Gestão avançada do recoletor de registos

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Este artigo fornece informações sobre as seguintes opções avançadas de configuração para Cloud App Security colecionadores de registo Cloud Discovery:

Modificar a configuração FTP do colecionador de registos

Utilize estes passos para modificar a configuração para o seu Cloud App Security Cloud Discovery Docker.

Implantação de estivador

Pode ser necessário modificar a configuração para o Cloud App Security Cloud Discovery Docker.

Alterar a palavra-passe de FTP

  1. Ligação ao anfitrião do colecionador de registos.

  2. Executar docker exec -it <collector name> pure-pw passwd <ftp user>

    1. Insira a nova senha.
    2. Introduza nova palavra-passe novamente para confirmação.
  3. Corra docker exec -it <collector name> pure-pw mkdb para aplicar a mudança.

    alterar a palavra-passe ftp.

Personalizar ficheiros de certificados

Siga este procedimento para personalizar os ficheiros de certificado que utiliza para ligações seguras ao Cloud Discovery Docker.

  1. Abra um cliente FTP e ligue-se ao colecionador de registos.

    Ligação ao cliente da FTP.

  2. Navegue para o ssl_update diretório.

  3. Faça o upload de novos ficheiros de certificados para o ssl_update diretório (os nomes são obrigatórios).

    Faça upload de ficheiros de certificados.

    • Para a FTP: Só é necessário um ficheiro. O ficheiro tem os dados da chave e do certificado, por essa ordem, e é nomeado pure-ftpd.pem.
    • Para Syslog: São necessários três ficheiros: **ca.pem,****server-key.pem e server-cert.pem. Se algum dos ficheiros estiver em falta, a atualização não será efetuada.
  4. Numa janela terminal: docker exec -t <collector name> update_certs . O comando deve produzir uma saída semelhante à que é vista na imagem seguinte.

    Atualizar ficheiros de certificados.

  5. Numa janela terminal: docker exec <collector name> chmod -R 700 /etc/ssl/private/ .

Ativar o colecionador de registo por trás de um proxy

Depois de configurar o colecionador de registos, se estiver a correr atrás de um representante, o colecionador de registos pode ter problemas em enviar dados para Cloud App Security. Isto pode acontecer porque o colecionador de registos não confia na autoridade de certificados de raiz do proxy e não é capaz de se conectar a Microsoft Cloud App Security para recuperar a sua configuração ou carregar os registos recebidos.

Utilize estes passos para ativar o seu colecionador de registos atrás de um representante.

Nota

Para obter informações sobre como alterar os certificados utilizados pelo colecionador de registos para Syslog ou FTP, e para resolver problemas de conectividade das firewalls e proxies para o colecionador de registos, consulte Modificar a configuração FTP do colecionador de registos.

Configurar o colecionador de registos por trás de um proxy

Certifique-se de que executou os passos necessários para executar Docker numa máquina de Windows ou Linux e descarregue com sucesso a imagem do Cloud App Security Docker na máquina. Para obter mais informações, consulte o upload automático de registos de configuração para obter relatórios contínuos.

Validar a criação de recipiente de coletor de madeira de estivador

Na concha, verifique se o contentor foi criado e está em funcionamento utilizando o seguinte comando:

docker ps

docker ps.

Copiar certificado de CA raiz de proxy para o recipiente

Da sua máquina virtual, copie o certificado de AC para o recipiente Cloud App Security. No exemplo seguinte, o recipiente chama-se Ubuntu-LogCollector e o certificado ca chama-se Proxy-CA.crt. Executar o comando no anfitrião Ubuntu. Copia o certificado a uma pasta no recipiente de funcionamento:

docker cp Proxy-CA.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery

Desa cos para trabalhar com o certificado de CA

  1. Entre no recipiente, utilizando o seguinte comando. Abrirá a festa no recipiente do coletor de madeira:

    docker exec -it Ubuntu-LogCollector /bin/bash
    
  2. De uma janela de festa dentro do recipiente, vá para a jre pasta Java. Para evitar um erro de percurso relacionado com a versão, utilize este comando:

    cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)"
    cd bin
    
  3. Importe o certificado de raiz que copiou anteriormente, da pasta de descoberta para a Loja De Chaves de Java e defina uma palavra-passe. A palavra-passe padrão é "changeit". Para obter informações sobre a alteração da palavra-passe, consulte Como alterar a palavra-passe Java KeyStore.

