza a Naplógyűjtő hozzáadása lehetőséget.
A Naplógyűjtő létrehozása párbeszédpanelen adja meg a következő adatokat:
- A naplógyűjtő neve
- A gazda IP-címe, amely annak a gépnek a privát IP-címe, amelyet a Docker üzembe helyezéséhez fog használni. A gazdagép IP-címe lecserélhető a gép nevére is, ha van DNS-kiszolgáló, vagy ezzel egyenértékű a gazdagép nevének feloldásához.
Ezután az Adatforrás(ok) mező kiválasztásával jelölje ki a gyűjtőhöz csatlakozni kívánt adatforrásokat, és a módosítások mentéséhez válassza a Frissítés lehetőséget. Minden naplógyűjtő több adatforrást is képes kezelni.
A Naplógyűjtő létrehozása párbeszédpanelen további üzembe helyezési adatok láthatók, beleértve a gyűjtő konfigurációjának importálására szolgáló parancsot is. Példa:
A parancs melletti Másolás ikonra kattintva másolja a vágólapra.
A Naplógyűjtő létrehozása párbeszédpanelen megjelenő részletek a kiválasztott forrás- és fogadótípusoktól függően eltérőek. Ha például a Syslogot választotta, a párbeszédpanelen megadhatja, hogy a syslog-figyelő melyik portot figyeli.
Másolja ki a képernyő tartalmát, és mentse őket helyileg, mivel szükség lesz rájuk, amikor konfigurálja a naplógyűjtőt az Felhőhöz készült Defender-alkalmazásokkal való kommunikációra.
A forráskonfiguráció exportálásához válassza az Exportálás lehetőséget. CSV-fájl, amely leírja, hogyan konfigurálhatja a naplóexportálást a berendezésekben.
Tipp.
A naplóadatokat FTP-en keresztül első alkalommal küldő felhasználók számára javasoljuk az FTP-felhasználó jelszavának módosítását. További információ: Az FTP-jelszó módosítása.
A gép üzembe helyezése az Azure-ban
Ez az eljárás azt ismerteti, hogyan helyezheti üzembe a gépet az Ubuntu használatával. A többi platform üzembe helyezési lépései kissé eltérőek.
Hozzon létre egy új Ubuntu-gépet az Azure-környezetben.
A gép üzembe helyezése után nyissa meg a portokat:
Gépi nézetben válassza ki a megfelelő felületet a gépi nézetben, és kattintson rá duplán.
Nyissa meg a Hálózati biztonsági csoportot , és válassza ki a megfelelő hálózati biztonsági csoportot.
Nyissa meg a bejövő biztonsági szabályokat, és kattintson a Hozzáadás gombra.
Adja hozzá a következő szabályokat ( Speciális módban):
Név Célporttartományok Protokoll Forrás Cél caslogcollector_ftp 21 TCP Your appliance's IP address's subnet
Bármely caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet
Bármely caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet
Bármely caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet
Bármely
További információ: Biztonsági szabályok használata.
Térjen vissza a géphez, és kattintson a Csatlakozás gombra egy terminál megnyitásához a gépen.
Váltás gyökérjogjogokra a következő használatával
sudo -i
: .Ha elfogadja a szoftverlicenc feltételeit, távolítsa el a régi verziókat, és telepítse a Docker CE-t a környezetének megfelelő parancsok futtatásával:
Távolítsa el a Docker régi verzióit:
yum erase docker docker-engine docker.io
A Docker-motor előfeltételeinek telepítése:
yum install -y yum-utils
Docker-adattár hozzáadása:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache
Telepítse a Docker-motort:
yum -y install docker-ce
A Docker indítása
systemctl start docker systemctl enable docker
Docker telepítésének tesztelése:
docker run hello-world
Futtassa a korábban másolt parancsot a Naplógyűjtő létrehozása párbeszédpanelen. Példa:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
A naplógyűjtő megfelelő működésének ellenőrzéséhez futtassa a következő parancsot:
Docker logs <collector_name>
. A következő eredményt kell kapnia: Sikeresen befejeződött!
Hálózati berendezés helyszíni beállításainak konfigurálása
Konfigurálja a hálózati tűzfalakat és proxykat, hogy rendszeresen exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel irányainak megfelelően. Példa:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Az üzembe helyezés ellenőrzése az Felhőhöz készült Defender-alkalmazásokban
Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakozás. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.
Példa:
A szabályozási naplóba is léphet, és ellenőrizheti, hogy a naplók rendszeresen fel vannak-e töltve a portálra.
Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:
- Jelentkezzen be a tárolóba a következő paranccsal:
docker exec -it <Container Name> bash
- Ellenőrizze a naplógyűjtő állapotát a következő paranccsal:
collector_status -p
Ha az üzembe helyezés során problémákat tapasztal, tekintse meg a Cloud Discovery hibaelhárítását.
Nem kötelező – Egyéni folyamatos jelentések létrehozása
Ellenőrizze, hogy a naplók Felhőhöz készült Defender-alkalmazásokba vannak-e feltöltve, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre a Microsoft Entra felhasználói csoportjai alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Cloud Discovery alatt válassza a Folyamatos jelentések lehetőséget.
Kattintson a Jelentés létrehozása gombra, és töltse ki a mezőket.
A Szűrők csoportban adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.
Feljegyzés
Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem kizárt. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport szerepel a jelentésben.
A naplógyűjtő eltávolítása
Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:
docker stop <collector_name>
docker rm <collector_name>
Következő lépések
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: