Docker in Linux in Azure

Nota

• Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

• Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

È possibile configurare il caricamento automatico dei log per i report continui in app Defender per il cloud usando Docker in Ubuntu, Red Hat Enterprise Linux (RHEL) o CentOS in Azure.

Prerequisiti

• Sistema operativo:

  • Ubuntu 14.04, 16.04, 18.04 e 20.04
  • RHEL 7.2 o versione successiva
  • CentOS 7.2 o versione successiva

• Spazio su disco: 250 GB

• Core CPU: 2

• Architettura DELLA CPU: Intel® 64 e AMD 64

• RAM: 4 GB

• Impostare il firewall come descritto in Requisiti di rete

Nota

Se si dispone di un agente di raccolta log esistente e si vuole rimuoverlo prima di distribuirlo di nuovo o se si vuole semplicemente rimuoverlo, eseguire i comandi seguenti:

docker stop <collector_name>
docker rm <collector_name>

Prestazioni dell'agente di raccolta log

L'agente di raccolta log può gestire correttamente la capacità del log fino a 50 GB all'ora costituita da un massimo di 10 origini dati. I principali colli di bottiglia nel processo di raccolta dei log sono:

• Larghezza di banda della rete: la larghezza di banda della rete determina la velocità di caricamento dei log.

• Prestazioni di I/O della macchina virtuale: determina la velocità con cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log ha un meccanismo di protezione integrato che controlla la velocità con cui arrivano i log e la confronta con la velocità di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare file di log. Se la configurazione supera in genere 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.

Nota

Se sono necessarie più di 10 origini dati, è consigliabile suddividere le origini dati tra più agenti di raccolta log.

Impostazione e configurazione

Passaggio 1: Configurazione del portale Web. Definire le origini dati e collegarle all'agente di raccolta log

1. Passare alla pagina Caricamento automatico dei log.

   1. Nel portale di Defender per il cloud Apps fare clic sull'icona delle impostazioni e quindi su Agenti di raccolta log.

   

2. Per ogni firewall o proxy da cui si vogliono caricare i log, creare un'origine dati corrispondente.

   1. Fare clic su Aggiungi origine dati.
      
   2. Assegnare un nome al proxy o al firewall.
      
   3. Selezionare il dispositivo dall'elenco Origine. Se si seleziona Formato del log personalizzato per usare un'appliance di rete non elencata, vedere Usare il parser di log personalizzato per le istruzioni di configurazione.
   4. Confrontare il log con l'esempio del formato di log previsto. Se il formato del file di log non corrisponde a questo esempio, è necessario aggiungere l'origine dati come Altro.
   5. Impostare Tipo di ricevitore su FTP, FTPS, Syslog - UDP, Syslog - TCP o Syslog - TLS.

   Nota

   L'integrazione con i protocolli di trasferimento sicuro (FTPS e Syslog -TLS) richiede spesso ulteriori impostazioni o l'uso di firewall/proxy.

   f. Ripetere questa procedura per ogni firewall e proxy i cui log possono essere usati per rilevare il traffico nella rete. È consigliabile configurare un'origine dati dedicata per ogni dispositivo di rete, per poter eseguire le operazioni seguenti:

   • Monitorare separatamente lo stato di ogni dispositivo, per scopi di analisi.
   • Esplorare Shadow IT Discovery per i singoli dispositivi, se ogni dispositivo viene usato da un segmento di utenti diverso.

3. Passare alla scheda Agenti di raccolta log nella parte superiore.

   1. Fare clic su Aggiungi l'agente di raccolta log.
   2. Assegnare un nome all'agente di raccolta log.
   3. Immettere l'indirizzo IP host (indirizzo IP privato) del computer che verrà usato per distribuire Docker. L'indirizzo IP dell'host può essere sostituito dal nome del computer, se è presente un server DNS (o equivalente) che risolverà il nome host.
   4. Selezionare tutte le origini dati da connettere all'agente di raccolta e fare clic su Aggiorna per salvare la configurazione.
      

4. Verranno visualizzate altre informazioni sulla distribuzione. Copiare il comando run dalla finestra di dialogo. È possibile usare l'icona Copia negli Appunti.

5. Esportare la configurazione delle origini dati prevista. Questa configurazione descrive come impostare l'esportazione dei log nelle appliance.

   

   Nota

   • Un singolo agente di raccolta log può gestire più origini dati.
   • Copiare il contenuto della schermata perché saranno necessarie le informazioni quando si configura l'agente di raccolta log per comunicare con Defender per il cloud App. Se è stato selezionato Syslog, questi dati includeranno informazioni sulla porta su cui il listener del registro di sistema è in ascolto.
   • Per gli utenti che inviano i dati di log tramite FTP per la prima volta, è consigliabile modificare la password per l'utente FTP. Per altre informazioni, vedere Modifica della password FTP.

Passaggio 2: Distribuzione del computer in Azure

Nota

I passaggi seguenti descrivono la distribuzione in Ubuntu. I passaggi per la distribuzione in altre piattaforme sono leggermente diversi.

