Konfigurowanie automatycznego przekazywania dzienników przy użyciu platformy Docker na platformie Azure

W tym artykule opisano sposób konfigurowania automatycznych przekazywania dzienników dla raportów ciągłych w aplikacjach Defender dla Chmury przy użyciu platformy Docker w systemie Ubuntu lub CentOS na platformie Azure.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że środowisko spełnia następujące wymagania:

Wymaganie	opis
System operacyjny	Jedną z następujących czynności: — Ubuntu 14.04, 16.04, 18.04 i 20.04 — CentOS 7.2 lub nowszy
Miejsce na dysku	250 GB
Rdzenie procesora CPU	2
Architektura procesora CPU	Intel 64 i AMD 64
RAM	4 GB
Konfiguracja zapory	Zgodnie z definicją w wymaganiach dotyczących sieci

Planowanie modułów zbierających dzienniki według wydajności

Każdy moduł zbierający dzienniki może pomyślnie obsłużyć pojemność dziennika do 50 GB na godzinę składający się z maksymalnie 10 źródeł danych. Głównymi wąskimi gardłami procesu zbierania dzienników są:

• Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.

• Wydajność operacji we/wy maszyny wirtualnej — określa szybkość zapisywania dzienników na dysku modułu zbierającego dzienniki. W moduł zbierający dzienniki wbudowano mechanizm bezpieczeństwa, który monitoruje szybkość pojawiania się dzienników i porównuje ją z szybkością przekazywania. W przypadku przeciążenia moduł zbierający dzienniki zaczyna porzucać pliki dzienników. Jeśli konfiguracja zwykle przekracza 50 GB na godzinę, zalecamy podzielenie ruchu między wieloma modułami zbierającym dzienniki.

Jeśli potrzebujesz więcej niż 10 źródeł danych, zalecamy podzielenie źródeł danych między wieloma modułami zbierającym dzienniki.

Definiowanie źródeł danych

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia Automatyczne przekazywanie dziennika w usłudze Cloud Discovery w > usłudze Cloud Apps >>.

2. Na karcie Źródła danych utwórz pasujące źródło danych dla każdej zapory lub serwera proxy, z którego chcesz przekazać dzienniki:

   1. Wybierz Dodaj źródła danych.

   2. W oknie dialogowym Dodawanie źródła danych wprowadź nazwę źródła danych, a następnie wybierz typ źródła i odbiorcy.

      Przed wybraniem źródła wybierz pozycję Wyświetl przykład oczekiwanego pliku dziennika i porównaj dziennik z oczekiwanym formatem. Jeśli format pliku dziennika nie jest zgodny z tym przykładem, dodaj źródło danych jako Inne.

      Aby pracować z urządzeniem sieciowym, które nie ma na liście, wybierz pozycję Inny > format dziennika klienta lub Inne (tylko ręcznie). Aby uzyskać więcej informacji, zobacz Praca z analizatorem dzienników niestandardowych.

   Uwaga

   Integracja z protokołami bezpiecznego transferu (FTPS i Syslog — TLS) często wymaga dodatkowych ustawień lub zapory/serwera proxy.

Powtórz ten proces dla każdej zapory i każdego serwera proxy, których dzienniki mogą być używane do wykrywania ruchu w sieci.

Zalecamy skonfigurowanie dedykowanego źródła danych na urządzenie sieciowe, co umożliwia oddzielne monitorowanie stanu każdego urządzenia na potrzeby badania oraz eksplorowanie odnajdywania IT w tle na urządzenie, jeśli każde urządzenie jest używane przez inny segment użytkowników.

Tworzenie modułu zbierającego dzienniki

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia Automatyczne przekazywanie dziennika w usłudze Cloud Discovery w > usłudze Cloud Apps >>.

