Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ustaw Instalowanie i konfiguracja w systemie UbuntuSet up and configuration on Ubuntu

Wymagania techniczneTechnical requirements

  • System operacyjny Ubuntu 14.04 i 16.04 (w przypadku nowszych wersji, skontaktuj się z pomocą techniczną)OS: Ubuntu 14.04 and 16.04 (for newer versions, contact support)

  • Miejsce na dysku: 250 GBDisk space: 250 GB

  • Ilość procesorów CPU: 2CPU: 2

  • Ilość pamięci RAM: 4 GBRAM: 4 GB

  • Ustaw zaporę, zgodnie z opisem w wymagania dotyczące sieciSet your firewall as described in Network requirements

Wydajność modułu zbierającego dziennikiLog collector performance

Moduł zbierający dzienniki może pomyślnie obsługiwać dzienniki o rozmiarze do 50 GB na godzinę.The Log collector can successfully handle log capacity of up to 50 GB per hour. Głównymi wąskimi gardłami procesu zbierania dzienników są:The main bottlenecks in the log collection process are:

  • Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.Network bandwidth - your network bandwidth determines the log upload speed.

  • Wydajność we/wy maszyny wirtualnej przydzielonej przez dział IT — określa szybkość, z jaką dzienniki są zapisywane na dysku modułu zbierającego dzienniki.I/O performance of the virtual machine allocated by your IT - determines the speed at which logs are written to the log collector’s disk. W moduł zbierający dzienniki wbudowano mechanizm bezpieczeństwa, który monitoruje szybkość pojawiania się dzienników i porównuje ją z szybkością przekazywania.The log collector has a built-in safety mechanism that monitors the rate at which logs arrive and compares it to the upload rate. W przypadku przeciążenia moduł zbierający dzienniki zaczyna porzucać pliki dzienników.In cases of congestion, the log collector starts to drop log files. Jeśli konfigurację ogólnie przekracza 50 GB na godzinę, zalecane jest podzielenie ruchu między wieloma modułami zbierającymi.If your setup generally exceeds 50 GB per hour, it is recommended that you split the traffic between multiple log collectors.

Instalowanie i konfiguracjaSet up and configuration

  1. Przejdź na stronę ustawień automatycznego przekazywania:Go to the automated upload setting page:
    W portalu Cloud App Security kliknij ikonę ustawień ikonę ustawienia następuje zbierające.In the Cloud App Security portal, click the settings icon settings icon followed by Log collectors.

  2. Utwórz pasujące źródło danych dla każdej zapory lub każdego serwera proxy, z którego chcesz przekazać dzienniki:For each firewall or proxy from which you want to upload logs, create a matching data source:

    ubuntu1

    a.a. Kliknij przycisk Dodaj źródło danych.Click Add data source.

    b.b. Nadaj nazwę serwerowi proxy lub zaporze.Name your proxy or firewall.

    c.c. Wybierz urządzenie z listy Źródło.Select the appliance from the Source list. Jeśli wybierzesz niestandardowy format dziennika do pracy z urządzenia sieciowego, który nie jest wymieniony w szczególności, zobacz Praca z analizatora dzienników niestandardowych instrukcje konfiguracji.If you select Custom log format to work with a network appliance that is not specifically listed, see Working with the custom log parser for configuration instructions.

    d.d. Porównaj dziennik z przykładem dziennika w oczekiwanym formacie.Compare your log with the sample of the expected log format. Jeśli format Twojego pliku dziennika nie jest zgodny z tym przykładem, dodaj źródło danych jako Inne.If your log file format does not match this sample, you should add your data source as Other.

    e.e. Ustaw typ odbiornika do jednej FTP, FTPS, Syslog — UDP, lub Syslog — TCP, lub SYSLOG — TLS.Set the Receiver type to either FTP, FTPS, Syslog – UDP, or Syslog – TCP, or Syslog – TLS.

    Uwaga

    Integrowanie z bezpiecznym transferem protokołów (FTPS i Syslog — TLS) często wymaga dodatkowych ustawień lub Zapora/serwera proxy.Integrating with secure transfer protocols (FTPS and Syslog – TLS) often requires additional settings or your firewall/proxy.

    f.f. Powtórz ten proces dla każdej zapory i każdego serwera proxy, których dzienniki mogą być używane do wykrywania ruchu w sieci.Repeat this process for each firewall and proxy whose logs can be used to detect traffic on your network.

    Uwaga

    Zaleca się, aby zdefiniować źródło danych dedykowanych dla urządzenia sieciowego umożliwia:It is recommended to set up a dedicated data source per network device to enable you to:
    — Monitorowanie stan poszczególnych urządzeń oddzielnie, na potrzeby analizy.- Monitor the status of each device separately, for investigation purposes.
    — Zapoznaj się w tle odnajdywania IT na urządzeniu, jeśli każde urządzenie jest używany przez segment innego użytkownika.- Explore Shadow IT Discovery per device, if each device is used by a different user segment.

