Automatikus naplófeltöltés konfigurálása a helyszíni Dockerrel Windows rendszeren

  • Cikk

Konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Felhőhöz készült Defender-alkalmazásokban a Windows Docker használatával.

Előfeltételek

  • Architektúra-specifikációk:

    • Operációs rendszer: Az alábbiak egyike:

      • Windows 10 (fall creators update)

      • Windows Sever 1709+ verzió (SAC)

      • Windows Server 2019 (LTSC)

    • Lemezterület: 250 GB

    • CPU-magok: 2

    • CPU-architektúra:Intel 64 és AMD 64

    • RAM: 4 GB

    A támogatott Docker-architektúrák listáját a Docker telepítési dokumentációjában találja.

  • A tűzfal beállítása a hálózati követelményekben leírtak szerint

  • Az operációs rendszer virtualizálását engedélyezni kell a Hyper-V-vel

Fontos

  • A 250-nél több felhasználót vagy 10 millió USD-t meghaladó éves bevétellel rendelkező nagyvállalati ügyfeleknek fizetős előfizetésre van szükségük a WindowsHoz készült Docker Desktop használatához. További információ: Docker-előfizetés áttekintése.
  • A naplók gyűjtéséhez be kell jelentkeznie egy felhasználónak a Dockerbe. Javasoljuk, hogy a Docker-felhasználók kijelentkezés nélkül válasszanak le.
  • A Windows Docker hivatalosan nem támogatott VMWare virtualizálási forgatókönyvekben.
  • A Windows Docker hivatalosan nem támogatott beágyazott virtualizálási forgatókönyvekben. Ha továbbra is beágyazott virtualizálást tervez használni, tekintse meg a Docker hivatalos útmutatóját.
  • A Windows Docker további konfigurációs és megvalósítási szempontjairól további információt a Docker Desktop telepítése Windows rendszeren című témakörben talál.

Feljegyzés

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>
docker rm <collector_name>

A naplógyűjtő teljesítménye

A naplógyűjtő óránként 50 GB mennyiségű napló sikeres kezelésére képes. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:

  • Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.

  • A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

Beállítás és konfigurálás

1. lépés – Webportál konfigurálása: Adatforrások megadása és naplógyűjtőhöz társítása

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Cloud Discovery alatt válassza az Automatikus naplófeltöltés lehetőséget. Ezután válassza az Adatforrások lapot.

  3. Minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat szeretne feltölteni, hozzon létre egy megfelelő adatforrást.

    1. Válassza a +Adatforrás hozzáadása lehetőséget.
      Add a data source.
    2. Nevezze el a proxyt vagy a tűzfalat.
      Add name for data source.
    3. Válassza ki a készüléket a Forrás listáról. Ha egyéni naplóformátumot választ egy olyan hálózati berendezés használatához, amely nem szerepel a listán, a konfigurációs utasításokért tekintse meg az egyéni naplóelemző használata című témakört.
    4. Hasonlítsa össze a naplót a várt naplóformátum mintájával. Ha a naplófájl formátuma nem egyezik meg a mintával, akkor az adatforrást másként kell hozzáadnia.
    5. Állítsa be a fogadó típusát FTP, FTPS, Syslog – UDP vagy Syslog – TCP vagy Syslog – TLS értékre.

    Feljegyzés

    A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.

    f. Minden olyan tűzfal és proxy esetében ismételje meg a műveletet, amelynek a naplói alkalmasak a hálózati forgalom meghatározására. Javasoljuk, hogy hálózati eszközönként egy dedikált adatforrást állítson be, amely lehetővé teszi a következőket:

    • Vizsgálat céljából külön monitorozza az egyes eszközök állapotát.
    • Ha az egyes eszközöket egy másik felhasználói szegmens használja, tekintse át az árnyék informatikai felderítési lehetőségeit eszközenként.

  4. Lépjen a lap felső részén található Naplógyűjtők lapra.

    1. Válassza a Naplógyűjtő hozzáadása lehetőséget.
    2. Nevezze el a naplógyűjtőt.
    3. Adja meg a Docker üzembe helyezéséhez használni kívánt gép állomás IP-címét (privát IP-címét). A gazdagép IP-címe lecserélhető a gép nevére, ha van egy DNS-kiszolgáló (vagy azzal egyenértékű), amely feloldja a gazdagép nevét.
    4. Jelölje ki az összes adatforrást , amelyhez csatlakozni szeretne a gyűjtőhöz, majd a konfiguráció mentéséhez válassza a Frissítés lehetőséget. Select data source to connect.

  5. További üzembe helyezési információk jelennek meg. Másolja a futtatási parancsot a párbeszédpanelről. A vágólap ikonnal a vágólap ikont használhatja. copy to clipboard icon. Később szüksége lesz rá.

  6. Exportálja a várt adatforrás-konfigurációt. Ez a konfiguráció azt ismerteti, hogyan kell beállítani a naplóexportálást a berendezésekben.

    Create log collector.