    ./keytool --import --noprompt --trustcacerts --alias SelfSignedCert --file /var/adallom/ftp/discovery/Proxy-CA.crt --keystore ../lib/security/cacerts --storepass <password>
    
  4. Validar que o certificado foi importado corretamente para a loja de chaves CA, utilizando o seguinte comando para procurar o pseudónimo que forneceu durante a importação (SelfSignedCert):

    ./keytool --list --keystore ../lib/security/cacerts | grep self
    

    keytool.

Devia ver o certificado de procuração importado.

Desa estaride o colecionador de registos para executar com a nova configuração

O contentor está pronto.

Executar o comando collector_config utilizando o token API que usou durante a criação do seu colecionador de registos:

Ficha API.

Quando executar o comando, especifique o seu próprio token API:

collector_config abcd1234abcd1234abcd1234abcd1234 ${CONSOLE} ${COLLECTOR}

Atualização de configuração.

O colecionador de registos é agora capaz de comunicar com Cloud App Security. Após o envio de dados, o estado passará de Saudável para Conectado no portal Cloud App Security.

Estado.

Nota

Se tiver de atualizar a configuração do colecionador de registos, para adicionar ou remover uma fonte de dados, por exemplo, normalmente tem de apagar o recipiente e executar novamente os passos anteriores. Para evitar isto, pode recorrê-la na ferramenta collector_config com o novo token API gerado no portal Cloud App Security.

Como alterar a palavra-passe Java KeyStore

  1. Pare o servidor Java KeyStore.
  1. Abra uma casca de bata no interior do recipiente e vá para a pasta appdata/conf.

  2. Altere a palavra-passe KeyStore do servidor utilizando este comando:

    keytool -storepasswd -new newStorePassword -keystore server.keystore
    -storepass changeit
    

    Nota

    A palavra-passe do servidor predefinido é changeit.

  3. Altere a palavra-passe do certificado utilizando este comando:

    keytool -keypasswd -alias server -keypass changeit -new newKeyPassword -keystore server.keystore -storepass newStorePassword
    

    Nota

    O pseudónimo do servidor predefinido é servidor.

  4. Num editor de texto, abra o ficheiro de propriedades instalado\conf\server\secureed.properties e, em seguida, adicione as seguintes linhas de código e, em seguida, guarde as alterações:

    1. Especifique a nova palavra-passe Java KeyStore para o servidor: server.keystore.password=newStorePassword
    2. Especifique a nova senha de certificado para o servidor: server.key.password=newKeyPassword
  5. Inicie o servidor.

Mover o colecionador de registos para uma partição de dados diferente no Linux

Muitas empresas têm a obrigação de mover dados para uma divisão separada. Use estes passos para mover as imagens de Cloud App Security Docker para uma partição de dados no seu anfitrião Linux.

Os passos seguintes descrevem a deslocação de dados para uma partição chamada datastore e assume que já montou a partição.

Nota

Adicionar e configurar uma nova partição no seu anfitrião Linux não está no âmbito deste guia.

Lista de divisórias Linux.

  1. Parar o serviço Docker utilizando este comando:

    service docker stop
    
  2. Mover os dados do colecionador de registos para a nova partição utilizando este comando:

    mv /var/lib/docker /datastore/docker
    
  3. Remova o antigo diretório de armazenamento docker (/var/lib/docker) e crie uma ligação simbólica com o novo diretório (/datastore/docker).

    rm -rf /var/lib/docker && ln -s /datastore/docker /var/lib/
    
  4. Inicie o serviço Docker utilizando este comando:

    service docker start
    
  5. Verifique opcionalmente o estado do seu coletor de registo utilizando este comando:

    docker ps
    

Inspecione a utilização do disco de colecionador de registos no Linux

Utilize estes passos para rever o uso e localização do disco do seu colecionador de registos.

  1. Identifique o caminho para o diretório onde os dados do colecionador de registos são armazenados utilizando este comando:

    docker inspect <collector_name> | grep WorkDir
    

    Identifique o diretório do colecionador de registos.

  2. Obtenha o tamanho do disco do colecionador de registos utilizando o caminho identificado sem o sufixo "/trabalho":

    du -sh /var/lib/docker/overlay2/<log_collector_id>/
    

    Obtenha o tamanho do colecionador de registo no disco.

