Docker no Linux no Azure
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Pode configurar o upload automático de registos para relatórios contínuos em Cloud App Security utilizando um Docker em Ubuntu, Red Hat Enterprise Linux (RHEL) ou CentOS em Azure.
Pré-requisitos
SO:
- Ubuntu 14.04, 16.04 e 18.04
- RHEL 7.2 ou superior
- CentOS 7.2 ou superior
Espaço em disco: 250 GB
Núcleos cpu: 2
CpU Architecture: Intel® 64 e AMD 64
RAM: 4 GB
Descreva a sua firewall como descrito nos requisitos da Rede
Nota
Se tiver um colecionador de registos existente e quiser removê-lo antes de o voltar a implantar, ou se simplesmente quiser removê-lo, execute os seguintes comandos:
docker stop <collector_name>
docker rm <collector_name>
Desempenho do recoletor de registos
O coletor de Log pode lidar com sucesso com a capacidade de registo de até 50 GB por hora, composto por até 10 fontes de dados. Os principais limites do processo de recolha de registos são:
Largura de banda da rede - A largura de banda da rede determina a velocidade de upload do registo.
Desempenho de I/O da máquina virtual - Determina a velocidade a que os registos são escritos no disco do colecionador de registos. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a taxa a que os registos são recebidos e compara-a com a taxa de carregamento. Em caso de congestionamento, o recoletor começa a largar ficheiros de registo. Se a sua configuração normalmente exceder 50 GB por hora, recomendamos que divida o tráfego entre vários colecionadores de madeira.
Nota
Se necessitar de mais de 10 fontes de dados, recomendamos que divida as fontes de dados entre vários colecionadores de registos.
Instalação e configuração
Passo 1 – configuração do portal Web: definir origens de dados e ligá-los a um recoletor de registo
Aceda à página de definições de upload automático de registos.
- No portal Cloud App Securityclique no ícone de definições seguido de Colecionadores de Registo.

Para cada firewall ou procuração a partir do qual pretende fazer o upload de registos, crie uma fonte de dados correspondente.
- Clique em Adicionar origem de dados.

- Dê um nome ao proxy ou à firewall.

- Selecione a aplicação na lista Origem. Se selecionar o formato de registo personalizado para trabalhar com um aparelho de rede que não esteja listado, consulte trabalhar com o parser de registo personalizado para obter instruções de configuração.
- Compare o registo com o exemplo do formato de registo esperado. Se o seu formato de ficheiro de registo não corresponder a esta amostra, deverá adicionar a sua fonte de dados como Outro .
- Desaceia o tipo recetor a FTP, FTPS, Syslog – UDP, ou Syslog – TCP, ou Syslog – TLS.
Nota
A integração com protocolos de transferência seguros (FTPS e Syslog – TLS) requer frequentemente definições adicionais ou a sua firewall/proxy.
f. Repita este processo para cada firewall e proxy cujos registos podem ser utilizados para detetar o tráfego na sua rede. Recomenda-se a criação de uma fonte de dados dedicada por dispositivo de rede para lhe permitir:
- Monitorize separadamente o estado de cada dispositivo, para fins de investigação.
- Explore o Shadow IT Discovery por dispositivo, se cada dispositivo for utilizado por um segmento de utilizador diferente.
- Clique em Adicionar origem de dados.
Aceda ao separador Recoletores de registos, na parte superior.
- Clique em Adicionar recoletor de registos.
- Dê um nome ao recoletor de registos.
- Introduza o endereço IP do anfitrião (endereço IP privado) da máquina que utilizará para implantar o Docker. O endereço IP do anfitrião pode ser substituído pelo nome da máquina, se houver um servidor DNS (ou equivalente) que resolva o nome de anfitrião.
- Selecione todas as fontes de dados que pretende ligar ao coletor e clique em Update para guardar a configuração.

Mais informações de implantação aparecerão. Copie o comando de execução a partir do diálogo. Pode utilizar a cópia para o ícone da área de transferência.

Exporte a configuração esperada da fonte de dados. Esta configuração descreve como deve definir a exportação de registos nos seus aparelhos.

