Gestione avanzata dell'agente di raccolta log

Nota

• Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

• Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo fornisce informazioni sulle opzioni di configurazione avanzate seguenti per gli agenti di raccolta log di Defender per il cloud Apps Cloud Discovery:

• Modificare la configurazione FTP dell'agente di raccolta log
• Abilitare l'agente di raccolta log dietro un proxy
• Spostare l'agente di raccolta log in una partizione di dati diversa in Linux
• Esaminare l'utilizzo del disco dell'agente di raccolta log in Linux
• Spostare l'agente di raccolta log in un host accessibile
• Definire porte personalizzate per i ricevitori Syslog e FTP per gli agenti di raccolta log in Linux
• Convalidare il traffico e il formato di log ricevuti dall'agente di raccolta log in Linux

Modificare la configurazione FTP dell'agente di raccolta log

Usare questa procedura per modificare la configurazione per Le app Defender per il cloud Cloud Discovery Docker.

Distribuzione di Docker

Potrebbe essere necessario modificare la configurazione per Defender per il cloud App Cloud Discovery Docker.

Modifica della password FTP

1. Connettersi all'host dell'agente di raccolta log.

2. Eseguire docker exec -it <collector name> pure-pw passwd <ftp user>

   1. Immettere la nuova password.
   2. Immettere di nuovo la nuova password per la conferma.

3. Eseguire docker exec -it <collector name> pure-pw mkdb per applicare la modifica.

   

Personalizzare i file di certificato

Seguire questa procedura per personalizzare i file di certificato usati per le connessioni sicure a Docker di Cloud Discovery.

1. Aprire un client FTP e connettersi all'agente di raccolta log.

   

2. Passare alla directory ssl_update.

3. Caricare i nuovi file di certificato nella directory ssl_update (i nomi sono obbligatori).

   

   • Per FTP: è necessario un solo file. Il file contiene i dati di chiave e certificato, in questo ordine ed è denominato pure-ftpd.pem.
   • Per Syslog: Sono necessari tre file: ca.pem, **server-key.pem e server-cert.pem. Se manca uno dei file, l'aggiornamento non verrà eseguito.

4. In una finestra del terminale eseguire: docker exec -t <collector name> update_certs. Il comando dovrebbe produrre un output simile a quello visualizzato nello screenshot seguente.

   

5. In una finestra del terminale eseguire: docker exec <collector name> chmod -R 700 /etc/ssl/private/.

Abilitare l'agente di raccolta log dietro un proxy

Dopo aver configurato l'agente di raccolta log, se si esegue dietro un proxy, l'agente di raccolta log potrebbe non inviare dati a Defender per il cloud Apps. Ciò può verificarsi perché l'agente di raccolta log non considera attendibile l'autorità di certificazione radice del proxy e non è in grado di connettersi a Microsoft Defender for Cloud Apps per recuperare la configurazione o caricare i log ricevuti.

Usare questi passaggi per abilitare l'agente di raccolta log dietro un proxy.

Nota

Per informazioni su come modificare i certificati usati dall'agente di raccolta log per Syslog o FTP e per risolvere i problemi di connettività dai firewall e dai proxy all'agente di raccolta log, vedere Modificare la configurazione FTP dell'agente di raccolta log.

Configurare l'agente di raccolta log dietro un proxy

Assicurarsi di eseguire i passaggi necessari per eseguire Docker in un computer Windows o Linux e scaricare correttamente l'immagine Docker delle app Defender per il cloud nel computer. Per altre informazioni, vedere Configurare il caricamento automatico dei log per i report continui.

Convalidare la creazione del contenitore dell'agente di raccolta log Docker

Nella shell verificare che il contenitore sia stato creato e sia in esecuzione con il comando seguente:

docker ps

Copiare il certificato della CA radice del proxy nel contenitore

Dalla macchina virtuale copiare il certificato della CA nel contenitore Defender per il cloud Apps. Nell'esempio seguente, il contenitore è denominato Ubuntu-LogCollector e il certificato della CA è denominato Proxy-CA.crt. Eseguire il comando nell'host di Ubuntu. Il certificato viene copiato in una cartella nel contenitore in esecuzione:

docker cp Proxy-CA.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery

Impostare la configurazione per l'utilizzo del certificato della CA

1. Passare al contenitore usando il comando seguente. Si aprirà bash nel contenitore dell'agente di raccolta log:

   docker exec -it Ubuntu-LogCollector /bin/bash
   

2. Da una finestra bash all'interno del contenitore passare alla cartella Java jre . Per evitare un errore di percorso correlato alla versione, usare questo comando:

   cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)"
   cd bin
   

3. Importare il certificato radice copiato in precedenza dalla cartella di individuazione nell'archivio chiavi Java e definire una password. La password predefinita è "changeit". Per informazioni sulla modifica della password, vedere Come modificare la password dell'archivio chiavi Java.