2. Na karcie Moduły zbierające dzienniki wybierz pozycję Dodaj moduł zbierający dzienniki.

3. W oknie dialogowym Tworzenie modułu zbierającego dzienniki wprowadź następujące informacje:

   • Nazwa modułu zbierającego dzienniki
   • Adres IP hosta, który jest prywatnym adresem IP maszyny, której użyjesz do wdrożenia platformy Docker. Adres IP hosta można również zastąpić nazwą maszyny, jeśli istnieje serwer DNS lub odpowiednik rozpoznawania nazwy hosta.

   Następnie wybierz pole Źródła danych, aby wybrać źródła danych, które chcesz połączyć z modułem zbierającym, a następnie wybierz pozycję Aktualizuj , aby zapisać zmiany. Każdy moduł zbierający dzienniki może obsługiwać wiele źródeł danych.

   Okno dialogowe Tworzenie modułu zbierającego dzienniki zawiera dalsze szczegóły wdrożenia, w tym polecenie importowania konfiguracji modułu zbierającego. Na przykład:

   

4. Wybierz ikonę Kopiuj obok polecenia, aby skopiować go do schowka.

   Szczegóły wyświetlane w oknie dialogowym Tworzenie modułu zbierającego dzienniki różnią się w zależności od wybranych typów źródeł i odbiorników. Jeśli na przykład wybrano pozycję Syslog, okno dialogowe zawiera szczegółowe informacje o porcie, na którym nasłuchuje odbiornik dziennika systemowego.

   Skopiuj zawartość ekranu i zapisz je lokalnie, ponieważ będą one potrzebne podczas konfigurowania modułu zbierającego dzienniki w celu komunikowania się z aplikacjami Defender dla Chmury.

5. Wybierz pozycję Eksportuj , aby wyeksportować konfigurację źródłową do elementu . Plik CSV opisujący sposób konfigurowania eksportu dziennika w urządzeniach.

Napiwek

W przypadku użytkowników wysyłających dane dziennika za pośrednictwem protokołu FTP po raz pierwszy zalecamy zmianę hasła dla użytkownika FTP. Aby uzyskać więcej informacji, zobacz Zmienianie hasła FTP.

Wdrażanie maszyny na platformie Azure

W tej procedurze opisano sposób wdrażania maszyny przy użyciu systemu Ubuntu. Kroki wdrażania dla innych platform są nieco inne.

1. Utwórz nową maszynę z systemem Ubuntu w środowisku platformy Azure.

2. Po uruchomieniu maszyny otwórz porty:

   1. W widoku maszyny przejdź do pozycji Sieć wybierz odpowiedni interfejs, klikając go dwukrotnie.

   2. Przejdź do sieciowej grupy zabezpieczeń i wybierz odpowiednią sieciowa grupa zabezpieczeń.

   3. Przejdź do obszaru Reguły zabezpieczeń dla ruchu przychodzącego i kliknij przycisk Dodaj.

   4. Dodaj następujące reguły (w trybie zaawansowanym ):

      Nazwisko	Zakresy portów docelowych	Protokół	Element źródłowy	Element docelowy
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Dowolne
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Dowolne
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Dowolne
      caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Dowolne

   Aby uzyskać więcej informacji, zobacz Praca z regułami zabezpieczeń.

3. Wróć do maszyny i kliknij Połączenie, aby otworzyć terminal na maszynie.

4. Zmień na uprawnienia główne przy użyciu polecenia sudo -i.

5. Jeśli akceptujesz postanowienia licencyjne dotyczące oprogramowania, odinstaluj stare wersje i zainstaluj program Docker CE, uruchamiając polecenia odpowiednie dla danego środowiska:

   CentOS

   1. Usuń stare wersje platformy Docker: yum erase docker docker-engine docker.io

   2. Zainstaluj wymagania wstępne dotyczące aparatu platformy Docker: yum install -y yum-utils

   3. Dodaj repozytorium platformy Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Zainstaluj aparat platformy Docker: yum -y install docker-ce