1. Creare un nuovo computer Ubuntu nell'ambiente Azure.

2. Quando il computer è disponibile, aprire le porte seguendo questa procedura:

   1. Nella visualizzazione del computer passare a Rete e selezionare l'interfaccia appropriata facendo doppio clic su di essa.
   2. Passare a Gruppo di sicurezza di rete e selezionare il gruppo di sicurezza di rete appropriato.
   3. Passare a Regole di sicurezza in ingresso e fare clic su Aggiungi,
   4. Aggiungere le regole seguenti (in modalità Avanzata):

   Nome	Intervalli di porte di destinazione	Protocollo	Source (Sorgente)	Destination
   caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Qualsiasi
   caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Qualsiasi
   caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Qualsiasi
   caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Qualsiasi

   

3. Tornare al computer e fare clic su Connetti per aprire un terminale nel computer.

4. Passare ai privilegi root usando il comando sudo -i.

5. Se si accettano le condizioni di licenza software, disinstallare le versioni precedenti e installare Docker CE eseguendo i comandi appropriati per l'ambiente:

CentOS

1. Rimuovere le versioni precedenti di Docker: yum erase docker docker-engine docker.io

2. Installare i prerequisiti del motore Docker: yum install -y yum-utils

3. Aggiungere il repository Docker:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Installare il motore Docker: yum -y install docker-ce

5. Avviare Docker

   systemctl start docker
   systemctl enable docker
   

6. Testare l'installazione di Docker: docker run hello-world

Red Hat 7

1. Rimuovere le versioni precedenti di Docker: yum erase docker docker-engine docker.io

2. Installare i prerequisiti del motore Docker:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Aggiungere il repository Docker:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. Installare le dipendenze:

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Installare il motore Docker: sudo yum install docker-ce

6. Avviare Docker

   systemctl start docker
   systemctl enable docker
   

7. Testare l'installazione di Docker: docker run hello-world

Red Hat 8

1. Rimuovere il modulo container-tools: yum module remove container-tools

2. Aggiungere il repository Docker CE: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. Modificare il file di repository yum per usare i pacchetti CentOS 8/RHEL 8: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Installare Docker CE: yum install docker-ce

5. Avviare Docker

   systemctl start docker
   systemctl enable docker
   

6. Testare l'installazione di Docker: docker run hello-world

Ubuntu

1. Rimuovere le versioni precedenti di Docker: apt-get remove docker docker-engine docker.io

2. Se si installa in Ubuntu 14.04, installare il pacchetto linux-image-extra.

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. Installare i prerequisiti del motore Docker:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. Verificare che l'interfaccia utente dell'impronta digitale apt-key sia docker@docker.com: apt-key fingerprint | grep uid

5. Installare il motore Docker:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Testare l'installazione di Docker: docker run hello-world

1. Nel portale di app di Defender per il cloud nella finestra Crea nuovo agente di raccolta log copiare il comando per importare la configurazione dell'agente di raccolta nel computer di hosting:

   

2. Eseguire il comando per distribuire l'agente di raccolta log.

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

3. Eseguire il comando seguente per verificare che l'agente di raccolta log venga eseguito correttamente: Docker logs <collector_name>. Dovrebbe essere visualizzato il risultato: Operazione completata.

   

Passaggio 3: Configurazione locale delle appliance di rete

Configurare i firewall e i proxy della rete per esportare periodicamente i log sulla porta Syslog dedicata della directory FTP secondo le istruzioni visualizzate nella finestra di dialogo. Ad esempio:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Passaggio 4- Verificare la distribuzione riuscita nel portale di app di Defender per il cloud

Controllare lo stato dell'agente di raccolta nella tabella Agente di raccolta log e verificare che lo stato sia Connesso. Se lo stato è Creato, è possibile che la connessione e l'analisi dell'agente di raccolta log non siano ancora state completate.

È anche possibile passare al log di governance per verificare che i log vengano caricati periodicamente nel portale.

In alternativa, è possibile controllare lo stato dell'agente di raccolta log dall'interno del contenitore docker usando i comandi seguenti:

1. Accedere al contenitore usando questo comando: docker exec -it <Container Name> bash
2. Verificare lo stato dell'agente di raccolta log usando questo comando: collector_status -p

Se si verificano problemi durante la distribuzione, vedere Risoluzione dei problemi in Cloud Discovery.

Facoltativo: creare report continui personalizzati

Verificare che i log vengano caricati in app Defender per il cloud e che i report vengano generati. Dopodiché, creare report personalizzati. È possibile creare report di individuazione personalizzati in base ai gruppi utenti di Azure Active Directory. Ad esempio, per vedere come viene usato il cloud dal reparto marketing, importare il gruppo marketing usando la funzionalità di importazione del gruppo utenti, quindi creare un report personalizzato per questo gruppo. È anche possibile personalizzare un report in base a un tag dell'indirizzo IP o a intervalli di indirizzi IP.

1. Nel portale di app di Defender per il cloud selezionare Impostazioni di Cloud Discovery e quindi report continui nella Impostazioni.

2. Fare clic sul pulsante Crea report e compilare i campi.

3. Nella sezione Filtri è possibile filtrare i dati in base a origine dati, gruppo utenti importato o tag e intervalli di indirizzi IP.

   Nota

   Quando si applicano filtri nei report continui, la selezione verrà inclusa, non esclusa. Ad esempio, se si applica un filtro in un determinato gruppo di utenti, solo il gruppo di utenti verrà incluso nel report.

   

Passaggi successivi

Modificare la configurazione FTP dell'agente di raccolta log

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.