  3. Przejdź na kartę Moduły zbierające dzienniki w górnej części portalu.Go to the Log collectors tab at the top.

    a.a. Kliknij przycisk Dodaj moduł zbierający dzienniki.Click Add log collector.

    b.b. Nadaj nazwę modułowi zbierającemu dzienniki.Give the log collector a name.

    c.c. Wprowadź adres IP hosta maszyny, będzie używany do wdrażania platformy Docker.Enter the Host IP address of the machine you will use to deploy the Docker.

    Uwaga

    Adres IP hosta, można zastąpić nazwę komputera, jeśli serwer DNS (lub jej odpowiednik), będzie rozpoznać nazwy hosta.The host IP address can be replaced with the machine name, if there is a DNS server (or equivalent) that will resolve the host name.

    d.d. Zaznacz wszystko źródeł danych , którą chcesz nawiązać połączenie z modułem zbierającym, a następnie kliknij przycisk aktualizacji można zapisać kolejne kroki wdrażania Zobacz konfiguracji.Select all Data sources that you want to connect to the collector, and click Update to save the configuration see the next deployment steps.

    ubuntu2

    Uwaga

    • Pojedynczy moduł zbierający dzienniki może obsłużyć wiele źródeł danych.A single Log collector can handle multiple data sources.
    • Skopiuj zawartość ekranu, ponieważ informacje te będą potrzebne podczas konfigurowania modułu zbierającego dzienniki w celu nawiązania komunikacji z usługą Cloud App Security.Copy the contents of the screen because you will need the information when you configure the Log Collector to communicate with Cloud App Security. W przypadku wybrania protokołu Syslog te informacje będą dotyczyć portu, na którym nasłuchuje odbiornik protokołu Syslog.If you selected Syslog, this information will include information about which port the Syslog listener is listening on.
  4. Dalsze informacje na temat wdrażania zostanie wyświetlony.Further deployment information will appear. Kopiuj uruchomienia polecenia z poziomu okna dialogowego.Copy the run command from the dialog. Możesz użyć kopiowania do Schowka ikony kopiowania do Schowka ikony.You can use the copy to clipboard icon copy to clipboard icon.

  5. Eksportuj oczekiwane dane konfiguracji źródłowego.Export the expected data source configuration. Tę konfigurację opisano, jak należy ustawić Eksport dziennika w urządzeń.This configuration describes how you should set the log export in your appliances.

    Tworzenie modułu zbierającego

Krok 2 — wdrażanie maszyny na platformie AzureStep 2 – Deployment of your machine in Azure

Uwaga

W poniższych krokach opisano wdrożenie w systemie Ubuntu.The following steps describe the deployment in Ubuntu. Kroki wdrażania dla innych platform są nieco inne.The deployment steps for other platforms are slightly different.

  1. Utwórz nową maszynę systemu Ubuntu w środowisku platformy Azure.Create a new Ubuntu machine in your Azure environment.

  2. Po skonfigurowaniu komputera należy otworzyć porty przez:After the machine is up, open the ports by:

    1. W widoku maszyny przejdź do sieć wybierz odpowiedni interfejs przez dwukrotne kliknięcie go.In the machine view go to Networking select the relevant interface by double clicking on it.

    2. Przejdź do sieciowej grupy zabezpieczeń i wybrać odpowiednie sieciowej grupy zabezpieczeń.Go to Network security group and select the relevant network security group.

    3. Przejdź do reguły zabezpieczeń dla ruchu przychodzącego i kliknij przycisk Dodaj,Go to Inbound security rules and click Add,

      Ubuntu Azure

    4. Dodaj następujące zasady (w zaawansowane tryb):Add the following rules (in Advanced mode):

    NazwaName Docelowe zakresy portówDestination port ranges ProtokółProtocol ŹródłoSource Lokalizacja docelowaDestination
    caslogcollector_ftpcaslogcollector_ftp 2121 TCPTCP < podsieci adresu IP przez urządzenie ><Your appliance's IP address's subnet> DowolneAny
    caslogcollector_ftp_passivecaslogcollector_ftp_passive 20000-2009920000-20099 TCPTCP < podsieci adresu IP przez urządzenie ><Your appliance's IP address's subnet> DowolneAny
    caslogcollector_syslogs_tcpcaslogcollector_syslogs_tcp 601-700601-700 TCPTCP < podsieci adresu IP przez urządzenie ><Your appliance's IP address's subnet> DowolneAny
    caslogcollector_syslogs_udpcaslogcollector_syslogs_udp 514-600514-600 UDPUDP < podsieci adresu IP przez urządzenie ><Your appliance's IP address's subnet> DowolneAny

    Reguły Ubuntu Azure

  3. Wróć do maszyny, a następnie kliknij przycisk Connect aby otworzyć terminal na maszynie.Go back to the machine and click Connect to open a terminal on the machine.

