Geavanceerd beheer van logboekverzamelaar

Artikel
03/18/2024

In dit artikel wordt beschreven hoe u geavanceerde opties configureert voor Defender voor Cloud Apps-logboekverzamelaars voor clouddetectie.

Defender voor Cloud Apps-clouddetectie blijft zich richten op basisfirewallindelingen. Wijzigingen in de logboeken die op firewallniveau worden doorgestuurd, werken mogelijk niet meer of veroorzaken problemen met parseren. Als u fouten van dit type vindt, raden we u aan om de basisfirewallindeling te blijven gebruiken of opties te gebruiken met de aangepaste logboekverzamelaar. Zie Een aangepaste logboekparser gebruiken voor meer informatie.

In dit artikel wordt beschreven hoe u de configuratie voor uw Defender voor Cloud Apps Cloud Discovery Docker wijzigt.

De FTP-configuratie van de logboekverzamelaar wijzigen

Gebruik deze stappen in de volgende secties om de configuratie voor uw Defender voor Cloud Apps Cloud Discovery Docker te wijzigen.

De versie van de logboekverzamelaar controleren

Als u wilt controleren of de versie van de logboekverzamelaar die momenteel op uw systeem is geïnstalleerd, maakt u verbinding met de host van de logboekverzamelaar en voert u het volgende uit:

cat /var/adallom/versions | grep columbus-

Het FTP-wachtwoord wijzigen

In deze procedure wordt beschreven hoe u het wachtwoord wijzigt dat wordt gebruikt voor toegang tot logboekverzamelaarbestanden:

Verbinding maken naar de host van de logboekverzamelaar en voer deze uit:
```
docker exec -it <collector name> pure-pw passwd <ftp user>
```
Voer uw nieuwe wachtwoord in en voer het opnieuw in om dit te bevestigen.
Voer de volgende opdracht uit om de wijziging toe te passen:
```
docker exec -it <collector name> pure-pw mkdb
```

U moet de volgende inhoud kunnen bekijken:

run_logs
ssl_update
config.json

Certificaatbestanden aanpassen

In deze procedure wordt beschreven hoe u de certificaatbestanden aanpast die worden gebruikt voor beveiligde verbindingen met het Docker-exemplaar van clouddetectie.

Open een FTP-client en maak verbinding met de host van de logboekverzamelaar.

Navigeer naar de ssl_update map en upload de nieuwe certificaatbestanden, inclusief de volgende bestanden:

Type ontvanger	Vereiste bestanden
FTP	- pure-ftpd.pem: Bevat de sleutel- en certificaatgegevens
Syslog	- ca.pem: het certificaat van de certificeringsinstantie dat is gebruikt om het certificaat van de client te ondertekenen. - server-key.pem en server-cert.pem: het certificaat en de sleutel van de logboekverzamelaar Syslog-berichten worden via TLS verzonden naar de logboekverzamelaar, waarvoor wederzijdse TLS-verificatie is vereist, inclusief verificatie van zowel de client- als servercertificaten.

Type ontvanger

Vereiste bestanden

FTP

- pure-ftpd.pem: Bevat de sleutel- en certificaatgegevens

Syslog

- ca.pem: het certificaat van de certificeringsinstantie dat is gebruikt om het certificaat van de client te ondertekenen.
- server-key.pem en server-cert.pem: het certificaat en de sleutel van de logboekverzamelaar

Syslog-berichten worden via TLS verzonden naar de logboekverzamelaar, waarvoor wederzijdse TLS-verificatie is vereist, inclusief verificatie van zowel de client- als servercertificaten.

Bestandsnamen zijn verplicht. Als een van de bestanden ontbreekt, mislukt de update.

