Konfigurowanie automatycznego przekazywania dzienników przy użyciu lokalnej platformy Docker w systemie Windows

Automatyczne przekazywanie dzienników można skonfigurować dla raportów ciągłych w usłudze Defender dla Chmury Apps przy użyciu platformy Docker w systemie Windows.

Wymagania wstępne

• Specyfikacje architektury:

  • System operacyjny: jeden z następujących elementów:

    • Windows 10 (aktualizacja fall creators)

    • Windows Sever w wersji 1709+ (SAC)

    • Windows Server 2019 (LTSC)

  • Miejsce na dysku: 250 GB

  • Rdzenie procesora CPU: 2

  • Architektura procesora: Intel 64 i AMD 64

  • Pamięć RAM: 4 GB

  Aby uzyskać listę obsługiwanych architektur platformy Docker, zobacz dokumentację instalacji platformy Docker.

• Ustaw zaporę zgodnie z opisem w temacie Wymagania dotyczące sieci

• Wirtualizacja w systemie operacyjnym musi być włączona z funkcją Hyper-V

Ważne

• Klienci korporacyjni z ponad 250 użytkownikami lub więcej niż 10 milionów USD w rocznych przychodach wymagają płatnej subskrypcji do korzystania z aplikacji Docker Desktop dla systemu Windows. Aby uzyskać więcej informacji, zobacz Omówienie subskrypcji platformy Docker.
• Aby zbierać dzienniki, użytkownik musi zalogować się do platformy Docker. Zalecamy doradzanie użytkownikom platformy Docker rozłączania bez wylogowywanie się.
• Platforma Docker dla systemu Windows nie jest oficjalnie obsługiwana w scenariuszach wirtualizacji oprogramowania VMWare.
• Platforma Docker dla systemu Windows nie jest oficjalnie obsługiwana w scenariuszach wirtualizacji zagnieżdżonej. Jeśli nadal planujesz używać wirtualizacji zagnieżdżonej, zapoznaj się z oficjalnym przewodnikiem platformy Docker.
• Aby uzyskać informacje na temat dodatkowych zagadnień dotyczących konfiguracji i implementacji platformy Docker dla systemu Windows, zobacz Instalowanie programu Docker Desktop w systemie Windows.

Uwaga

Jeśli masz istniejący moduł zbierający dzienniki i chcesz go usunąć przed ponownym wdrożeniem lub jeśli po prostu chcesz go usunąć, uruchom następujące polecenia:

docker stop <collector_name>
docker rm <collector_name>

Wydajność modułu zbierającego dzienniki

Moduł zbierający dzienniki może pomyślnie obsługiwać dzienniki o rozmiarze do 50 GB na godzinę. Głównymi wąskimi gardłami procesu zbierania dzienników są:

• Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.

• Wydajność operacji we/wy maszyny wirtualnej — określa szybkość zapisywania dzienników na dysku modułu zbierającego dzienniki. W moduł zbierający dzienniki wbudowano mechanizm bezpieczeństwa, który monitoruje szybkość pojawiania się dzienników i porównuje ją z szybkością przekazywania. W przypadku przeciążenia moduł zbierający dzienniki zaczyna porzucać pliki dzienników. Jeśli konfiguracja zwykle przekracza 50 GB na godzinę, zaleca się podzielenie ruchu między wieloma modułami zbierającym dzienniki.

Instalowanie i konfiguracja

Krok 1 — Konfiguracja portalu sieci Web: definiowanie źródeł danych i powiązanie ich z modułem zbierającym dzienniki

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

2. W obszarze Cloud Discovery wybierz pozycję Automatyczne przekazywanie dziennika. Następnie wybierz kartę Źródła danych.

3. Dla każdej zapory lub serwera proxy, z którego chcesz przekazać dzienniki, utwórz pasujące źródło danych.

   1. Wybierz pozycję +Dodaj źródło danych.
      
   2. Nadaj nazwę serwerowi proxy lub zaporze.
      
   3. Wybierz urządzenie z listy Źródło. Jeśli wybierzesz opcję Niestandardowy format dziennika, aby pracować z urządzeniem sieciowym, które nie ma na liście, zobacz Praca z niestandardowym analizatorem dzienników , aby uzyskać instrukcje dotyczące konfiguracji.
   4. Porównaj dziennik z przykładem dziennika w oczekiwanym formacie. Jeśli format pliku dziennika nie jest zgodny z tym przykładem, należy dodać źródło danych jako Inne.
   5. Ustaw typ odbiornika na FTP, FTPS, Syslog — UDP lub Syslog — TCP lub Syslog — TLS.

