Docker no Linux no Azure

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Pode configurar o upload automático de registos para relatórios contínuos em Cloud App Security utilizando um Docker em Ubuntu, Red Hat Enterprise Linux (RHEL) ou CentOS em Azure.

Pré-requisitos

  • SO:

    • Ubuntu 14.04, 16.04 e 18.04
    • RHEL 7.2 ou superior
    • CentOS 7.2 ou superior
  • Espaço em disco: 250 GB

  • Núcleos cpu: 2

  • CpU Architecture: Intel® 64 e AMD 64

  • RAM: 4 GB

  • Descreva a sua firewall como descrito nos requisitos da Rede

Nota

Se tiver um colecionador de registos existente e quiser removê-lo antes de o voltar a implantar, ou se simplesmente quiser removê-lo, execute os seguintes comandos:

docker stop <collector_name>
docker rm <collector_name>

Desempenho do recoletor de registos

O coletor de Log pode lidar com sucesso com a capacidade de registo de até 50 GB por hora, composto por até 10 fontes de dados. Os principais limites do processo de recolha de registos são:

  • Largura de banda da rede - A largura de banda da rede determina a velocidade de upload do registo.

  • Desempenho de I/O da máquina virtual - Determina a velocidade a que os registos são escritos no disco do colecionador de registos. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a taxa a que os registos são recebidos e compara-a com a taxa de carregamento. Em caso de congestionamento, o recoletor começa a largar ficheiros de registo. Se a sua configuração normalmente exceder 50 GB por hora, recomendamos que divida o tráfego entre vários colecionadores de madeira.

Nota

Se necessitar de mais de 10 fontes de dados, recomendamos que divida as fontes de dados entre vários colecionadores de registos.

Instalação e configuração

  1. Aceda à página de definições de upload automático de registos.

    1. No portal Cloud App Securityclique no ícone de definições seguido de Colecionadores de Registo.

    ícone de definições.

  2. Para cada firewall ou procuração a partir do qual pretende fazer o upload de registos, crie uma fonte de dados correspondente.

    1. Clique em Adicionar origem de dados.
      Adicione uma fonte de dados.
    2. Dê um nome ao proxy ou à firewall.
      Nome para procuração ou firewall.
    3. Selecione a aplicação na lista Origem. Se selecionar o formato de registo personalizado para trabalhar com um aparelho de rede que não esteja listado, consulte trabalhar com o parser de registo personalizado para obter instruções de configuração.
    4. Compare o registo com o exemplo do formato de registo esperado. Se o seu formato de ficheiro de registo não corresponder a esta amostra, deverá adicionar a sua fonte de dados como Outro .
    5. Desaceia o tipo recetor a FTP, FTPS, Syslog – UDP, ou Syslog – TCP, ou Syslog – TLS.

    Nota

    A integração com protocolos de transferência seguros (FTPS e Syslog – TLS) requer frequentemente definições adicionais ou a sua firewall/proxy.

    f. Repita este processo para cada firewall e proxy cujos registos podem ser utilizados para detetar o tráfego na sua rede. Recomenda-se a criação de uma fonte de dados dedicada por dispositivo de rede para lhe permitir:

    • Monitorize separadamente o estado de cada dispositivo, para fins de investigação.
    • Explore o Shadow IT Discovery por dispositivo, se cada dispositivo for utilizado por um segmento de utilizador diferente.
  3. Aceda ao separador Recoletores de registos, na parte superior.

    1. Clique em Adicionar recoletor de registos.
    2. Dê um nome ao recoletor de registos.
    3. Introduza o endereço IP do anfitrião (endereço IP privado) da máquina que utilizará para implantar o Docker. O endereço IP do anfitrião pode ser substituído pelo nome da máquina, se houver um servidor DNS (ou equivalente) que resolva o nome de anfitrião.
    4. Selecione todas as fontes de dados que pretende ligar ao coletor e clique em Update para guardar a configuração.
      Selecione fontes de dados.
  4. Mais informações de implantação aparecerão. Copie o comando de execução a partir do diálogo. Pode utilizar a cópia para o ícone da área de transferência. cópia para ícone de área de transferência.

  5. Exporte a configuração esperada da fonte de dados. Esta configuração descreve como deve definir a exportação de registos nos seus aparelhos.

    Crie um colecionador de registos.

    Nota

    • Um único recoletor de registos consegue processar várias origens de dados.
    • Copie o conteúdo do ecrã, uma vez que necessitará das informações quando configurar o Recoletor de Registos para comunicar com o Cloud App Security. Se selecionou Syslog, estas informações incluirão informações sobre que porta o serviço de escuta do Syslog que está a escutar.
    • Para os utilizadores que enviam dados de registo via FTP pela primeira vez, recomendamos a alteração da palavra-passe para o utilizador FTP. Para obter mais informações, consulte alterar a palavra-passe FTP.

