Docker in Windows in locale

  • Articolo
  • 8 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

È possibile configurare il caricamento automatico dei log per i report continui nelle app Defender per il cloud usando un Docker in Windows.

Prerequisiti

  • Sistema operativo:

    • Windows 10 (aggiornamento fall creators)
    • Windows Server versione 1709+ (SAC)
    • Windows Server 2019 (LTSC)

  • Spazio su disco: 250 GB

  • Core CPU: 2

  • Architettura CPU: Intel® 64 e AMD 64

  • RAM: 4 GB

  • Impostare il firewall come descritto in Requisiti di rete

  • La virtualizzazione nel sistema operativo deve essere abilitata con Hyper-V

Importante

  • Enterprise clienti con più di 250 utenti o più di 10 milioni di DOLLARI in ricavi annuali richiedono una sottoscrizione a pagamento per l'uso di Docker Desktop per Windows. Per altre informazioni, vedere Panoramica della sottoscrizione di Docker.
  • Un utente deve essere connesso per Docker per raccogliere i log. È consigliabile consigliare agli utenti Docker di disconnettersi senza disconnettersi.
  • Docker per Windows non è ufficialmente supportato negli scenari di virtualizzazione VMWare.
  • Docker per Windows non è ufficialmente supportato negli scenari di virtualizzazione annidati. Se si prevede comunque di usare la virtualizzazione annidata, vedere la guida ufficiale di Docker.
  • Per informazioni sulle considerazioni aggiuntive sulla configurazione e sull'implementazione per Docker per Windows, vedere Installare Docker Desktop in Windows.

Nota

Se si dispone di un agente di raccolta log esistente e si vuole rimuoverlo prima di distribuirlo di nuovo oppure se si vuole semplicemente rimuoverlo, eseguire i comandi seguenti:

docker stop <collector_name>
docker rm <collector_name>

Prestazioni dell'agente di raccolta log

L'agente di raccolta log è in grado di gestire correttamente una capacità di log fino a 50 GB all'ora. I principali colli di bottiglia nel processo di raccolta dei log sono:

  • Larghezza di banda della rete: la larghezza di banda della rete determina la velocità di caricamento dei log.

  • Prestazioni di I/O della macchina virtuale: determina la velocità in cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log ha un meccanismo di protezione integrato che controlla la velocità con cui arrivano i log e la confronta con la velocità di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare file di log. Se generalmente la configurazione supera i 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.

Impostazione e configurazione

Passaggio 1: Configurazione del portale Web. Definire le origini dati e collegarle all'agente di raccolta log

  1. Passare alla pagina Caricamento automatico dei log.

    1. Nel portale di app Defender per il cloud fare clic sull'icona delle impostazioni seguita dagli agenti di raccolta log.

    settings icon.

  2. Per ogni firewall o proxy da cui si vogliono caricare i log, creare un'origine dati corrispondente.

    1. Fare clic su Aggiungi origine dati.
      Add a data source.
    2. Assegnare un nome al proxy o al firewall.
      Add name for data source.
    3. Selezionare il dispositivo dall'elenco Origine. Se si seleziona Formato del log personalizzato per usare un'appliance di rete non elencata, vedere Usare il parser di log personalizzato per le istruzioni di configurazione.
    4. Confrontare il log con l'esempio del formato di log previsto. Se il formato del file di log non corrisponde a questo esempio, è necessario aggiungere l'origine dati come Altro.
    5. Impostare Tipo di ricevitore su FTP, FTPS, Syslog - UDP, Syslog - TCP o Syslog - TLS.

    Nota

    L'integrazione con i protocolli di trasferimento sicuro (FTPS e Syslog -TLS) richiede spesso ulteriori impostazioni o l'uso di firewall/proxy.

    f. Ripetere questa procedura per ogni firewall e proxy i cui log possono essere usati per rilevare il traffico nella rete. È consigliabile configurare un'origine dati dedicata per ogni dispositivo di rete, per poter eseguire le operazioni seguenti:

    • Monitorare separatamente lo stato di ogni dispositivo, per scopi di analisi.
    • Esplorare Shadow IT Discovery per i singoli dispositivi, se ogni dispositivo viene usato da un segmento di utenti diverso.

  3. Passare alla scheda Agenti di raccolta log nella parte superiore.

    1. Fare clic su Aggiungi l'agente di raccolta log.
    2. Assegnare al agente di raccolta log un nome.
    3. Immettere l'indirizzo IP host (indirizzo IP privato) del computer che si userà per distribuire Docker. L'indirizzo IP dell'host può essere sostituito dal nome del computer, se è presente un server DNS (o equivalente) che risolverà il nome host.
    4. Selezionare tutte le origini dati che si desidera connettere all'agente di raccolta e fare clic su Aggiorna per salvare la configurazione. Select data source to connect.

  4. Verranno visualizzate altre informazioni sulla distribuzione. Copiare il comando run dalla finestra di dialogo. È possibile usare la copia negli Appunti, copy to clipboard icon.. che sarà necessario più avanti.

  5. Esportare la configurazione delle origini dati prevista. Questa configurazione descrive come impostare l'esportazione dei log nelle appliance.

    Create log collector.