   5. Uruchamianie platformy Docker

      systemctl start docker
      systemctl enable docker
      

   6. Testowanie instalacji platformy Docker: docker run hello-world

   Ubuntu

   1. Usuń stare wersje platformy Docker: apt-get remove docker docker-engine docker.io

   2. Jeśli instalujesz w systemie Ubuntu 14.04, zainstaluj pakiet linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Zainstaluj wymagania wstępne dotyczące aparatu platformy Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Sprawdź, czy identyfikator UID odcisku palca apt-key to docker@docker.com: apt-key fingerprint | grep uid

   5. Zainstaluj aparat platformy Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Testowanie instalacji platformy Docker: docker run hello-world

6. Uruchom polecenie skopiowane wcześniej z okna dialogowego Tworzenie modułu zbierającego dzienniki . Na przykład:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Aby sprawdzić, czy moduł zbierający dzienniki działa prawidłowo, uruchom następujące polecenie: Docker logs <collector_name>. Wyniki powinny zostać wyświetlone: Zakończono pomyślnie!

Konfigurowanie ustawień lokalnych urządzenia sieciowego

Skonfiguruj zapory sieciowe i serwery proxy, aby okresowo eksportować dzienniki do dedykowanego portu usługi Syslog katalogu FTP zgodnie z instrukcjami w oknie dialogowym. Na przykład:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Weryfikowanie wdrożenia w usłudze Defender dla Chmury Apps

Sprawdź stan modułu zbierającego w tabeli modułu zbierającego dzienniki i upewnij się, że stan jest Połączenie. Jeśli jest utworzona, możliwe, że połączenie modułu zbierającego dzienniki i analizowanie nie zostało ukończone.

Na przykład:

Możesz również przejść do dziennika nadzoru i sprawdzić, czy dzienniki są okresowo przekazywane do portalu.

Alternatywnie możesz sprawdzić stan modułu zbierającego dzienniki z poziomu kontenera platformy Docker przy użyciu następujących poleceń:

1. Zaloguj się do kontenera przy użyciu tego polecenia: docker exec -it <Container Name> bash
2. Sprawdź stan modułu zbierającego dzienniki przy użyciu tego polecenia: collector_status -p

Jeśli masz problemy podczas wdrażania, zobacz Rozwiązywanie problemów z rozwiązaniem Cloud Discovery.

Opcjonalnie — tworzenie niestandardowych raportów ciągłych

Sprawdź, czy dzienniki są przekazywane do aplikacji Defender dla Chmury i czy raporty są generowane. Po weryfikacji utwórz raporty niestandardowe. Niestandardowe raporty odnajdywania można tworzyć na podstawie grup użytkowników firmy Microsoft Entra. Jeśli na przykład chcesz zobaczyć użycie chmury działu marketingu, zaimportuj grupę marketingu przy użyciu funkcji importowania grupy użytkowników. Następnie utwórz niestandardowy raport dla tej grupy. Możesz również dostosować raport na podstawie tagu adresu IP lub zakresów adresów IP.

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

2. W obszarze Cloud Discovery wybierz pozycję Raporty ciągłe.

3. Kliknij przycisk Utwórz raport i wypełnij pola.

4. W obszarze Filtry można filtrować dane według źródła danych, zaimportowanych grup użytkowników lub według tagów i zakresów adresów IP.

   Uwaga

   Podczas stosowania filtrów w raportach ciągłych wybór zostanie uwzględniony, a nie wykluczony. Jeśli na przykład zastosujesz filtr dla określonej grupy użytkowników, tylko ta grupa użytkowników zostanie uwzględniona w raporcie.

   

Usuwanie modułu zbierającego dzienniki

Jeśli masz istniejący moduł zbierający dzienniki i chcesz go usunąć przed ponownym wdrożeniem lub jeśli po prostu chcesz go usunąć, uruchom następujące polecenia:

docker stop <collector_name>
docker rm <collector_name>

Następne kroki

Modyfikowanie konfiguracji protokołu FTP modułu zbierającego dzienniki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.