    Nota

    Se precisar de saber o tamanho do disco, pode utilizar este comando: docker ps -s

Mova o colecionador de registo para um anfitrião acessível

Em ambientes regulados, o acesso aos Hubs Docker onde a imagem do colecionador de registos está hospedada pode ser bloqueado. Isto impede Cloud App Security de importar os dados do colecionador de registos e pode ser resolvido a minha deslocação da imagem do colecionador de registos para um hospedeiro acessível.

Use estes passos para descarregar a imagem do colecionador de registos usando um computador que tenha acesso ao Docker Hub e importá-lo para o seu anfitrião de destino.

Nota

Após o download, utilize o guia de instalação offline para instalar o seu sistema operativo.

Inicie o processo exportando a imagem do colecionador de registos e, em seguida, importe a imagem para o seu anfitrião de destino.

Exporte a imagem do colecionador de registos do seu Docker Hub

Utilize os passos relevantes para o sistema operativo do Docker Hub onde está localizada a imagem do coletor de registos.

Exportando a imagem em Linux

  1. Num computador Linux que tem acesso ao Docker Hub, executar o seguinte comando. Isto irá instalar o Docker e descarregar a imagem do colecionador de registos.

    curl -o /tmp/MCASInstallDocker.sh https://adaprodconsole.blob.core.windows.net/public-files/MCASInstallDocker.sh && chmod +x /tmp/MCASInstallDocker.sh; /tmp/MCASInstallDocker.sh
    
  2. Exporte a imagem do colecionador de registos.

    docker save --output /tmp/mcasLC.targ mcr.microsoft.com/mcas/logcollector
    chmod +r /tmp/mcasLC.tar
    

    Nota

    É importante usar o parâmetro de saída para escrever num ficheiro, em vez de STDOUT.

  3. Descarregue a imagem do colecionador de registos para o seu computador Windows C:\mcasLogCollector\ utilizando o WinSCP.

    Descarregue o colecionador de registos para Windows computador.

Exportando a imagem em Windows

  1. Num computador Windows 10 que tenha acesso ao Docker Hub, instale o Docker Desktop.

  2. Descarregue a imagem do colecionador de registos.

    docker login -u caslogcollector -p C0llector3nthusiast
    docker pull mcr.microsoft/mcas/logcollector
    
  3. Exporte a imagem do colecionador de registos.

    docker save --output C:\mcasLogCollector\mcasLC.targ mcr.microsoft.com/mcas/logcollector
    

    Nota

    É importante usar o parâmetro de saída para escrever num ficheiro, em vez de STDOUT.

Importe e carregue a imagem do colecionador de registos para o seu anfitrião de destino

Utilize estes passos para transferir a imagem exportada para o seu anfitrião de destino.

  1. Faça o upload da imagem do colecionador de registos para o anfitrião do seu destino em /tmp/ .

    Faça upload do colecionador de registos para o anfitrião do destino.

  2. No anfitrião do destino, importe a imagem do colecionador de registos para o repositório de imagens Docker utilizando este comando:

    docker load --input /tmp/mcasLC.tar
    

    Importe imagem de colecionador de registo para Docker repo.

  3. Opcionalmente, verifique se a importação foi concluída com sucesso utilizando este comando:

    docker image ls
    

    Verifique se a importação de imagem do colecionador de registos foi bem sucedida.

    Pode agora proceder à criação do seu colecionador de registos utilizando a imagem do anfitrião do destino.

Defina portas personalizadas para recetores Syslog e FTP para colecionadores de registos em Linux

Algumas organizações têm a obrigação de definir portas personalizadas para serviços Syslog e FTP. Ao adicionar uma fonte de dados, Cloud App Security os colecionadores de registos utilizam números de porta específicos para ouvir registos de tráfego de uma ou mais fontes de dados.

As seguintes listas de tabelas das portas de audição predefinidos para recetores:

Tipo recetor Portas
Syslog * UDP/514 - UDP/51x
* TCP/601 - TCP/60x
FTP * TCP/21

Utilize estes passos para definir portas personalizadas.

  1. Em Cloud App Security, clique no ícone de definições seguido de Colecionadores de Log.

  2. No separador 'Recí contar' com o registo, adicione ou edite um colecionador de registos e, após a atualização das fontes de dados, copie o comando de execução a partir do diálogo.

    O comando de execução de cópia do assistente de colecionador de registos.

    Nota

    Se utilizado conforme fornecido, o seguinte assistente fornecido configura o coletor de registo para utilizar as portas 514/udp e 515/udp.

    (echo <credentials>) | docker run --name LogCollector1 -p 514:514/udp -p 515:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    Executar o comando do assistente de colecionador de registos.