Passo 2 - Implantação da sua máquina em Azure

Nota

Os seguintes passos descrevem a implantação em Ubuntu. Os passos de implantação de outras plataformas são ligeiramente diferentes.

  1. Crie uma nova máquina Ubuntu no seu ambiente Azure.

  2. Depois de a máquina estar aberta, abra as portas por:

    1. Na vista da máquina, vá ao Networking selecione a interface relevante clicando duas vezes nela.
    2. Vá ao grupo de segurança da Rede e selecione o grupo de segurança de rede relevante.
    3. Vá às regras de segurança de Entrada e clique em Adicionar, Adicione  as regras de segurança de entrada.
    4. Adicione as seguintes regras (em modo Avançado):
    Name Intervalos de portas de destino Protocolo Origem Destino
    caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Qualquer
    caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Qualquer
    caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Qualquer
    caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Qualquer

    Regras Ubuntu Azure.

  3. Volte para a máquina e clique Ligação para abrir um terminal na máquina.

  4. Alterar para privilégios de raiz usando sudo -i .

  5. Se aceitar os termos da licença de software,desinstale as versões antigas e instale o Docker CE executando os comandos apropriados para o seu ambiente:

  1. Remova as versões antigas de Docker: yum erase docker docker-engine docker.io

  2. Instalar pré-requisitos do motor Docker: yum install -y yum-utils

  3. Adicione o repositório do Docker:

    yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
    yum makecache
    
  4. Instalar o motor Docker: yum -y install docker-ce

  5. Iniciar Docker

    systemctl start docker
    systemctl enable docker
    
  6. Instalação test Docker: docker run hello-world

  1. No portal Cloud App Security na janela do novo coletor de madeira, copie o comando para importar a configuração do coletor na máquina de hospedagem:

    Copiar o comando para importar a configuração do coletor na máquina de hospedagem.

  2. Executar o comando para implantar o colecionador de registos.

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    Procuração ubuntu.

  3. Para verificar se o coletor de registo está a funcionar corretamente, verifique o seguinte comando: Docker logs <collector_name> . Deve obter os resultados: Termine com sucesso!

    Ordenar para verificar se o colecionador de registo está a funcionar corretamente.

Passo 3 - Configuração no local dos seus aparelhos de rede

Configure as suas firewalls e proxies de rede para exportar periodicamente registos para a porta Syslog dedicada do diretório FTP de acordo com as instruções do diálogo. Por exemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Passo 4 - Verifique a implementação bem sucedida no portal Cloud App Security

Verifique o estado do coletor na tabela do coletor log e certifique-se de que o estado está ligado. Se for criado, é possível que a ligação e a análise do colecionador de madeira ainda não tenham terminado.

Verifique o estado do colecionador no coletor de registos.

Também pode ir ao registo de Governação e verificar se os registos estão a ser carregados periodicamente para o portal.

Em alternativa, pode verificar o estado do coletor de registos dentro do recipiente do estivador utilizando os seguintes comandos:

  1. Faça login no recipiente utilizando este comando: docker exec -it <Container Name> bash
  2. Verifique o estado do coletor de registo utilizando este comando: collector_status -p

Se tiver problemas durante a implementação, consulte Troubleshooting Cloud Discovery.

Opcional - Criar relatórios contínuos personalizados

Verifique se os registos estão a ser enviados para Cloud App Security e que os relatórios são gerados. Após verificação, crie relatórios personalizados. Pode criar relatórios de descoberta personalizados com base em Azure Ative Directory grupos de utilizadores. Por exemplo, se quiser ver o uso em nuvem do seu departamento de marketing, importe o grupo de marketing utilizando a funcionalidade do grupo de utilizadores de importação. Em seguida, crie um relatório personalizado para este grupo. Também pode personalizar um relatório com base na etiqueta de endereço IP ou nos intervalos de endereços IP.

  1. No portal Cloud App Security, sob a engrenagem Definições, selecione as definições de Cloud Discovery e, em seguida, selecione Relatórios Contínuos.

  2. Clique no botão 'Criar' e preencha os campos.

  3. Sob os Filtros pode filtrar os dados por fonte de dados, por grupo de utilizadores importados,ou por etiquetas e intervalos de endereços IP.

    Nota

    Ao aplicar filtros em relatórios contínuos, a seleção será incluída, não excluída. Por exemplo, se aplicar um filtro num determinado grupo de utilizadores, apenas esse grupo de utilizadores será incluído no relatório.

    Relatório contínuo personalizado.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.