Docker no Linux no local

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Pode configurar o upload automático de registos para relatórios contínuos em Cloud App Security usando um Docker num Ubuntu, Red Hat Enterprise Linux (RHEL) ou servidor CentOS.

Pré-requisitos

  • SO:

    • Ubuntu 14.04, 16.04 e 18.04
    • RHEL 7.2 ou superior
    • CentOS 7.2 ou superior
  • Espaço em disco: 250 GB

  • Núcleos cpu: 2

  • CpU Architecture: Intel® 64 e AMD 64

  • RAM: 4 GB

  • Descreva a sua firewall como descrito nos requisitos da Rede

Nota

Se tiver um colecionador de registos existente e quiser removê-lo antes de o voltar a implantar, ou se simplesmente quiser removê-lo, execute os seguintes comandos:

docker stop <collector_name>
docker rm <collector_name>

Desempenho do recoletor de registos

O recoletor de registos pode processar com êxito uma capacidade de registos de até 50 GB por hora. Os principais limites do processo de recolha de registos são:

  • Largura de banda da rede - A largura de banda da rede determina a velocidade de upload do registo.

  • Desempenho de I/O da máquina virtual - Determina a velocidade a que os registos são escritos no disco do colecionador de registos. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a taxa a que os registos são recebidos e compara-a com a taxa de carregamento. Em caso de congestionamento, o recoletor começa a largar ficheiros de registo. Se a sua configuração normalmente exceder 50 GB por hora, recomenda-se que divida o tráfego entre vários colecionadores de madeira.

Instalação e configuração

  1. Aceda à página de definições de upload automático de registos.

    1. No portal Cloud App Securityclique no ícone de definições seguido de Colecionadores de Registo.

    ícone de definições.

  2. Para cada firewall ou procuração a partir do qual pretende fazer o upload de registos, crie uma fonte de dados correspondente.

    1. Clique em Adicionar origem de dados.
      Adicione uma fonte de dados.
    2. Dê um nome ao proxy ou à firewall.
      Nome para a sua fonte de dados.
    3. Selecione a aplicação na lista Origem. Se selecionar o formato de registo personalizado para trabalhar com um aparelho de rede que não esteja listado, consulte trabalhar com o parser de registo personalizado para obter instruções de configuração.
    4. Compare o registo com o exemplo do formato de registo esperado. Se o seu formato de ficheiro de registo não corresponder a esta amostra, deverá adicionar a sua fonte de dados como Outro .
    5. Desaceia o tipo recetor a FTP, FTPS, Syslog – UDP, ou Syslog – TCP, ou Syslog – TLS.

    Nota

    A integração com protocolos de transferência seguros (FTPS e Syslog – TLS) requer frequentemente definições adicionais ou a sua firewall/proxy.

    f. Repita este processo para cada firewall e proxy cujos registos podem ser utilizados para detetar o tráfego na sua rede. Recomenda-se a criação de uma fonte de dados dedicada por dispositivo de rede para lhe permitir:

    • Monitorize separadamente o estado de cada dispositivo, para fins de investigação.
    • Explore o Shadow IT Discovery por dispositivo, se cada dispositivo for utilizado por um segmento de utilizador diferente.
  3. Aceda ao separador Recoletores de registos, na parte superior.

    1. Clique em Adicionar recoletor de registos.
    2. Dê um nome ao recoletor de registos.
    3. Introduza o endereço IP do anfitrião (endereço IP privado) da máquina que utilizará para implantar o Docker. O endereço IP do anfitrião pode ser substituído pelo nome da máquina, se houver um servidor DNS (ou equivalente) que resolva o nome de anfitrião.
    4. Selecione todas as fontes de dados que pretende ligar ao coletor e clique em Update para guardar a configuração.

    Selecione fontes de dados para ligar.

  4. Mais informações de implantação aparecerão. Copie o comando de execução a partir do diálogo. Pode utilizar a cópia para o ícone da área de transferência. cópia para ícone de área de transferência.

  5. Exporte a configuração esperada da fonte de dados. Esta configuração descreve como deve definir a exportação de registos nos seus aparelhos.

    Crie um colecionador de registos.