Voer in een terminalvenster het volgende uit:

docker exec -t <collector name> update_certs

De uitvoer moet er ongeveer uitzien als de volgende code:

root@DockerPlayground:~# docker exec -t columbus update_certs
rsyslog: stopped
rsyslog: started
ftpd: stopped
ftpd: started
root@DockerPlayground:~#

Voer in een terminalvenster het volgende uit:

docker exec <collector name> chmod -R 700 /etc/ssl/private/

De logboekverzamelaar achter een proxy inschakelen

Als u achter een proxy werkt, kan de logboekverzamelaar problemen hebben met het verzenden van gegevens naar Defender voor Cloud Apps. Dit kan bijvoorbeeld gebeuren omdat de logboekverzamelaar de basiscertificeringsinstantie van de proxy niet vertrouwt en geen verbinding kan maken met Microsoft Defender voor Cloud Apps om de configuratie op te halen of de ontvangen logboeken te uploaden.

In de volgende procedures wordt beschreven hoe u de logboekverzamelaar achter een proxy inschakelt.

Tip

U kunt ook de certificaten die door de logboekverzamelaar voor Syslog of FTP worden gebruikt, wijzigen of verbindingsproblemen oplossen van de firewalls en proxy's naar de logboekverzamelaar. Zie De FTP-configuratie van de logboekverzamelaar wijzigen voor meer informatie.

De logboekverzamelaar instellen achter een proxy

Zorg ervoor dat u de benodigde stappen hebt uitgevoerd om Docker uit te voeren op een Windows- of Linux-computer en dat u de docker-installatiekopie van Defender voor Cloud Apps op uw hostcomputer hebt gedownload.

Zie Automatische logboekupload configureren voor doorlopende rapporten voor meer informatie.

Het maken van docker-logboekverzamelaarcontainers valideren

Controleer of de container is gemaakt en wordt uitgevoerd. Voer in de shell het volgende uit:

docker ps

De uitvoer moet er ongeveer uitzien als hieronder is weergegeven:

Het basis-CA-certificaat van de proxy kopiëren naar de container

Kopieer vanaf uw virtuele machine het CA-certificaat naar de container Defender voor Cloud Apps. In het volgende voorbeeld heeft de container de naam Ubuntu-LogCollector en heeft het CA-certificaat de naam Proxy-CA.crt.

Met de volgende opdracht wordt het certificaat gekopieerd naar een map in de actieve container. Voer de opdracht uit op de Ubuntu-host:

docker cp Proxy-CA.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery

De configuratie instellen voor gebruik met het CA-certificaat

Ga naar de container. Voer de volgende opdracht uit om bash te openen in de container van de logboekverzamelaar:
```
docker exec -it Ubuntu-LogCollector /bin/bash
```
Ga vanuit een bash-venster in de container naar de Java-map jre . Gebruik de volgende opdracht om een padfout met betrekking tot een versie te voorkomen:
```
cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)"
cd bin
```
Importeer het basiscertificaat dat u eerder hebt gekopieerd, uit de detectiemap naar de Java KeyStore en definieer een wachtwoord.

Het standaardwachtwoord is changeit. Zie Het Java KeyStore-wachtwoord wijzigen voor meer informatie.
```
./keytool --import --noprompt --trustcacerts --alias SelfSignedCert --file /var/adallom/ftp/discovery/Proxy-CA.crt --keystore ../lib/security/cacerts --storepass <password>
```
Controleer of het certificaat correct is geïmporteerd in het CA-sleutelarchief. Voer de volgende opdracht uit om te zoeken naar de alias die u hebt opgegeven tijdens het importeren (SelfSignedCert):
```
./keytool --list --keystore ../lib/security/cacerts | grep self
```

Als het goed is, ziet u het geïmporteerde CA-certificaat voor de proxy. Voorbeeld:

IP-adressen beperken die syslog-berichten verzenden naar de logboekverzamelaar in Linux

Als u de docker-installatiekopie wilt beveiligen en ervoor wilt zorgen dat slechts één IP-adres de syslog-berichten naar de logboekverzamelaar mag verzenden, maakt u een IP-tabelregel op de hostcomputer om invoerverkeer toe te staan en het verkeer dat via specifieke poorten komt, zoals TCP/601 of UDP/514, te verwijderen, afhankelijk van de implementatie.

