Configurare il caricamento automatico dei log per i report continui in un'appliance virtuale - Deprecato

  • Articolo
  • 7 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Avviso

È consigliabile configurare il caricamento dei log tramite Docker per una distribuzione più flessibile.

Prerequisiti

  • Hypervisor: Hyper-V o VMware
  • Spazio su disco: 250 GB
  • CPU: 2
  • RAM: 4 GB
  • Impostare il firewall come descritto in Requisiti di rete

Prestazioni dell'agente di raccolta log

L'agente di raccolta log è in grado di gestire correttamente una capacità di log fino a 50 GB all'ora. I principali colli di bottiglia nel processo di raccolta dei log sono:

  • La larghezza di banda della rete: la larghezza di banda della rete determina la velocità di caricamento dei log.
  • Prestazioni di I/O della macchina virtuale: determina la velocità in cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log ha un meccanismo di protezione integrato che controlla la velocità con cui arrivano i log e la confronta con la velocità di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare file di log. Se la configurazione supera i 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.

Impostazione e configurazione

Passaggio 1: Configurazione del portale Web. Definire le origini dati e collegarle all'agente di raccolta log

  1. Passare alla pagina dell'impostazione di caricamento automatizzata: nel portale di app Defender per il cloud fare clic sull'icona settings icon.delle impostazioni , seguita dagli agenti di raccolta log.

  2. Per ogni firewall o proxy da cui si vogliono caricare i log, creare un'origine dati corrispondente:

    a. Fare clic su Aggiungi origine dati.

    b. Assegnare un nome al proxy o al firewall.

    c. Selezionare il dispositivo dall'elenco Origine. Se si seleziona Formato del log personalizzato per usare un'appliance di rete non elencata, vedere Usare il parser di log personalizzato per le istruzioni di configurazione.

    d. Confrontare il log con l'esempio del formato di log previsto. Se il formato del file di log non corrisponde a questo esempio, è necessario aggiungere l'origine dati come Altro.

    e. Impostare Tipo di ricevitore su FTP o Syslog. Per Syslog scegliere UDP, TCP o TLS.

    f. Fare clic su Aggiungi per salvare l'origine dati. Ripetere questa procedura per ogni firewall e proxy i cui log possono essere usati per rilevare il traffico nella rete.

  3. Passare alla scheda Agenti di raccolta log nella parte superiore.

    a. Fare clic su Aggiungi l'agente di raccolta log.

    b. Assegnare un Nome all'agente di raccolta log.

    c. Selezionare tutte le origini dati da connettere all'agente di raccolta. Fare clic su Aggiorna per salvare la configurazione e generare un token di accesso.

    discovery data sources.

    Nota

    • Un singolo agente di raccolta log può gestire più origini dati.
    • Copiare il contenuto della schermata perché verrà usato quando si configura l'agente di raccolta log per comunicare con le app di Defender per il cloud. Se è stato selezionato Syslog, questi dati includono informazioni sulla porta su cui il listener del registro di sistema è in ascolto.

  4. Se si accettano le condizioni di licenza per l'utente finale, scaricare una nuova macchina virtuale dell'agente di raccolta log facendo clic su Hyper-V o VMWare. Decomprimere quindi il file usando la password ricevuta nel portale.

Passaggio 2: Distribuzione locale della macchina virtuale e configurazione di rete

Nota

I passaggi seguenti descrivono la distribuzione in Hyper-V. I passaggi di distribuzione per l'hypervisor della macchina virtuale sono leggermente diversi.

  1. Aprire la console di gestione di Hyper-V.

  2. Selezionare New (Nuova), quindi Virtual Machine (Macchina virtuale) e infine fare clic su Next (Avanti).

    discovery Hyper-V virtual machine.

  3. Specificare un nome per la nuova macchina virtuale, ad esempio CloudAppSecurityLogCollector01, quindi fare clic su Next (Avanti).

  4. Selezionare Generation 1 (Generazione 1) e fare clic su Next (Avanti).

  5. Modificare il valore di Startup memory (Memoria di avvio) in 4096 MB.

  6. Selezionare Use Dynamic Memory (Usa memoria dinamica) per questa macchina virtuale e fare clic su Next (Avanti).

  7. Se disponibile, scegliere la connessione di rete e fare clic su Next (Avanti).

  8. Scegliere Usa un disco rigido virtuale esistente. Selezionare il file con estensione vhd incluso nel file con estensione zip scaricato.

