Automatikus naplófeltöltés konfigurálása a Dockerrel az Azure-ban

  • Cikk

Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltéseket a folyamatos jelentésekhez Felhőhöz készült Defender-alkalmazásokban az Ubuntu-on vagy a CentOS-en futó Docker használatával az Azure-ban.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy a környezet megfelel a következő követelményeknek:

Követelmény Leírás
OS Az alábbiak egyike:
- Ubuntu 14.04, 16.04, 18.04 és 20.04
- CentOS 7.2 vagy újabb
Lemezterület 250 GB
CPU-magok 2
CPU-architektúra Intel 64 és AMD 64
RAM 4 GB
Tűzfal-konfiguráció A hálózati követelményekben meghatározottak szerint

Naplógyűjtők tervezése teljesítmény szerint

Minden naplógyűjtő legfeljebb 50 GB/óra naplókapacitást képes kezelni, amely legfeljebb 10 adatforrásból áll. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:

  • Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.

  • A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

Ha több mint 10 adatforrásra van szüksége, javasoljuk, hogy ossza fel az adatforrásokat több naplógyűjtő között.

Adatforrások meghatározása

  1. A Microsoft Defender portálon válassza Gépház > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.

  2. Az Adatforrások lapon hozzon létre egy megfelelő adatforrást minden olyan tűzfalhoz vagy proxyhoz, amelyből naplókat szeretne feltölteni:

    1. Válassza az Adatforrás hozzáadása lehetőséget.

    2. Az Adatforrás hozzáadása párbeszédpanelen adja meg az adatforrás nevét, majd válassza ki a forrás és a fogadó típusát.

      A forrás kiválasztása előtt válassza a Várt naplófájl minta megtekintése lehetőséget, és hasonlítsa össze a naplót a várt formátummal. Ha a naplófájl formátuma nem egyezik a mintával, adja hozzá az adatforrást másként.

      Ha olyan hálózati berendezést szeretne használni, amely nem szerepel a listán, válassza az Egyéb > ügyfélnapló formátumot vagy az Egyéb (csak manuális) lehetőséget. További információ: Az egyéni naplóelemző használata.

    Feljegyzés

    A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.

Minden olyan tűzfal és proxy esetében ismételje meg a műveletet, amelynek a naplói alkalmasak a hálózati forgalom meghatározására.

Javasoljuk, hogy hálózati eszközönként állítson be egy dedikált adatforrást, amely lehetővé teszi az egyes eszközök állapotának külön-külön történő monitorozását vizsgálat céljából, valamint az eszközönkénti árnyék informatikai felderítést, ha az egyes eszközöket egy másik felhasználói szegmens használja.

Naplógyűjtő létrehozása

  1. A Microsoft Defender portálon válassza Gépház > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.

  2. A Naplógyűjtők lapon válassza a Naplógyűjtő hozzáadása lehetőséget.

  3. A Naplógyűjtő létrehozása párbeszédpanelen adja meg a következő adatokat:

    • A naplógyűjtő neve
    • A gazda IP-címe, amely annak a gépnek a privát IP-címe, amelyet a Docker üzembe helyezéséhez fog használni. A gazdagép IP-címe lecserélhető a gép nevére is, ha van DNS-kiszolgáló, vagy ezzel egyenértékű a gazdagép nevének feloldásához.

    Ezután az Adatforrás(ok) mező kiválasztásával jelölje ki a gyűjtőhöz csatlakozni kívánt adatforrásokat, és a módosítások mentéséhez válassza a Frissítés lehetőséget. Minden naplógyűjtő több adatforrást is képes kezelni.

    A Naplógyűjtő létrehozása párbeszédpanelen további üzembe helyezési adatok láthatók, beleértve a gyűjtő konfigurációjának importálására szolgáló parancsot is. Példa:

    Képernyőkép a naplógyűjtő létrehozása párbeszédpanelről másolandó parancsról.

  4. másolás a vágólap ikonjára.A parancs melletti Másolás ikonra kattintva másolja a vágólapra.

    A Naplógyűjtő létrehozása párbeszédpanelen megjelenő részletek a kiválasztott forrás- és fogadótípusoktól függően eltérőek. Ha például a Syslogot választotta, a párbeszédpanelen megadhatja, hogy a syslog-figyelő melyik portot figyeli.