    Feljegyzés

    • Egy naplógyűjtő több adatforrás kezelésére is alkalmas.
    • Másolja ki a képernyő tartalmát, mert szüksége lesz az adatokra, amikor konfigurálja a naplógyűjtőt az Felhőhöz készült Defender-alkalmazásokkal való kommunikációra. Ha a Syslog fogadótípust választotta, akkor az információk között azt is megtalálja, hogy a Syslog-figyelő melyik portot figyeli.
    • A naplóadatokat FTP-en keresztül első alkalommal küldő felhasználók számára javasoljuk az FTP-felhasználó jelszavának módosítását. További információ: Az FTP-jelszó módosítása.

2. lépés – A gép helyszíni üzembe helyezése

Az alábbi lépések a Windowsban történő üzembe helyezést írják le. A többi platform üzembe helyezési lépései kissé eltérőek.

  1. Nyisson meg egy PowerShell-terminált rendszergazdaként a Windows-gépen.

  2. Futtassa a következő parancsot a Windows Docker installer PowerShell-szkriptfájljának letöltéséhez: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Annak ellenőrzéséhez, hogy a telepítőt a Microsoft aláírta-e, olvassa el a telepítő aláírásának ellenőrzése című témakört.

  3. A PowerShell-szkript végrehajtásának engedélyezéséhez futtassa a Set-ExecutionPolicy RemoteSigned

  4. Futtatás: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Ez telepíti a Docker-ügyfelet a számítógépre.

    Docker is installed.

    A parancs futtatása után a gép automatikusan újraindul.

  5. Amikor a gép újra működik, futtassa ugyanazt a parancsot a PowerShellben: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Run PowerShell command again.

  6. Futtassa a Docker telepítőt. Válassza a WSL 2 használata Hyper-V helyett (ajánlott):

    Installing Docker desktop.

    A telepítés befejezése után a gép automatikusan újraindul.

  7. Az újraindítás befejezése után nyissa meg a Docker-ügyfelet, és lépjen végig a Docker-előfizetési szerződésen:

    Accept Docker service agreement.

  8. Ha a WSL2 telepítése nem fejeződött be, a következő előugró üzenet jelenik meg:

    WSL 2 installation is incomplete.

  9. A telepítés befejezéséhez töltse le a csomagot a Linux kernelfrissítési csomag letöltése című témakörben leírtak szerint.

  10. Nyissa meg újra a Docker Desktop-ügyfelet, és győződjön meg arról, hogy elindult:

    Open the Docker Desktop client.

  11. Futtassa a CMD-t rendszergazdaként, és írja be a portálon létrehozott futtatási parancsot. Ha proxyt kell konfigurálnia, adja hozzá a proxy IP-címét és portszámát. Ha például a proxy adatai 192.168.10.1:8080, a frissített futtatási parancs a következő:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  12. Ellenőrizze, hogy a gyűjtő megfelelően fut-e a következő paranccsal: docker logs <collector_name>

A következő üzenetnek kell megjelennie: Sikeresen befejeződött!

Verify that collector is running properly.

3. lépés – A hálózati berendezések helyszíni konfigurálása

Konfigurálja a hálózati tűzfalakat és proxykat, hogy rendszeresen exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel irányainak megfelelően. Példa:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. lépés – A sikeres üzembe helyezés ellenőrzése a portálon

Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakozás. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.

Verify that the collector status is Connected.

A szabályozási naplóba is léphet, és ellenőrizheti, hogy a naplók rendszeresen fel vannak-e töltve a portálra.

Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:

  1. Jelentkezzen be a tárolóba a következő paranccsal: docker exec -it <Container Name> bash
  2. Ellenőrizze a naplógyűjtő állapotát a következő paranccsal: collector_status -p

Ha az üzembe helyezés során problémákat tapasztal, tekintse meg a Cloud Discovery hibaelhárítását.

Nem kötelező – Egyéni folyamatos jelentések létrehozása

Ellenőrizze, hogy a naplók Felhőhöz készült Defender-alkalmazásokba vannak-e feltöltve, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre a Microsoft Entra felhasználói csoportjai alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Cloud Discovery alatt válassza a Folyamatos jelentések lehetőséget.

  3. Válassza a Jelentés létrehozása gombot, és töltse ki a mezőket.

  4. A Szűrők csoportban adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.

    Feljegyzés

    Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem kizárt. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport szerepel a jelentésben.

    Custom continuous report.

Nem kötelező – Telepítői aláírás ellenőrzése

Annak ellenőrzése, hogy a Docker-telepítőt a Microsoft aláírta-e:

  1. Kattintson a jobb gombbal a fájlra, és válassza a Tulajdonságok lehetőséget.

  2. Válassza a Digitális aláírások lehetőséget, és győződjön meg arról, hogy a digitális aláírás rendben van.

  3. Győződjön meg arról, hogy a Microsoft Corporation az aláíró neve alatt egyetlen bejegyzésként szerepel a listán.

    Digital signature valid.

    Ha a digitális aláírás érvénytelen, az azt fogja mondani , hogy ez a digitális aláírás érvénytelen:

    Digital signature not valid.

Következő lépések

A naplógyűjtő FTP-konfigurációjának módosítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.