  9. Fare clic su Avanti , quindi su Fine. La macchina virtuale viene aggiunta all'ambiente Hyper-V.

  10. Fare clic sul computer nella tabella Macchine virtuali e fare clic su Avvia.

  11. Connettersi alla macchina virtuale dell'agente di raccolta log per vedere se gli è stato assegnato un indirizzo DHCP: fare clic sulla macchina virtuale e selezionare Connetti. Viene visualizzata la finestra di accesso. Se viene visualizzato un indirizzo IP, è possibile connettersi alla macchina virtuale usando uno strumento terminal/SSH. Se non è presente un indirizzo IP, accedere usando gli strumenti di connessione Hyper-V o VMWare con le credenziali copiate in precedenza durante la creazione dell'agente di raccolta log. È possibile modificare la password e configurare la macchina virtuale usando l'utilità di configurazione di rete eseguendo il comando seguente: sudo network_config

    Nota

    La macchina virtuale è preconfigurata in modo da ottenere un indirizzo IP da un server DHCP. Se è necessario configurare un indirizzo IP statico, un gateway predefinito, un nome host, un server DNS e NTPS, è possibile usare l'utilità network_config oppure eseguire manualmente le modifiche.

A questo punto, l'agente di raccolta log deve essere connesso alla rete e deve essere in grado di raggiungere il portale di app di Defender per il cloud.

Passaggio 3: Configurazione locale della raccolta di log

La prima volta che si accede all'agente di raccolta log e si importa la configurazione dell'agente di raccolta log dal portale, è necessario procedere come segue.

  1. Accedere all'agente di raccolta log tramite SSH usando le credenziali di amministratore interattive fornite nel portale. Se si tratta della prima volta che si accede alla console, è necessario modificare la password e accedere di nuovo dopo aver modificato la password. Se si usa una sessione del terminale, potrebbe essere necessario riavviare la sessione del terminale. )

  2. Eseguire l'utilità di configurazione dell'agente di raccolta con il token di accesso che è stato fornito quando è stato creato l'agente di raccolta log. sudo collector_config <access token>

  3. Immettere il dominio della console, ad esempio: contoso.portal.cloudappsecurity.com questo è disponibile dall'URL visualizzato dopo l'accesso al portale di app di Defender per il cloud.

  4. Immettere il nome dell'agente di raccolta log che si vuole configurare, ad esempio: CloudAppSecurityLogCollector01 o NewYork dalla figura precedente.

  5. Importare la configurazione dell'agente di raccolta log dal portale, come indicato di seguito:

    a. Accedere all'agente di raccolta log tramite SSH usando le credenziali di amministratore interattive fornite nel portale.

    b. Eseguire l'utilità di configurazione dell'agente di raccolta con il token di accesso fornito nel comando sudo collector_config \<access token>

    c. Immettere il dominio della console, ad esempio: contoso.portal.cloudappsecurity.com

    d. Immettere il nome dell'agente di raccolta log che si vuole configurare, ad esempio: CloudAppSecurityLogCollector01

Passaggio 4: Configurazione locale di accessori di rete

Configurare il firewall e i proxy di rete per esportare periodicamente i log alla porta Syslog dedicata della directory FTP secondo le istruzioni visualizzate nella finestra di dialogo, ad esempio:

London Zscaler - Destination path: 614

BlueCoat_HQ - Percorso di destinazione: <<machine_name\BlueCoat_HQ>>\

Passaggio 5 - Verificare la distribuzione riuscita nel portale di app di Defender per il cloud

Controllare lo stato dell'agente di raccolta nella tabella Agente di raccolta log e verificare che lo stato sia Connesso. Se lo stato è Creato, è possibile che la connessione e l'analisi dell'agente di raccolta log non siano ancora state completate.

log collector status.

Passare al log di governance per verificare che i log vengano caricati periodicamente nel portale.

Se si verificano problemi durante la distribuzione, vedere Risoluzione dei problemi in Cloud Discovery.

Facoltativo: creare report continui personalizzati

Dopo aver verificato che i log vengono caricati in app Defender per il cloud e i report vengono generati, è possibile creare report personalizzati. È ora possibile creare report di individuazione personalizzati in base ai gruppi utenti di Azure Active Directory. Ad esempio, per determinare l'uso del cloud da parte del reparto marketing, è possibile importare il gruppo marketing usando la funzionalità di importazione dei gruppi utenti e quindi creare un report personalizzato per il gruppo. È anche possibile personalizzare un report in base a un tag dell'indirizzo IP o a intervalli di indirizzi IP.

  1. Nel portale di app Defender per il cloud, nel Impostazioni ingranaggio selezionare Impostazioni di Cloud Discovery e quindi selezionare Report continui.
  2. Fare clic sul pulsante Crea report e compilare i campi.
  3. Nella sezione Filtri è possibile filtrare i dati in base a origine dati, gruppo utenti importato o tag e intervalli di indirizzi IP.

Nota

Tutti i report personalizzati sono limitati a un massimo di 1 GB di dati non compressi. In presenza di più di 1 GB di dati, nel report verrà esportato il primo GB di dati.

Custom continuous report.

Passaggi successivi

Utilizzo dei dati di Cloud Discovery

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.