    Másolja ki a képernyő tartalmát, és mentse őket helyileg, mivel szükség lesz rájuk, amikor konfigurálja a naplógyűjtőt az Felhőhöz készült Defender-alkalmazásokkal való kommunikációra.

  5. A forráskonfiguráció exportálásához válassza az Exportálás lehetőséget. CSV-fájl, amely leírja, hogyan konfigurálhatja a naplóexportálást a berendezésekben.

Tipp.

A naplóadatokat FTP-en keresztül első alkalommal küldő felhasználók számára javasoljuk az FTP-felhasználó jelszavának módosítását. További információ: Az FTP-jelszó módosítása.

A gép üzembe helyezése az Azure-ban

Ez az eljárás azt ismerteti, hogyan helyezheti üzembe a gépet az Ubuntu használatával. A többi platform üzembe helyezési lépései kissé eltérőek.

  1. Hozzon létre egy új Ubuntu-gépet az Azure-környezetben.

  2. A gép üzembe helyezése után nyissa meg a portokat:

    1. Gépi nézetben válassza ki a megfelelő felületet a gépi nézetben, és kattintson rá duplán.

    2. Nyissa meg a Hálózati biztonsági csoportot , és válassza ki a megfelelő hálózati biztonsági csoportot.

    3. Nyissa meg a bejövő biztonsági szabályokat, és kattintson a Hozzáadás gombra.

    4. Adja hozzá a következő szabályokat ( Speciális módban):

      Név Célporttartományok Protokoll Forrás Cél
      caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Bármely
      caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Bármely
      caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Bármely
      caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Bármely

    További információ: Biztonsági szabályok használata.

  3. Térjen vissza a géphez, és kattintson a Csatlakozás gombra egy terminál megnyitásához a gépen.

  4. Váltás gyökérjogjogokra a következő használatával sudo -i: .

  5. Ha elfogadja a szoftverlicenc feltételeit, távolítsa el a régi verziókat, és telepítse a Docker CE-t a környezetének megfelelő parancsok futtatásával:

    1. Távolítsa el a Docker régi verzióit: yum erase docker docker-engine docker.io

    2. A Docker-motor előfeltételeinek telepítése: yum install -y yum-utils

    3. Docker-adattár hozzáadása:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache

    4. Telepítse a Docker-motort: yum -y install docker-ce

    5. A Docker indítása

      systemctl start docker
systemctl enable docker

    6. Docker telepítésének tesztelése: docker run hello-world

  6. Futtassa a korábban másolt parancsot a Naplógyűjtő létrehozása párbeszédpanelen. Példa:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. A naplógyűjtő megfelelő működésének ellenőrzéséhez futtassa a következő parancsot: Docker logs <collector_name>. A következő eredményt kell kapnia: Sikeresen befejeződött!

Hálózati berendezés helyszíni beállításainak konfigurálása

Konfigurálja a hálózati tűzfalakat és proxykat, hogy rendszeresen exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel irányainak megfelelően. Példa:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Az üzembe helyezés ellenőrzése az Felhőhöz készült Defender-alkalmazásokban

Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakozás. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.

Példa:

Csatlakoztatott gyűjtő állapotának képernyőképe.

A szabályozási naplóba is léphet, és ellenőrizheti, hogy a naplók rendszeresen fel vannak-e töltve a portálra.

Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:

  1. Jelentkezzen be a tárolóba a következő paranccsal: docker exec -it <Container Name> bash
  2. Ellenőrizze a naplógyűjtő állapotát a következő paranccsal: collector_status -p

Ha az üzembe helyezés során problémákat tapasztal, tekintse meg a Cloud Discovery hibaelhárítását.

Nem kötelező – Egyéni folyamatos jelentések létrehozása

Ellenőrizze, hogy a naplók Felhőhöz készült Defender-alkalmazásokba vannak-e feltöltve, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre a Microsoft Entra felhasználói csoportjai alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Cloud Discovery alatt válassza a Folyamatos jelentések lehetőséget.

  3. Kattintson a Jelentés létrehozása gombra, és töltse ki a mezőket.

  4. A Szűrők csoportban adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.

    Feljegyzés

    Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem kizárt. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport szerepel a jelentésben.

    Képernyőkép egy egyéni folyamatos jelentésről.

A naplógyűjtő eltávolítása

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>
docker rm <collector_name>

Következő lépések

A naplógyűjtő FTP-konfigurációjának módosítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.