   Uwaga

   Integracja z protokołami bezpiecznego transferu (FTPS i Syslog — TLS) często wymaga dodatkowych ustawień lub zapory/serwera proxy.

   f. Powtórz ten proces dla każdej zapory i każdego serwera proxy, których dzienniki mogą być używane do wykrywania ruchu w sieci. Zaleca się skonfigurowanie dedykowanego źródła danych na urządzenie sieciowe w celu umożliwienia:

   • Monitoruj stan każdego urządzenia oddzielnie na potrzeby badania.
   • Zapoznaj się z odnajdywaniem it w tle na urządzenie, jeśli każde urządzenie jest używane przez inny segment użytkownika.

4. Przejdź na kartę Moduły zbierające dzienniki w górnej części portalu.

   1. Wybierz pozycję Dodaj moduł zbierający dzienniki.
   2. Nadaj nazwę modułowi zbierającemu dzienniki.
   3. Wprowadź adres IP hosta (prywatny adres IP) maszyny, której użyjesz do wdrożenia platformy Docker. Adres IP hosta można zastąpić nazwą maszyny, jeśli istnieje serwer DNS (lub odpowiednik), który rozpozna nazwę hosta.
   4. Wybierz wszystkie źródła danych, które chcesz połączyć z modułem zbierającym, a następnie wybierz pozycję Aktualizuj , aby zapisać konfigurację.

5. Zostaną wyświetlone dalsze informacje o wdrożeniu. Skopiuj polecenie run z okna dialogowego. Możesz użyć ikony kopiowania do schowka. Będzie ono potrzebne później.

6. Wyeksportuj oczekiwaną konfigurację źródła danych. W tej konfiguracji opisano sposób ustawiania eksportu dziennika na urządzeniach.

   

   Uwaga

   • Pojedynczy moduł zbierający dzienniki może obsłużyć wiele źródeł danych.
   • Skopiuj zawartość ekranu, ponieważ będą potrzebne informacje podczas konfigurowania modułu zbierającego dzienniki w celu komunikowania się z aplikacjami Defender dla Chmury. W przypadku wybrania protokołu Syslog te informacje będą dotyczyć portu, na którym nasłuchuje odbiornik protokołu Syslog.
   • W przypadku użytkowników wysyłających dane dziennika za pośrednictwem protokołu FTP po raz pierwszy zalecamy zmianę hasła dla użytkownika FTP. Aby uzyskać więcej informacji, zobacz Zmienianie hasła FTP.

Krok 2 . Lokalne wdrożenie maszyny

W poniższych krokach opisano wdrożenie w systemie Windows. Kroki wdrażania dla innych platform są nieco inne.

1. Otwórz terminal programu PowerShell jako administrator na komputerze z systemem Windows.

2. Uruchom następujące polecenie, aby pobrać plik skryptu programu PowerShell instalatora platformy Docker systemu Windows: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

   Aby sprawdzić, czy instalator jest podpisany przez firmę Microsoft, zobacz Weryfikowanie podpisu instalatora.

3. Aby włączyć wykonywanie skryptów programu PowerShell, uruchom polecenie Set-ExecutionPolicy RemoteSigned

4. Uruchom: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) spowoduje to zainstalowanie klienta platformy Docker na maszynie.

   

   Po uruchomieniu polecenia maszyna zostanie automatycznie ponownie uruchomiona.

5. Gdy maszyna jest uruchomiona ponownie, uruchom to samo polecenie w programie PowerShell: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

   

6. Uruchom instalatora platformy Docker. Wybierz pozycję Użyj programu WSL 2 zamiast funkcji Hyper-V (zalecane):

   

   Po zakończeniu instalacji maszyna zostanie ponownie ponownie uruchomiona.