In de volgende opdracht ziet u een voorbeeld van het maken van een IP-tabelregel die kan worden toegevoegd aan de hostcomputer. Met deze tabelregel kan het IP-adres 1.2.3.4 verbinding maken met de container voor logboekverzamelaar via TCP-poort 601 en alle andere verbindingen verwijderen die afkomstig zijn van andere IP-adressen via dezelfde poort.

iptables -I DOCKER-USER \! --src 1.2.3.4 -m tcp -p tcp --dport 601 -j DROP

De logboekverzamelaar instellen voor uitvoering met de nieuwe configuratie

De container is nu gereed.

Voer de opdracht collector_config uit met behulp van het API-token dat u hebt gebruikt tijdens het maken van de logboekverzamelaar. Voorbeeld:

Schermopname van het dialoogvenster Logboekverzamelaar maken.

Wanneer u de opdracht uitvoert, geeft u uw eigen API-token op, zoals collector_config abcd1234abcd1234abcd1234abcd1234 ${CONSOLE} ${COLLECTOR}

Voorbeeld:

De logboekverzamelaar kan nu communiceren met Defender voor Cloud Apps. Nadat gegevens naar Defender voor Cloud Apps zijn verzonden, wordt de status van de logboekverzamelaar gewijzigd van In orde in Verbinding maken ed. Voorbeeld:

Schermopname van de uploadstatus.

Notitie

Als u de configuratie van de logboekverzamelaar moet bijwerken om bijvoorbeeld een gegevensbron toe te voegen of te verwijderen, moet u de container normaal gesproken verwijderen en de vorige stappen opnieuw uitvoeren.

U kunt dit voorkomen door het hulpprogramma collector_config opnieuw uit te voeren met het nieuwe API-token dat is gegenereerd in de Defender voor Cloud Apps-portal.

Het wachtwoord voor Java KeyStore wijzigen

Stop de Java KeyStore-server.
Open een bash-shell in de container en ga naar de map appdata/conf .
Voer het volgende uit om het wachtwoord van de Server KeyStore te wijzigen:
```
keytool -storepasswd -new newStorePassword -keystore server.keystore
-storepass changeit
```
Het standaardserverwachtwoord is changeit.

Voer het volgende uit om het certificaatwachtwoord te wijzigen:

keytool -keypasswd -alias server -keypass changeit -new newKeyPassword -keystore server.keystore -storepass newStorePassword

De standaardserveralias is server.

Open in een teksteditor het bestand server-install\conf\server\secured-installed.properties . Voeg de volgende regels code toe en sla de wijzigingen op:
1. Geef het nieuwe Java KeyStore-wachtwoord voor de server op: server.keystore.password=newStorePassword
2. Geef het nieuwe certificaatwachtwoord voor de server op: server.key.password=newKeyPassword
Start de server.

De logboekverzamelaar verplaatsen naar een andere gegevenspartitie in Linux

Veel bedrijven hebben de vereiste om gegevens naar een afzonderlijke partitie te verplaatsen. In deze procedure wordt beschreven hoe u uw Defender voor Cloud Docker-logboekverzamelaarinstallatiekopieën verplaatst naar een gegevenspartitie op uw Linux-host.

In deze procedure wordt beschreven hoe u gegevens verplaatst naar een partitie genaamd gegevensarchief en ervan uitgaat dat u de partitie al hebt gekoppeld. Voorbeeld:

Lijst met Linux-partities.

Het toevoegen en configureren van een nieuwe partitie op uw Linux-host valt niet binnen het bereik van deze handleiding.