    Nota

    • Un singolo agente di raccolta log può gestire più origini dati.
    • Copiare il contenuto della schermata perché sono necessarie le informazioni quando si configura l'agente di raccolta log per comunicare con le app di Defender per il cloud. Se è stato selezionato Syslog, questi dati includeranno informazioni sulla porta su cui il listener del registro di sistema è in ascolto.
    • Per gli utenti che inviano i dati di log tramite FTP per la prima volta, è consigliabile modificare la password per l'utente FTP. Per altre informazioni, vedere Modifica della password FTP.

Passaggio 2: Distribuzione del computer locale

La procedura seguente descrive la distribuzione in Windows. I passaggi per la distribuzione in altre piattaforme sono leggermente diversi.

  1. Aprire un terminale di PowerShell come amministratore nel computer Windows.

  2. Eseguire il comando seguente per scaricare il file di script di PowerShell del programma di installazione di Docker Windows:Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Per verificare che il programma di installazione sia firmato da Microsoft, vedere Convalidare la firma del programma di installazione

  3. Per abilitare l'esecuzione di script di PowerShell, eseguire Set-ExecutionPolicy RemoteSigned

  4. Esegui: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) installa il client Docker nel computer. Durante l'installazione del contenitore dell'agente di raccolta log, il computer verrà riavviato due volte e sarà necessario accedere di nuovo. Assicurarsi che il client Docker sia impostato per usare contenitori Linux.

  5. Dopo ogni riavvio, aprire un terminale di PowerShell come amministratore nel computer, eseguire nuovamente: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

  6. Prima che venga completata l'installazione, sarà necessario incollare il comando run copiato in precedenza.

  7. Distribuire l'immagine dell'agente di raccolta nel computer host tramite l'importazione della configurazione dell'agente di raccolta. Per importare la configurazione, copiare il comando di esecuzione generato nel portale. Se è necessario configurare un proxy, aggiungere l'indirizzo IP e il numero di porta del proxy. Ad esempio, se i dettagli del proxy sono 192.168.10.1:8080, il comando run aggiornato è:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  8. Eseguire il comando seguente per verificare che l'agente di raccolta log venga eseguito correttamente: docker logs <collector_name>

Verrà visualizzato il messaggio: Completato correttamente!

Verify that collector is running properly.

Passaggio 3: Configurazione locale delle appliance di rete

Configurare i firewall e i proxy della rete per esportare periodicamente i log sulla porta Syslog dedicata della directory FTP secondo le istruzioni visualizzate nella finestra di dialogo. Ad esempio:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Passaggio 4: Verificare la corretta distribuzione nel portale delle app di Defender per il cloud

Controllare lo stato dell'agente di raccolta nella tabella Agente di raccolta log e verificare che lo stato sia Connesso. Se lo stato è Creato, è possibile che la connessione e l'analisi dell'agente di raccolta log non siano ancora state completate.

Verify that collector deployed successfully.

È anche possibile passare al log di governance per verificare che i log vengano caricati periodicamente nel portale.

In alternativa, è possibile controllare lo stato dell'agente di raccolta log dall'interno del contenitore Docker usando i comandi seguenti:

  1. Accedere al contenitore usando questo comando: docker exec -it <Container Name> bash
  2. Verificare lo stato dell'agente di raccolta log usando questo comando: collector_status -p

Se si verificano problemi durante la distribuzione, vedere Risoluzione dei problemi in Cloud Discovery.

Facoltativo: creare report continui personalizzati

Verificare che i log vengano caricati in Defender per il cloud App e che vengano generati report. Dopodiché, creare report personalizzati. È possibile creare report di individuazione personalizzati in base ai gruppi utenti di Azure Active Directory. Ad esempio, per vedere come viene usato il cloud dal reparto marketing, importare il gruppo marketing usando la funzionalità di importazione del gruppo utenti, quindi creare un report personalizzato per questo gruppo. È anche possibile personalizzare un report in base a un tag dell'indirizzo IP o a intervalli di indirizzi IP.

  1. Nel portale Defender per il cloud App, sotto l'ingranaggio Impostazioni selezionare Impostazioni di Cloud Discovery e quindi selezionare Report continui.

  2. Fare clic sul pulsante Crea report e compilare i campi.

  3. Nella sezione Filtri è possibile filtrare i dati in base a origine dati, gruppo utenti importato o tag e intervalli di indirizzi IP.

    Nota

    Quando si applicano filtri ai report continui, la selezione verrà inclusa, non esclusa. Ad esempio, se si applica un filtro per un determinato gruppo di utenti, solo il gruppo di utenti verrà incluso nel report.

    Custom continuous report.

Facoltativo - Convalidare la firma del programma di installazione

Per assicurarsi che il programma di installazione di Docker sia firmato da Microsoft:

  1. Fare clic con il pulsante destro del mouse sul file e scegliere Proprietà.

  2. Fare clic su Firme digitali e verificare che sia specificato La firma digitale è valida.

  3. Verificare che l'opzione Microsoft Corporation sia elencata come unica voce sotto Name of signer (Nome del firmatario).

    Digital signature valid.

Se la firma digitale non è valida, verrà indicato This digital signature is not valid (Questa firma digitale non è valida):

Digital signature not valid.

Passaggi successivi

Modificare la configurazione FTP dell'agente di raccolta log

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.