7. Po zakończeniu ponownego uruchamiania otwórz klienta platformy Docker i przejdź przez umowę subskrypcji platformy Docker:

   

8. Jeśli instalacja WSL2 nie zostanie ukończona, zostanie wyświetlony następujący komunikat podręczny:

   

9. Ukończ instalację, pobierając pakiet zgodnie z wyjaśnieniem w temacie Pobieranie pakietu aktualizacji jądra systemu Linux.

10. Otwórz ponownie klienta programu Docker Desktop i upewnij się, że został uruchomiony:

    

11. Uruchom polecenie CMD jako administrator i wpisz polecenie run wygenerowane w portalu. Jeśli musisz skonfigurować serwer proxy, dodaj adres IP serwera proxy i numer portu. Jeśli na przykład szczegóły serwera proxy to 192.168.10.1:8080, zaktualizowane polecenie uruchomienia to:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    

12. Sprawdź, czy moduł zbierający działa prawidłowo za pomocą następującego polecenia: docker logs <collector_name>

Powinien zostać wyświetlony komunikat: Zakończono pomyślnie!

Krok 3. Konfiguracja lokalna urządzeń sieciowych

Skonfiguruj zapory sieciowe i serwery proxy, aby okresowo eksportować dzienniki do dedykowanego portu usługi Syslog katalogu FTP zgodnie z instrukcjami w oknie dialogowym. Na przykład:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Krok 4. Weryfikowanie pomyślnego wdrożenia w portalu

Sprawdź stan modułu zbierającego w tabeli modułu zbierającego dzienniki i upewnij się, że stan jest Połączenie. Jeśli jest utworzona, możliwe, że połączenie modułu zbierającego dzienniki i analizowanie nie zostało ukończone.

Możesz również przejść do dziennika nadzoru i sprawdzić, czy dzienniki są okresowo przekazywane do portalu.

Alternatywnie możesz sprawdzić stan modułu zbierającego dzienniki z poziomu kontenera platformy Docker przy użyciu następujących poleceń:

1. Zaloguj się do kontenera przy użyciu tego polecenia: docker exec -it <Container Name> bash
2. Sprawdź stan modułu zbierającego dzienniki przy użyciu tego polecenia: collector_status -p

Jeśli masz problemy podczas wdrażania, zobacz Rozwiązywanie problemów z rozwiązaniem Cloud Discovery.

Opcjonalnie — tworzenie niestandardowych raportów ciągłych

Sprawdź, czy dzienniki są przekazywane do aplikacji Defender dla Chmury i czy raporty są generowane. Po weryfikacji utwórz raporty niestandardowe. Niestandardowe raporty odnajdywania można tworzyć na podstawie grup użytkowników firmy Microsoft Entra. Jeśli na przykład chcesz zobaczyć użycie chmury działu marketingu, zaimportuj grupę marketingu przy użyciu funkcji importowania grupy użytkowników. Następnie utwórz niestandardowy raport dla tej grupy. Możesz również dostosować raport na podstawie tagu adresu IP lub zakresów adresów IP.

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

2. W obszarze Cloud Discovery wybierz pozycję Raporty ciągłe.

3. Wybierz przycisk Utwórz raport i wypełnij pola.

4. W obszarze Filtry można filtrować dane według źródła danych, zaimportowanych grup użytkowników lub według tagów i zakresów adresów IP.

   Uwaga

   Podczas stosowania filtrów w raportach ciągłych wybór zostanie uwzględniony, a nie wykluczony. Jeśli na przykład zastosujesz filtr dla określonej grupy użytkowników, tylko ta grupa użytkowników zostanie uwzględniona w raporcie.

   

Opcjonalne — weryfikowanie podpisu instalatora

Aby upewnić się, że instalator platformy Docker jest podpisany przez firmę Microsoft:

1. Kliknij prawym przyciskiem myszy plik i wybierz polecenie Właściwości.

2. Wybierz pozycję Podpisy cyfrowe i upewnij się, że jest wyświetlany komunikat Ten podpis cyfrowy jest ok.

3. Upewnij się, że firma Microsoft Corporation jest wymieniona jako jedyny wpis w obszarze Nazwa osoby podpisujące.

   

   Jeśli podpis cyfrowy jest nieprawidłowy, zostanie wyświetlony komunikat Ten podpis cyfrowy jest nieprawidłowy:

   

Następne kroki

Modyfikowanie konfiguracji protokołu FTP modułu zbierającego dzienniki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.