Nota
- Um único recoletor de registos consegue processar várias origens de dados.
- Copie o conteúdo do ecrã, uma vez que necessitará das informações quando configurar o Recoletor de Registos para comunicar com o Cloud App Security. Se selecionou Syslog, estas informações incluirão informações sobre que porta o serviço de escuta do Syslog que está a escutar.
- Para os utilizadores que enviam dados de registo via FTP pela primeira vez, recomendamos a alteração da palavra-passe para o utilizador FTP. Para obter mais informações, consulte alterar a palavra-passe FTP.
Passo 2 - Implantação da sua máquina em Azure
Nota
Os seguintes passos descrevem a implantação em Ubuntu. Os passos de implantação de outras plataformas são ligeiramente diferentes.
Crie uma nova máquina Ubuntu no seu ambiente Azure.
Depois de a máquina estar aberta, abra as portas por:
- Na vista da máquina, vá ao Networking selecione a interface relevante clicando duas vezes nela.
- Vá ao grupo de segurança da Rede e selecione o grupo de segurança de rede relevante.
- Vá às regras de segurança de Entrada e clique em Adicionar, Adicione

- Adicione as seguintes regras (em modo Avançado):
Name Intervalos de portas de destino Protocolo Origem Destino caslogcollector_ftp 21 TCP Your appliance's IP address's subnetQualquer caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnetQualquer caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnetQualquer caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnetQualquer 
Volte para a máquina e clique Ligação para abrir um terminal na máquina.
Alterar para privilégios de raiz usando
sudo -i.Se aceitar os termos da licença de software,desinstale as versões antigas e instale o Docker CE executando os comandos apropriados para o seu ambiente:
Remova as versões antigas de Docker:
yum erase docker docker-engine docker.ioInstalar pré-requisitos do motor Docker:
yum install -y yum-utilsAdicione o repositório do Docker:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecacheInstalar o motor Docker:
yum -y install docker-ceIniciar Docker
systemctl start docker systemctl enable dockerInstalação test Docker:
docker run hello-world
No portal Cloud App Security na janela do novo coletor de madeira, copie o comando para importar a configuração do coletor na máquina de hospedagem:

Executar o comando para implantar o colecionador de registos.
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Para verificar se o coletor de registo está a funcionar corretamente, verifique o seguinte comando:
Docker logs <collector_name>. Deve obter os resultados: Termine com sucesso!
Passo 3 - Configuração no local dos seus aparelhos de rede
Configure as suas firewalls e proxies de rede para exportar periodicamente registos para a porta Syslog dedicada do diretório FTP de acordo com as instruções do diálogo. Por exemplo:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Passo 4 - Verifique a implementação bem sucedida no portal Cloud App Security
Verifique o estado do coletor na tabela do coletor log e certifique-se de que o estado está ligado. Se for criado, é possível que a ligação e a análise do colecionador de madeira ainda não tenham terminado.

Também pode ir ao registo de Governação e verificar se os registos estão a ser carregados periodicamente para o portal.
Em alternativa, pode verificar o estado do coletor de registos dentro do recipiente do estivador utilizando os seguintes comandos:
- Faça login no recipiente utilizando este comando:
docker exec -it <Container Name> bash - Verifique o estado do coletor de registo utilizando este comando:
collector_status -p
Se tiver problemas durante a implementação, consulte Troubleshooting Cloud Discovery.
Opcional - Criar relatórios contínuos personalizados
Verifique se os registos estão a ser enviados para Cloud App Security e que os relatórios são gerados. Após verificação, crie relatórios personalizados. Pode criar relatórios de descoberta personalizados com base em Azure Ative Directory grupos de utilizadores. Por exemplo, se quiser ver o uso em nuvem do seu departamento de marketing, importe o grupo de marketing utilizando a funcionalidade do grupo de utilizadores de importação. Em seguida, crie um relatório personalizado para este grupo. Também pode personalizar um relatório com base na etiqueta de endereço IP ou nos intervalos de endereços IP.
No portal Cloud App Security, sob a engrenagem Definições, selecione as definições de Cloud Discovery e, em seguida, selecione Relatórios Contínuos.
Clique no botão 'Criar' e preencha os campos.
Sob os Filtros pode filtrar os dados por fonte de dados, por grupo de utilizadores importados,ou por etiquetas e intervalos de endereços IP.
Nota
Ao aplicar filtros em relatórios contínuos, a seleção será incluída, não excluída. Por exemplo, se aplicar um filtro num determinado grupo de utilizadores, apenas esse grupo de utilizadores será incluído no relatório.

Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.