   ./keytool --import --noprompt --trustcacerts --alias SelfSignedCert --file /var/adallom/ftp/discovery/Proxy-CA.crt --keystore ../lib/security/cacerts --storepass <password>
   

4. Verificare che il certificato sia stato importato correttamente nell'archivio chiavi della CA, usando il comando seguente per cercare l'alias specificato durante l'importazione (SelfSignedCert):

   ./keytool --list --keystore ../lib/security/cacerts | grep self
   

   

Verrà visualizzato il certificato della CA del proxy importato.

Impostare l'agente di raccolta log per l'esecuzione con la nuova configurazione

Il contenitore è ora pronto.

Eseguire il comando collector_config usando il token API usato durante la creazione dell'agente di raccolta log:

Quando si esegue il comando, specificare il proprio token API:

collector_config abcd1234abcd1234abcd1234abcd1234 ${CONSOLE} ${COLLECTOR}

L'agente di raccolta log è ora in grado di comunicare con Defender per il cloud Apps. Dopo l'invio dei dati, lo stato passerà da Integro a Connesso nel portale delle app di Defender per il cloud.

Nota

Se è necessario aggiornare la configurazione dell'agente di raccolta log, per aggiungere o rimuovere un'origine dati, ad esempio, in genere è necessario eliminare il contenitore ed eseguire nuovamente la procedura precedente. Per evitare questo problema, è possibile eseguire di nuovo lo strumento di collector_config con il nuovo token API generato nel portale delle app di Defender per il cloud.

Come modificare la password dell'archivio chiavi Java

1. Arrestare il server KeyStore Java.

1. Aprire una shell bash all'interno del contenitore e passare alla cartella appdata/conf .

2. Modificare la password dell'archivio chiavi del server usando questo comando:

   keytool -storepasswd -new newStorePassword -keystore server.keystore
   -storepass changeit
   

   Nota

   La password del server predefinita è changeit.

3. Modificare la password del certificato usando questo comando:

   keytool -keypasswd -alias server -keypass changeit -new newKeyPassword -keystore server.keystore -storepass newStorePassword
   

   Nota

   L'alias del server predefinito è server.

4. In un editor di testo aprire il file server-install\conf\server\secured-installed.properties , quindi aggiungere le righe di codice seguenti e quindi salvare le modifiche:

   1. Specificare la nuova password dell'archivio chiavi Java per il server: server.keystore.password=newStorePassword
   2. Specificare la nuova password del certificato per il server: server.key.password=newKeyPassword

5. Avviare il server.

Spostare l'agente di raccolta log in una partizione di dati diversa in Linux

Molte aziende hanno la necessità di spostare i dati in una partizione separata. Usare questa procedura per spostare le immagini dell'agente di raccolta log docker di Defender per il cloud app in una partizione di dati nell'host Linux.

La procedura seguente descrive lo spostamento dei dati in una partizione denominata archivio dati e presuppone che la partizione sia già stata montata.

Nota

L'aggiunta e la configurazione di una nuova partizione nell'host Linux non rientra nell'ambito di questa guida.

1. Arrestare il servizio Docker usando questo comando:

   service docker stop
   

2. Spostare i dati dell'agente di raccolta log nella nuova partizione usando questo comando:

   mv /var/lib/docker /datastore/docker
   

3. Rimuovere la vecchia directory di archiviazione Docker (/var/lib/docker) e creare un collegamento simbolico alla nuova directory (/archivio dati/docker).

   rm -rf /var/lib/docker && ln -s /datastore/docker /var/lib/
   

4. Avviare il servizio Docker usando questo comando:

   service docker start
   

5. Facoltativamente, verificare lo stato dell'agente di raccolta log usando questo comando:

   docker ps
   

Esaminare l'utilizzo del disco dell'agente di raccolta log in Linux

Usare questa procedura per esaminare l'utilizzo e la posizione del disco dell'agente di raccolta log.