De logboekverzamelaar verplaatsen naar een andere partitie:

Stop de Docker-service. Run:
```
service docker stop
```
Verplaats de logboekverzamelaargegevens naar de nieuwe partitie. Run:
```
mv /var/lib/docker /datastore/docker
```
Verwijder de oude Docker-opslagmap (/var/lib/docker) en maak een symbolische koppeling naar de nieuwe map (/datastore/docker). Run:
```
rm -rf /var/lib/docker && ln -s /datastore/docker /var/lib/
```
Start de Docker-service. Run:
```
service docker start
```
Controleer eventueel de status van de logboekverzamelaar. Run:
```
docker ps
```

Controleer het gebruik van logboekverzamelaarschijven in Linux

In deze procedure wordt beschreven hoe u het schijfgebruik en de locatie van de logboekverzamelaar controleert.

Identificeer het pad naar de map waarin de logboekverzamelaargegevens zijn opgeslagen. Run:
```
docker inspect <collector_name> | grep WorkDir
```
Voorbeeld:
Haal de grootte op de schijf van de logboekverzamelaar op met behulp van het geïdentificeerde pad zonder het achtervoegsel '/work'. Run:
```
du -sh /var/lib/docker/overlay2/<log_collector_id>/
```
Notitie

Als u alleen de grootte op schijf hoeft te kennen, kunt u in plaats daarvan de volgende opdracht gebruiken: docker ps -s

De logboekverzamelaar verplaatsen naar een toegankelijke host

In gereguleerde omgevingen kan de toegang tot Docker Hubs waar de installatiekopie van de logboekverzamelaar wordt gehost, worden geblokkeerd. Dit voorkomt dat Defender voor Cloud Apps de gegevens uit de logboekverzamelaar importeert en kan worden omgezet door het verplaatsen van de installatiekopie van de logboekverzamelaar naar een toegankelijke host.

In deze procedure wordt beschreven hoe u de installatiekopie van de logboekverzamelaar downloadt met behulp van een computer die toegang heeft tot Docker Hub en deze naar uw doelhost importeert.

De gedownloade installatiekopie kan worden geïmporteerd in uw privéopslagplaats of rechtstreeks op uw host. In deze procedure wordt beschreven hoe u de installatiekopie van de logboekverzamelaar naar uw Windows-computer downloadt en vervolgens WinSCP gebruikt om de logboekverzamelaar naar uw doelhost te verplaatsen.

Vereisten

Zorg ervoor dat Docker op uw host is geïnstalleerd. Gebruik bijvoorbeeld een van de volgende downloads:
- https://download.docker.com/linux/ubuntu
- https://download.docker.com/linux/centos/
Gebruik na het downloaden de offline-installatiehandleiding van Docker om uw besturingssysteem te installeren.

Start het proces door de installatiekopie van de logboekverzamelaar te exporteren en de installatiekopie vervolgens te importeren in uw doelhost.

De installatiekopieën van de logboekverzamelaar exporteren vanuit uw Docker Hub

In de volgende procedures wordt beschreven hoe u de installatiekopieën van de logboekverzamelaar exporteert met behulp van Linux of Windows.

De installatiekopieën exporteren in Linux

Voer op een Linux-computer die toegang heeft tot de Docker Hub de volgende opdracht uit om Docker te installeren en de installatiekopieën van de logboekverzamelaar te downloaden.

curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.sh

Exporteer de installatiekopieën van de logboekverzamelaar. Run:
```
docker save --output /tmp/mcasLC.targ mcr.microsoft.com/mcas/logcollector
chmod +r /tmp/mcasLC.tar
```
Belangrijk

Zorg ervoor dat u de uitvoerparameter gebruikt om naar een bestand te schrijven in plaats van STDOUT.
Download de installatiekopieën van de logboekverzamelaar naar uw Windows-computer met C:\mcasLogCollector\ Behulp van WinSCP. Voorbeeld:

De afbeelding exporteren in Windows

Installeer Docker Desktop op een Windows 10-computer die toegang heeft tot de Docker Hub.

