Docker no Linux no local
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Pode configurar o upload automático de registos para relatórios contínuos em Cloud App Security usando um Docker num Ubuntu, Red Hat Enterprise Linux (RHEL) ou servidor CentOS.
Pré-requisitos
SO:
- Ubuntu 14.04, 16.04 e 18.04
- RHEL 7.2 ou superior
- CentOS 7.2 ou superior
Espaço em disco: 250 GB
Núcleos cpu: 2
CpU Architecture: Intel® 64 e AMD 64
RAM: 4 GB
Descreva a sua firewall como descrito nos requisitos da Rede
Nota
Se tiver um colecionador de registos existente e quiser removê-lo antes de o voltar a implantar, ou se simplesmente quiser removê-lo, execute os seguintes comandos:
docker stop <collector_name>
docker rm <collector_name>
Desempenho do recoletor de registos
O recoletor de registos pode processar com êxito uma capacidade de registos de até 50 GB por hora. Os principais limites do processo de recolha de registos são:
Largura de banda da rede - A largura de banda da rede determina a velocidade de upload do registo.
Desempenho de I/O da máquina virtual - Determina a velocidade a que os registos são escritos no disco do colecionador de registos. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a taxa a que os registos são recebidos e compara-a com a taxa de carregamento. Em caso de congestionamento, o recoletor começa a largar ficheiros de registo. Se a sua configuração normalmente exceder 50 GB por hora, recomenda-se que divida o tráfego entre vários colecionadores de madeira.
Instalação e configuração
Passo 1 – configuração do portal Web: definir origens de dados e ligá-los a um recoletor de registo
Aceda à página de definições de upload automático de registos.
- No portal Cloud App Securityclique no ícone de definições seguido de Colecionadores de Registo.

Para cada firewall ou procuração a partir do qual pretende fazer o upload de registos, crie uma fonte de dados correspondente.
- Clique em Adicionar origem de dados.

- Dê um nome ao proxy ou à firewall.

- Selecione a aplicação na lista Origem. Se selecionar o formato de registo personalizado para trabalhar com um aparelho de rede que não esteja listado, consulte trabalhar com o parser de registo personalizado para obter instruções de configuração.
- Compare o registo com o exemplo do formato de registo esperado. Se o seu formato de ficheiro de registo não corresponder a esta amostra, deverá adicionar a sua fonte de dados como Outro .
- Desaceia o tipo recetor a FTP, FTPS, Syslog – UDP, ou Syslog – TCP, ou Syslog – TLS.
Nota
A integração com protocolos de transferência seguros (FTPS e Syslog – TLS) requer frequentemente definições adicionais ou a sua firewall/proxy.
f. Repita este processo para cada firewall e proxy cujos registos podem ser utilizados para detetar o tráfego na sua rede. Recomenda-se a criação de uma fonte de dados dedicada por dispositivo de rede para lhe permitir:
- Monitorize separadamente o estado de cada dispositivo, para fins de investigação.
- Explore o Shadow IT Discovery por dispositivo, se cada dispositivo for utilizado por um segmento de utilizador diferente.
- Clique em Adicionar origem de dados.
Aceda ao separador Recoletores de registos, na parte superior.
- Clique em Adicionar recoletor de registos.
- Dê um nome ao recoletor de registos.
- Introduza o endereço IP do anfitrião (endereço IP privado) da máquina que utilizará para implantar o Docker. O endereço IP do anfitrião pode ser substituído pelo nome da máquina, se houver um servidor DNS (ou equivalente) que resolva o nome de anfitrião.
- Selecione todas as fontes de dados que pretende ligar ao coletor e clique em Update para guardar a configuração.

Mais informações de implantação aparecerão. Copie o comando de execução a partir do diálogo. Pode utilizar a cópia para o ícone da área de transferência.

Exporte a configuração esperada da fonte de dados. Esta configuração descreve como deve definir a exportação de registos nos seus aparelhos.