  4. Zmień na przy użyciu uprawnień użytkownika root sudo -i.Change to root privileges using sudo -i.

  5. Jeśli zaakceptujesz postanowienia licencyjne dotyczące oprogramowania, odinstaluj starsze wersje i zainstaluj Docker CE, uruchamiając następujące polecenie:If you accept the software license terms, uninstall old versions and install Docker CE by running the following command:

    curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.sh
    

    Polecenie Ubuntu Azure

  6. W portalu Cloud App Security Utwórz nowy moduł zbierający dzienniki okna, skopiuj polecenie, aby zaimportować konfiguracji modułu zbierającego na maszynie hostującej:In the Cloud App Security portal in the Create new log collector window, copy the command to import the collector configuration on the hosting machine:

    Ubuntu Azure

  7. Uruchom polecenie, aby wdrożyć moduł zbierania danych dzienników.Run the command to deploy the log collector.

     (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i microsoft/caslogcollector starter
    

    Serwer proxy w systemie Ubuntu

  8. Aby sprawdzić, czy moduł zbierający działa prawidłowo, uruchom następujące polecenie: Docker logs <collector_name>.To verify that the log collector is running properly, run the following command: Docker logs <collector_name>. Należy uzyskać wyniki: została zakończona pomyślnie!You should get the results: Finished successfully!

    ubuntu8

Krok 3 — lokalna konfiguracja urządzeń sieciowychStep 3 - On-premises configuration of your network appliances

Skonfiguruj zapory sieciowe i serwery proxy tak, aby okresowo eksportowały dzienniki na dedykowany port Syslog katalogu FTP, zgodnie z instrukcjami wyświetlanymi w oknie dialogowym, na przykład:Configure your network firewalls and proxies to periodically export logs to the dedicated Syslog port of the FTP directory according to the directions in the dialog, for example:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Krok 4 — weryfikowanie pomyślnego wdrożenia w portalu usługi Cloud App SecurityStep 4 - Verify the successful deployment in the Cloud App Security portal

Sprawdź stan modułu zbierającego moduł zbierający tabeli i upewnij się, ma stan połączono.Check the collector status in the Log collector table and make sure the status is Connected. Jeśli jest utworzono, jest możliwe, połączenia modułu zbierającego dziennika i analizy nie została ukończona.If it is Created, it is possible that the log collector connection and parsing has not completed.

ubuntu9

Można także przejść do dziennika nadzoru i sprawdź, czy dzienniki są okresowo przekazywane do portalu.You can also go to the Governance log and verify that logs are being periodically uploaded to the portal.

W razie wystąpienia problemów podczas wdrażania zobacz Rozwiązywanie problemów z rozwiązaniem Cloud Discovery.If you encounter problems during deployment, see Troubleshooting Cloud Discovery.

Opcjonalnie — tworzyć niestandardowe raporty ciągłeOptional - Create custom continuous reports

Po upewnieniu się, że dzienniki są przekazywane do usługi Cloud App Security i wygenerowaniu raportu, można tworzyć niestandardowe raporty.After you have verified that the logs are being uploaded to Cloud App Security and the reports are being generated, you can create custom reports. Możesz teraz utworzyć odnajdywanie niestandardowe raporty na podstawie grup użytkowników usługi Azure Active Directory.You can now create custom discovery reports based on Azure Active Directory user groups. Na przykład, jeśli chcesz zobaczyć w chmurze, użyj działu marketingu można zaimportować grupy marketing, dzięki funkcji importowania grupy użytkowników i następnie utworzyć niestandardowy raport dla tej grupy.For example, if you want to see the cloud use of your marketing department, you can import the marketing group using the import user group feature, and then create a custom report for this group. Można również dostosować raport, w oparciu o tag adresu IP lub zakres adresów IP.You can also customize a report based on IP address tag or IP address ranges.

  1. W portalu usługi Cloud App Security w obszarze przypominającą koło zębate wybierz ustawienia funkcji Cloud Discovery , a następnie wybierz Zarządzanie raportami ciągłymi.In the Cloud App Security portal, under the Settings cog, select Cloud Discovery settings and then select Manage continuous reports.
  2. Kliknij przycisk Utwórz raport przycisk, a następnie wypełnij pola.Click the Create report button and fill in the fields.
  3. W obszarze filtry źródła danych, można filtrować według zaimportowana grupa użytkowników, lub adres IP znaczniki i zakresy.Under the Filters you can filter the data by data source, by imported user group, or by IP address tags and ranges.

Niestandardowe raporty ciągłe

Zobacz teżSee Also

Rozwiązywanie problemów z wdrożeniem platformy Docker w usłudze Cloud DiscoveryTroubleshooting Cloud Discovery docker deployment

Klienci wersji Premium mogą również wybrać Cloud App Security bezpośrednio z poziomu portalu w wersji PremierPremier customers can also choose Cloud App Security directly from the Premier Portal