    Nota

    • Um único recoletor de registos consegue processar várias origens de dados.
    • Copie o conteúdo do ecrã, uma vez que necessitará das informações quando configurar o Recoletor de Registos para comunicar com o Cloud App Security. Se selecionou Syslog, estas informações incluirão informações sobre que porta o serviço de escuta do Syslog que está a escutar.
    • Para os utilizadores que enviam dados de registo via FTP pela primeira vez, recomendamos a alteração da palavra-passe para o utilizador FTP. Para obter mais informações, consulte alterar a palavra-passe FTP.

Passo 2 - Implantação no local da sua máquina

Os seguintes passos descrevem a implantação em Ubuntu.

Nota

As etapas de implantação de outras plataformas suportadas podem ser ligeiramente diferentes.

  1. Abra um terminal na sua máquina Ubuntu.

  2. Alterar para privilégios de raiz usando o comando: sudo -i

  3. Para contornar um representante na sua rede, execute os seguintes dois comandos:

    export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
    export https_proxy='<IP>:<PORT>'
    
  4. Se aceitar os termos da licença de software,desinstale as versões antigas e instale o Docker CE executando os comandos apropriados para o seu ambiente:

  1. Remova as versões antigas de Docker: yum erase docker docker-engine docker.io

  2. Instalar pré-requisitos do motor Docker: yum install -y yum-utils

  3. Adicione o repositório do Docker:

    yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
    yum makecache
    
  4. Instalar o motor Docker: yum -y install docker-ce

  5. Iniciar Docker

    systemctl start docker
    systemctl enable docker
    
  6. Instalação test Docker: docker run hello-world

  1. Desloque a imagem do coletor na máquina de hospedagem importando a configuração do coletor. Importe a configuração copiando o comando de execução gerado no portal. Se precisar de configurar um representante, adicione o endereço IP proxy e o número da porta. Por exemplo, se os seus dados de procuração forem 192.168.10.1:8080, o seu comando de execução atualizado é:

    (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1-rs.adallom.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    Crie um colecionador de registos.

  2. Verifique se o coletor está a funcionar corretamente com o seguinte comando: docker logs <collector_name>

Deve ver a mensagem: Termine com sucesso!  Ordene que o Docker esteja a funcionar corretamente.

Passo 3 - Configuração no local dos seus aparelhos de rede

Configure as suas firewalls e proxies de rede para exportar periodicamente registos para a porta Syslog dedicada ou para o diretório FTP de acordo com as instruções do diálogo. Por exemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Passo 4 - Verifique a implementação bem sucedida no portal Cloud App Security

Verifique o estado do coletor na tabela do coletor log e certifique-se de que o estado está ligado. Se for criado, é possível que a ligação e a análise do colecionador de madeira ainda não tenham terminado.

Verifique a implementação bem sucedida do coletor de registos.

Também pode ir ao registo de Governação e verificar se os registos estão a ser carregados periodicamente para o portal.

Em alternativa, pode verificar o estado do coletor de registos dentro do recipiente do estivador utilizando os seguintes comandos:

  1. Faça login no recipiente utilizando este comando: docker exec -it <Container Name> bash
  2. Verifique o estado do coletor de registo utilizando este comando: collector_status -p

Se tiver problemas durante a implementação, consulte Troubleshooting Cloud Discovery.

Opcional - Criar relatórios contínuos personalizados

Verifique se os registos estão a ser enviados para Cloud App Security e que os relatórios são gerados. Após verificação, crie relatórios personalizados. Pode criar relatórios de descoberta personalizados com base em Azure Ative Directory grupos de utilizadores. Por exemplo, se quiser ver o uso em nuvem do seu departamento de marketing, importe o grupo de marketing utilizando a funcionalidade do grupo de utilizadores de importação. Em seguida, crie um relatório personalizado para este grupo. Também pode personalizar um relatório com base na etiqueta de endereço IP ou nos intervalos de endereços IP.

  1. No portal Cloud App Security, sob a engrenagem Definições, selecione as definições de Cloud Discovery e, em seguida, selecione Relatórios Contínuos.

  2. Clique no botão 'Criar' e preencha os campos.

  3. Sob os Filtros pode filtrar os dados por fonte de dados, por grupo de utilizadores importados,ou por etiquetas e intervalos de endereços IP.

    Nota

    Ao aplicar filtros em relatórios contínuos, a seleção será incluída, não excluída. Por exemplo, se aplicar um filtro num determinado grupo de utilizadores, apenas esse grupo de utilizadores será incluído no relatório.

    Relatório contínuo personalizado.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.