Nota
- Um único recoletor de registos consegue processar várias origens de dados.
- Copie o conteúdo do ecrã, uma vez que necessitará das informações quando configurar o Recoletor de Registos para comunicar com o Cloud App Security. Se selecionou Syslog, estas informações incluirão informações sobre que porta o serviço de escuta do Syslog que está a escutar.
- Para os utilizadores que enviam dados de registo via FTP pela primeira vez, recomendamos a alteração da palavra-passe para o utilizador FTP. Para obter mais informações, consulte alterar a palavra-passe FTP.
Passo 2 - Implantação no local da sua máquina
Os seguintes passos descrevem a implantação em Ubuntu.
Nota
As etapas de implantação de outras plataformas suportadas podem ser ligeiramente diferentes.
Abra um terminal na sua máquina Ubuntu.
Alterar para privilégios de raiz usando o comando:
sudo -iPara contornar um representante na sua rede, execute os seguintes dois comandos:
export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888) export https_proxy='<IP>:<PORT>'Se aceitar os termos da licença de software,desinstale as versões antigas e instale o Docker CE executando os comandos apropriados para o seu ambiente:
Remova as versões antigas de Docker:
yum erase docker docker-engine docker.ioInstalar pré-requisitos do motor Docker:
yum install -y yum-utilsAdicione o repositório do Docker:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecacheInstalar o motor Docker:
yum -y install docker-ceIniciar Docker
systemctl start docker systemctl enable dockerInstalação test Docker:
docker run hello-world
Desloque a imagem do coletor na máquina de hospedagem importando a configuração do coletor. Importe a configuração copiando o comando de execução gerado no portal. Se precisar de configurar um representante, adicione o endereço IP proxy e o número da porta. Por exemplo, se os seus dados de procuração forem 192.168.10.1:8080, o seu comando de execução atualizado é:
(echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1-rs.adallom.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Verifique se o coletor está a funcionar corretamente com o seguinte comando:
docker logs <collector_name>
Deve ver a mensagem: Termine com sucesso!

Passo 3 - Configuração no local dos seus aparelhos de rede
Configure as suas firewalls e proxies de rede para exportar periodicamente registos para a porta Syslog dedicada ou para o diretório FTP de acordo com as instruções do diálogo. Por exemplo:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Passo 4 - Verifique a implementação bem sucedida no portal Cloud App Security
Verifique o estado do coletor na tabela do coletor log e certifique-se de que o estado está ligado. Se for criado, é possível que a ligação e a análise do colecionador de madeira ainda não tenham terminado.

Também pode ir ao registo de Governação e verificar se os registos estão a ser carregados periodicamente para o portal.
Em alternativa, pode verificar o estado do coletor de registos dentro do recipiente do estivador utilizando os seguintes comandos:
- Faça login no recipiente utilizando este comando:
docker exec -it <Container Name> bash - Verifique o estado do coletor de registo utilizando este comando:
collector_status -p
Se tiver problemas durante a implementação, consulte Troubleshooting Cloud Discovery.
Opcional - Criar relatórios contínuos personalizados
Verifique se os registos estão a ser enviados para Cloud App Security e que os relatórios são gerados. Após verificação, crie relatórios personalizados. Pode criar relatórios de descoberta personalizados com base em Azure Ative Directory grupos de utilizadores. Por exemplo, se quiser ver o uso em nuvem do seu departamento de marketing, importe o grupo de marketing utilizando a funcionalidade do grupo de utilizadores de importação. Em seguida, crie um relatório personalizado para este grupo. Também pode personalizar um relatório com base na etiqueta de endereço IP ou nos intervalos de endereços IP.
No portal Cloud App Security, sob a engrenagem Definições, selecione as definições de Cloud Discovery e, em seguida, selecione Relatórios Contínuos.
Clique no botão 'Criar' e preencha os campos.
Sob os Filtros pode filtrar os dados por fonte de dados, por grupo de utilizadores importados,ou por etiquetas e intervalos de endereços IP.
Nota
Ao aplicar filtros em relatórios contínuos, a seleção será incluída, não excluída. Por exemplo, se aplicar um filtro num determinado grupo de utilizadores, apenas esse grupo de utilizadores será incluído no relatório.

Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.