Download de installatiekopieën van de logboekverzamelaar. Run:

docker login -u caslogcollector -p C0llector3nthusiast
docker pull mcr.microsoft.com/mcas/logcollector

Exporteer de installatiekopieën van de logboekverzamelaar. Run:
```
docker save --output C:\mcasLogCollector\mcasLC.targ mcr.microsoft.com/mcas/logcollector
```
Belangrijk

Zorg ervoor dat u de uitvoerparameter gebruikt om naar een bestand te schrijven in plaats van STDOUT.

De installatiekopie van de logboekverzamelaar importeren en laden naar uw doelhost

In deze procedure wordt beschreven hoe u de geëxporteerde installatiekopie overbrengt naar uw doelhost.

Upload de installatiekopie van de logboekverzamelaar naar uw doelhost onder /tmp/. Voorbeeld:
Importeer op de doelhost de installatiekopie van de logboekverzamelaar naar de opslagplaats met Docker-installatiekopieën. Run:
```
docker load --input /tmp/mcasLC.tar
```
Voorbeeld:
Controleer eventueel of het importeren is voltooid. Run:
```
docker image ls
```
Voorbeeld:

U kunt nu doorgaan met het maken van uw logboekverzamelaar met behulp van de installatiekopie van de doelhost.

Aangepaste poorten definiëren voor Syslog- en FTP-ontvangers voor logboekverzamelaars in Linux

Sommige organisaties hebben een vereiste om aangepaste poorten te definiëren voor Syslog- en FTP-services.

Wanneer u een gegevensbron toevoegt, gebruikt Defender voor Cloud Apps-logboekverzamelaars specifieke poortnummers om te luisteren naar verkeerslogboeken uit een of meer gegevensbronnen.

De volgende tabel bevat de standaard luisterpoorten voor ontvangers:

Type ontvanger	Poorten
Syslog	* UDP/514 - UDP/51x * TCP/601 - TCP/60x
FTP	* TCP/21

Gebruik de volgende stappen om aangepaste poorten te definiëren:

Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
Selecteer onder Cloud Discovery automatische logboekupload. Selecteer vervolgens het tabblad Logboekverzamelaars .

Voeg op het tabblad Logboekverzamelaars een logboekverzamelaar toe of bewerk deze en kopieer na het bijwerken van de gegevensbronnen de opdracht uitvoeren vanuit het dialoogvenster. Voorbeeld:

De opdracht Uitvoeren kopiëren vanuit de wizard Logboekverzamelaar.

Indien gebruikt zoals opgegeven, configureert de wizard-opgegeven opdracht de logboekverzamelaar voor het gebruik van poorten 514/udp en 515/udp. Voorbeeld:

(echo <credentials>) | docker run --name LogCollector1 -p 514:514/udp -p 515:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

Voorbeeld:

Voordat u de opdracht op uw hostcomputer gebruikt, wijzigt u de opdracht om uw aangepaste poorten te gebruiken. Als u bijvoorbeeld de logboekverzamelaar wilt configureren voor het gebruik van UDP-poorten 414 en 415, wijzigt u de opdracht als volgt:
```
(echo <credentials>) | docker run --name LogCollector1 -p 414:514/udp -p 415:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
```
Voorbeeld:

Notitie

Alleen de Docker-toewijzing wordt gewijzigd. De intern toegewezen poorten worden niet gewijzigd, zodat u een luisterpoort op de host kunt kiezen.

De verkeers- en logboekindeling valideren die is ontvangen door logboekverzamelaar in Linux

Soms moet u mogelijk problemen onderzoeken, zoals de volgende:

Logboekverzamelaars ontvangen gegevens: controleer of logboekverzamelaars Syslog-berichten ontvangen van uw apparaten en niet worden geblokkeerd door firewalls.
Ontvangen gegevens hebben de juiste logboekindeling: valideer de logboekindeling om u te helpen bij het oplossen van parseerfouten door de logboekindeling te vergelijken die wordt verwacht door Defender voor Cloud Apps en de indeling die door uw apparaat wordt verzonden.