  3. Antes de utilizar o comando na sua máquina de anfitrião, modifique o comando para utilizar as suas portas personalizadas. Por exemplo, para configurar o colecionador de madeira para utilizar as portas UDP 414 e 415, altere o comando da seguinte forma:

    (echo <credentials>) | docker run --name LogCollector1 -p 414:514/udp -p 415:515/udp -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.0.0.100'" -e "PROXY=" -e "SYSLOG=true" -e "CONSOLE=machine.us2.portal.cloudappsecurity.com" -e "COLLECTOR=LogCollector1" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    Executar o comando personalizado no seu anfitrião.

    Nota

    Só o mapeamento do Docker é modificado. As portas internamente atribuídas não são alteradas permitindo-lhe escolher qualquer porta de audição no hospedeiro.

Validar o formato de tráfego e registo recebido pelo colecionador de registos no Linux

Ocasionalmente, poderá ter de investigar questões como:

  • Os colecionadores de registos estão a receber dados: Valide que os colecionadores de registos estão a receber mensagens Syslog dos seus aparelhos e não estão bloqueados por firewalls.
  • Os dados recebidos estão no formato correto de registo: Valide o formato de registo para ajudá-lo a resolver erros de análise de problemas, comparando o formato de registo esperado por Cloud App Security e o enviado pelo seu aparelho.

Utilize estes passos para validar o tráfego recebido pelos colecionadores de registos.

  1. Inscreva-se no seu servidor que acolhe o contentor Docker.

  2. Validar que o colecionador de registos está a receber mensagens Syslog utilizando qualquer um dos seguintes métodos:

    • Utilizando o tcpdump, ou comando semelhante para analisar o tráfego de rede na porta 514:

      tcpdump -Als0 port 514
      

      Se tudo estiver corretamente configurado, deve ver o tráfego de rede dos seus aparelhos.

      Analise o comando tcpdump de tráfego de rede.

    • Utilizando o netcat, ou comando semelhante para analisar o tráfego de rede na máquina hospedeira:

      1. Instale netcat e wget.

      2. Descarregue, e se necessário unzip, um registo de amostra, da seguinte forma:

        1. No portal Cloud App Security, clique em Descobrir e, em seguida, clique em Criar relatório instantâneo.
        2. Selecione a Origem de dados a partir da qual quer carregar os ficheiros de registo.
        3. Clique em Ver e verifique o clique direito Descarregue o registo de amostras e copie o link de endereço URL.
        4. Clique em Fechar.
        5. Clique em Cancelar.
      wget <URL_address_to_sample_log>
      
      1. Corra netcat para transmitir os dados para o colecionador de registos.
      cat <path_to_downloaded_sample_log>.log | nc -w 0 localhost <datasource_port>
      

      Se o colecionador estiver corretamente configurado, os dados de registo estarão presentes no ficheiro de mensagens e pouco tempo depois serão enviados para o portal Cloud App Security.

    • Inspecionando ficheiros relevantes no Cloud App Security estivador:

      1. Faça login no recipiente utilizando este comando:
      docker exec -it <Container Name> bash
      
      1. Determine se as mensagens Syslog estão a ser escritas para o ficheiro de mensagens utilizando este comando:
      cat /var/adallom/syslog/<your_log_collector_port>/messages
      

      Se tudo estiver corretamente configurado, deve ver o tráfego de rede dos seus aparelhos.

      Nota

      Este ficheiro continuará a ser escrito até atingir os 40 KB de tamanho.

      Analise o comando do gato de tráfego de rede.

  3. Rever registos que foram enviados para Cloud App Security no /var/adallom/discoverylogsbackup diretório.

    Reveja os ficheiros de registo sonoros.

  4. Validar o formato de registo recebido pelo colecionador de registos comparando as mensagens armazenadas no /var/adallom/discoverylogsbackup formato de registo de amostras fornecidas no Cloud App Security Criar assistente de recário de registo.

Nota

Se pretender utilizar o seu próprio registo de amostras mas não tiver acesso ao aparelho, utilize os seguintes comandos para escrever a saída do ficheiro de mensagens (localizado no diretório de syslog do og collector) para um ficheiro local no anfitrião.

docker exec CustomerLogCollectorName tail -f -q /var/adallom/syslog/<datasource_port>/messages > /tmp/log.log

Compare o ficheiro de saída /tmp/log.log () com as mensagens armazenadas em /var/adallom/discoverylogsbackup .

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.