1. Identificare il percorso della directory in cui vengono archiviati i dati dell'agente di raccolta log usando questo comando:

   docker inspect <collector_name> | grep WorkDir
   

   

2. Ottenere le dimensioni sul disco dell'agente di raccolta log usando il percorso identificato senza il suffisso "/work":

   du -sh /var/lib/docker/overlay2/<log_collector_id>/
   

   

   Nota

   Se è necessario conoscere solo le dimensioni sul disco, è possibile usare questo comando: docker ps -s

Spostare l'agente di raccolta log in un host accessibile

Negli ambienti regolamentati l'accesso agli hub Docker in cui è ospitata l'immagine dell'agente di raccolta log può essere bloccata. Ciò impedisce Defender per il cloud App di importare i dati dall'agente di raccolta log e può essere risolto lo spostamento dell'immagine dell'agente di raccolta log in un host accessibile.

Usare questa procedura per scaricare l'immagine dell'agente di raccolta log usando un computer che ha accesso a Docker Hub e importarlo nell'host di destinazione.

Nota

• L'immagine scaricata può essere importata nel repository privato o direttamente nell'host. La procedura seguente illustra come scaricare l'immagine dell'agente di raccolta log nel computer Windows e quindi usa WinSCP per spostare l'agente di raccolta log nell'host di destinazione.
• Per installare Docker nell'host, scaricare il sistema operativo desiderato:
  • https://download.docker.com/linux/ubuntu
  • https://download.docker.com/linux/centos/
  • https://download.docker.com/linux/rhel/

Dopo il download, usare la guida all'installazione offline per installare il sistema operativo.

Avviare il processo esportando l'immagine dell'agente di raccolta log e quindi importando l'immagine nell'host di destinazione.

Esportare l'immagine dell'agente di raccolta log dall'Docker Hub

Usare i passaggi rilevanti per il sistema operativo del Docker Hub in cui si trova l'immagine dell'agente di raccolta log.

Esportazione dell'immagine in Linux

1. In un computer Linux che ha accesso alla Docker Hub eseguire il comando seguente. Verrà installato Docker e scaricato l'immagine dell'agente di raccolta log.

   curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.sh
   

2. Esportare l'immagine dell'agente di raccolta log.

   docker save --output /tmp/mcasLC.targ mcr.microsoft.com/mcas/logcollector
   chmod +r /tmp/mcasLC.tar
   

   Nota

   È importante usare il parametro di output per scrivere in un file anziché STDOUT.

3. Scaricare l'immagine dell'agente di raccolta log nel computer C:\mcasLogCollector\ Windows usando WinSCP.

   

Esportazione dell'immagine in Windows

1. In un computer Windows 10 che ha accesso all'Docker Hub, installare Docker Desktop.

2. Scaricare l'immagine dell'agente di raccolta log.

   docker login -u caslogcollector -p C0llector3nthusiast
   docker pull mcr.microsoft/mcas/logcollector
   

3. Esportare l'immagine dell'agente di raccolta log.

   docker save --output C:\mcasLogCollector\mcasLC.targ mcr.microsoft.com/mcas/logcollector
   

   Nota

   È importante usare il parametro di output per scrivere in un file anziché STDOUT.

Importare e caricare l'immagine dell'agente di raccolta log nell'host di destinazione

Usare questi passaggi per trasferire l'immagine esportata nell'host di destinazione.

1. Upload'immagine dell'agente di raccolta log nell'host di destinazione in /tmp/.

   

2. Nell'host di destinazione importare l'immagine dell'agente di raccolta log nel repository di immagini Docker usando questo comando:

   docker load --input /tmp/mcasLC.tar
   

   

3. Facoltativamente, verificare che l'importazione sia stata completata correttamente usando questo comando:

   docker image ls
   

   

   È ora possibile procedere per creare l'agente di raccolta log usando l'immagine dall'host di destinazione.

Definire porte personalizzate per i ricevitori Syslog e FTP per gli agenti di raccolta log in Linux

Alcune organizzazioni hanno un requisito per definire porte personalizzate per i servizi Syslog e FTP. Quando si aggiunge un'origine dati, Defender per il cloud Raccolta log app usa numeri di porta specifici per ascoltare i log del traffico da una o più origini dati.

Nella tabella seguente sono elencate le porte di ascolto predefinite per i ricevitori:

Tipo di ricevitore	Porte
syslog	* UDP/514 - UDP/51x * TCP/601 - TCP/60x
FTP	* TCP/21

Usare questi passaggi per definire porte personalizzate.

1. In Defender per il cloud App fare clic sull'icona delle impostazioni seguita dagli agenti di raccolta log.

2. Nella scheda Raccolta log aggiungere o modificare un agente di raccolta log e dopo aver aggiornato le origini dati, copiare il comando di esecuzione dalla finestra di dialogo.