Gebruik de volgende stappen om te controleren of verkeer wordt ontvangen door logboekverzamelaars:

Meld u aan bij uw server die als host fungeert voor de Docker-container.
Controleer of de logboekverzamelaar Syslog-berichten ontvangt met behulp van een van de volgende methoden:
- Gebruik tcpdump of een vergelijkbare opdracht om netwerkverkeer op poort 514 te analyseren:
```
tcpdump -Als0 port 514
```
  Als alles correct is geconfigureerd, ziet u netwerkverkeer van uw apparaten. Voorbeeld:
- Gebruik netcat of een vergelijkbare opdracht om netwerkverkeer op de hostcomputer te analyseren:
  1. Installeer netcat en wget.
  2. Download een voorbeeldlogboekbestand van Microsoft Defender XDR. Pak zo nodig het logboekbestand uit.
    1. Selecteer in Microsoft Defender XDR onder Cloud Apps het rapport Cloud Discovery-momentopname>maken van Cloud Discovery-acties.>
    2. Selecteer de Gegevensbron vanwaaruit u de logboekbestanden wilt uploaden.
    3. Selecteer Weergeven en controleren en klik vervolgens met de rechtermuisknop op Voorbeeldlogboek downloaden en kopieer de URL-adreskoppeling.
    4. Selecteer Annuleren sluiten>.
  3. Run:
```
wget <URL_address_to_sample_log>
```
  4. Voer netcat deze opdracht uit om de gegevens naar de logboekverzamelaar te streamen.
```
cat <path_to_downloaded_sample_log>.log | nc -w 0 localhost <datasource_port>
```
  Als de collector correct is geconfigureerd, zijn de logboekgegevens aanwezig in het berichtenbestand en kort daarna geüpload naar de Defender voor Cloud Apps-portal.
- Controleer relevante bestanden in de Docker-container van Defender voor Cloud Apps:
  1. Meld u aan bij de container. Run:
```
docker exec -it <Container Name> bash
```
  2. Bepaal of Syslog-berichten naar het berichtenbestand worden geschreven. Run:
```
cat /var/adallom/syslog/<your_log_collector_port>/messages
```
  Als alles correct is geconfigureerd, ziet u netwerkverkeer van uw apparaten. Voorbeeld:
  
  Notitie
  
  Dit bestand wordt nog steeds naar dit bestand geschreven totdat het 40 kB groot is. Voorbeeld:
Bekijk de logboeken die zijn geüpload naar Defender voor Cloud Apps in de /var/adallom/discoverylogsbackup map. Voorbeeld:
Valideer de logboekindeling die is ontvangen door de logboekverzamelaar door de berichten te vergelijken die zijn opgeslagen in /var/adallom/discoverylogsbackup de voorbeeldlogboekindeling die is opgegeven in de wizard Defender voor Cloud Apps Logboekverzamelaar maken.

Uitvoer van het berichtenbestand naar een lokaal bestand schrijven

Als u uw eigen voorbeeldlogboek wilt gebruiken, maar geen toegang hebt tot het apparaat, gebruikt u de volgende opdrachten om de uitvoer van het berichtenbestand , dat zich in de syslog-map van de logboekverzamelaar bevindt, naar een lokaal bestand op de host te schrijven:

docker exec CustomerLogCollectorName tail -f -q /var/adallom/syslog/<datasource_port>/messages > /tmp/log.log

Vergelijk het uitvoerbestand (/tmp/log.log) met de berichten die zijn opgeslagen in de /var/adallom/discoverylogsbackup map.

De versie van de logboekverzamelaar bijwerken

Wanneer u de logboekverzamelaar bijwerkt:

Voordat u de nieuwe versie installeert, moet u de logboekverzamelaar stoppen en de huidige installatiekopieën verwijderen.
Werk uw certificaatbestanden bij nadat u de nieuwe versie hebt geïnstalleerd.

Volgende stappen

Cloud Discovery implementeren

Beleidsregels voor gebruikersactiviteit

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.