   

   Nota

   Se usato come specificato, nella procedura guidata seguente viene configurato l'agente di raccolta log per usare le porte 514/UDP e 515/UDP.

   (echo <credentials>) | docker run --name LogCollector1 -p 514:514/udp -p 515:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

3. Prima di usare il comando nel computer host, modificare il comando per usare le porte personalizzate. Ad esempio, per configurare l'agente di raccolta log per usare le porte UDP 414 e 415, modificare il comando come indicato di seguito:

   (echo <credentials>) | docker run --name LogCollector1 -p 414:514/udp -p 415:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

   Nota

   Viene modificato solo il mapping Docker. Le porte assegnate internamente non vengono modificate consentendo di scegliere qualsiasi porta di ascolto nell'host.

Convalidare il traffico e il formato di log ricevuti dall'agente di raccolta log in Linux

Occasionalmente, potrebbe essere necessario analizzare i problemi, ad esempio quanto segue:

• Gli agenti di raccolta log ricevono dati: verificare che gli agenti di raccolta log ricevano messaggi Syslog dalle appliance e non siano bloccati dai firewall.
• I dati ricevuti sono nel formato di log corretto: convalidare il formato del log per risolvere gli errori di analisi confrontando il formato di log previsto da app Defender per il cloud e quello inviato dall'appliance.

Usare questi passaggi per convalidare il traffico ricevuto dagli agenti di raccolta log.

1. Accedere al server che ospita il contenitore Docker.

2. Verificare che l'agente di raccolta log riceva messaggi Syslog usando uno dei metodi seguenti:

   • Usando tcpdump o un comando simile per analizzare il traffico di rete sulla porta 514:

     tcpdump -Als0 port 514
     

     Se tutto è configurato correttamente, dovrebbe essere visualizzato il traffico di rete dalle appliance.

     

   • Usando netcat o un comando simile per analizzare il traffico di rete nel computer host:

     1. Installare netcat e wget.

     2. Scaricare e, se necessario, decomprimere, un log di esempio, come indicato di seguito:

        1. Nel portale di app Defender per il cloud fare clic su Individua e quindi su Crea report snapshot.
        2. In Origine dati selezionare l'origine dati da cui caricare i file di log.
        3. Fare clic su Visualizza e quindi fare clic con il pulsante destro del mouse su Scarica log di esempio e copiare il collegamento indirizzo URL.
        4. Fare clic su Chiudi.
        5. Fare clic su Annulla.

     wget <URL_address_to_sample_log>
     

     1. Eseguire netcat per trasmettere i dati all'agente di raccolta log.

     cat <path_to_downloaded_sample_log>.log | nc -w 0 localhost <datasource_port>
     

     Se l'agente di raccolta è configurato correttamente, i dati di log saranno presenti nel file dei messaggi e a breve termine verranno caricati nel portale di app di Defender per il cloud.

   • Esaminando i file pertinenti all'interno del contenitore Docker delle app Defender per il cloud:

     1. Accedere al contenitore usando questo comando:

     docker exec -it <Container Name> bash
     

     1. Determinare se i messaggi Syslog vengono scritti nel file dei messaggi usando questo comando:

     cat /var/adallom/syslog/<your_log_collector_port>/messages
     

     Se tutto è configurato correttamente, dovrebbe essere visualizzato il traffico di rete dalle appliance.

     Nota

     Questo file continuerà a essere scritto fino a quando non raggiungerà 40 KB di dimensioni.

     

3. Esaminare i log caricati in app Defender per il cloud nella /var/adallom/discoverylogsbackup directory.

   

4. Convalidare il formato di log ricevuto dall'agente di raccolta log confrontando i messaggi archiviati nel /var/adallom/discoverylogsbackup formato di log di esempio fornito nella procedura guidata creazione log app Defender per il cloud.

Nota

Se si vuole usare il proprio log di esempio, ma non si ha accesso all'appliance, usare i comandi seguenti per scrivere l'output del file di messaggi (disponibile nella directory syslog dell'agente di raccolta og) in un file locale nell'host.

docker exec CustomerLogCollectorName tail -f -q /var/adallom/syslog/<datasource_port>/messages > /tmp/log.log

Confrontare il file di output (/tmp/log.log) ai messaggi archiviati in /var/adallom/discoverylogsbackup.

Passaggi successivi

Distribuire Cloud Discovery

Criteri attività utente

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.