Поделиться через

Настройка автоматической отправки журналов с помощью локального Docker в Windows

  • Статья

Вы можете настроить автоматическую отправку журналов для непрерывных отчетов в приложениях Defender для облака с помощью Docker в Windows.

Необходимые компоненты

  • Спецификации архитектуры:

    • Операционная система: одна из следующих:

      • Windows 10 (обновление fall creators)

      • Windows Sever версии 1709+ (SAC)

      • Windows Server 2019 (LTSC)

    • Дисковое пространство: 250 ГБ

    • Ядра ЦП: 2

    • Архитектура ЦП:Intel 64 и AMD 64

    • ОЗУ: 4 ГБ

    Список поддерживаемых архитектур Docker см . в документации по установке Docker.

  • Настройка брандмауэра , как описано в требованиях к сети

  • Виртуализация в операционной системе должна быть включена с Помощью Hyper-V

Важно!

  • Корпоративные клиенты с более чем 250 пользователями или более $ 10 млн в годовой выручке требуют платной подписки для использования Docker Desktop для Windows. Дополнительные сведения см. в обзоре подписки Docker.
  • Для сбора журналов пользователь должен войти в Docker. Рекомендуется рекомендовать пользователям Docker отключиться без выхода.
  • Docker для Windows официально не поддерживается в сценариях виртуализации VMWare.
  • Docker для Windows официально не поддерживается в вложенных сценариях виртуализации. Если вы по-прежнему планируете использовать вложенную виртуализацию, обратитесь к официальному руководству Docker.
  • Дополнительные сведения о настройке и реализации Docker для Windows см. в разделе "Установка Рабочего стола Docker в Windows".

Примечание.

Если у вас есть сборщик журналов и вы хотите удалить его перед его развертыванием еще раз или просто хотите удалить его, выполните следующие команды:

docker stop <collector_name>
docker rm <collector_name>

Производительность сборщика журналируемых данных

Сборщик журналируемых данных может успешно обрабатывать до 50 ГБ журналов в час. Основными узкими местами в процессе сбора журналов являются:

  • Пропускная способность сети — определяет скорость отправки журналов.

  • Производительность ввода-вывода виртуальной машины — определяет скорость записи журналов на диск сборщика журналов. Сборщик журналируемых данных снабжен встроенным защитным механизмом, который контролирует скорость поступления журналов и сравнивает ее со скоростью передачи. В случае перегрузки сборщик начинает удалять файлы журнала. Если нагрузка обычно превышает 50 ГБ в час, рекомендуется разделить трафик между несколькими сборщиками журналируемых данных.

Настройка и конфигурация

Шаг 1. Конфигурация веб-портала: определение источников данных и связывание их со сборщиком журналируемых данных

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе Cloud Discovery выберите автоматическую отправку журналов. Затем перейдите на вкладку "Источники данных".

  3. Для каждого брандмауэра или прокси-сервера, с которого вы хотите отправить журналы, создайте соответствующий источник данных.

    1. Нажмите кнопку +Добавить источник данных.
      Add a data source.
    2. Присвойте Имя прокси-серверу или брандмауэру.
      Add name for data source.
    3. Выберите устройство в списке Источник. Если вы выбрали пользовательский формат журнала для работы с сетевым устройством, которое не указано в списке, см. инструкции по использованию настраиваемого средства синтаксического анализа журналов.
    4. Сравните журнал с примером ожидаемого формата журнала. Если формат вашего файла журнала не соответствует этому примеру, необходимо добавить источник данных с параметром Другой.
    5. Задайте для параметра Тип приемника значение FTP, FTPS, Syslog — UDP, Syslog — TCP или Syslog — TLS.

    Примечание.

    Для интеграции с протоколами безопасной передачи (FTPS и Syslog — TLS) часто требуются дополнительные параметры, брандмауэр или прокси-сервер.

    f. Повторите эту процедуру для каждого брандмауэра и прокси-сервера, журналы которых можно использовать для обнаружения трафика в сети. Рекомендуется настроить выделенный источник данных для каждого сетевого устройства, чтобы вы могли делать следующее:

    • отслеживать и анализировать состояние отдельных устройств;
    • проводить анализ Shadow IT Discovery на каждом устройстве, когда устройства принадлежат разным сегментам пользователей.

  4. Перейдите на расположенную сверху вкладку Сборщики данных журнала.

    1. Выберите " Добавить сборщик журналов".
    2. Присвойте имя сборщику журналируемых данных.
    3. Введите IP-адрес узла (частный IP-адрес) компьютера, который будет использоваться для развертывания Docker. IP-адрес узла можно заменить именем компьютера, если есть DNS-сервер (или эквивалент), который будет разрешать имя узла.
    4. Выберите все источники данных, которые требуется подключить к сборщику, и нажмите кнопку "Обновить ", чтобы сохранить конфигурацию. Select data source to connect.

  5. Отобразятся дополнительные сведения о развертывании. Скопируйте команду выполнения из диалогового окна. С помощью значка copy to clipboard icon.буфера обмена можно использовать копию. Оно потребуется позже.

  6. Экспортируйте ожидаемую конфигурацию источника данных. В этой конфигурации описано, как необходимо настроить экспорт журналов на устройствах.

    Create log collector.

    Примечание.

    • Отдельный сборщик журналируемых данных может обрабатывать несколько источников данных.
    • Скопируйте содержимое экрана, так как вам потребуется информация при настройке сборщика журналов для взаимодействия с Defender для облака приложениями. Если вы выбрали системный журнал, эта информация будет включать сведения о порте, на котором будет работать прослушиватель системного журнала.
    • Для пользователей, отправляющих данные журнала через FTP в первый раз, рекомендуется изменить пароль для пользователя FTP. Дополнительные сведения см. в разделе "Изменение пароля FTP".

Шаг 2. Локальное развертывание виртуальной машины

Ниже описывается развертывание в Windows. Действия по развертыванию на других платформах немного отличаются.

  1. От имени администратора откройте терминал PowerShell на компьютере под управлением Windows.

  2. Выполните следующую команду, чтобы скачать файл скрипта Установщика Windows Docker PowerShell: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Чтобы убедиться, что установщик подписан корпорацией Майкрософт, см . раздел "Проверка подписи установщика".

  3. Чтобы включить выполнение скрипта PowerShell, выполните команду Set-ExecutionPolicy RemoteSigned

  4. Запуск. & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Это устанавливает клиент Docker на компьютере.

    Docker is installed.

    После выполнения команды компьютер будет автоматически перезапущен.

  5. При повторном запуске компьютера выполните ту же команду в PowerShell: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Run PowerShell command again.

  6. Запустите установщик Docker. Выберите использовать WSL 2 вместо Hyper-V (рекомендуется):

    Installing Docker desktop.

    После завершения установки компьютер будет автоматически перезапущен.

  7. После завершения перезагрузки откройте клиент Docker и перейдите к соглашению о подписке Docker:

    Accept Docker service agreement.

  8. Если установка WSL2 не завершена, появится следующее всплывающее сообщение:

    WSL 2 installation is incomplete.

  9. Завершите установку, скачав пакет, как описано в разделе "Скачать пакет обновления ядра Linux".

  10. Снова откройте клиент Docker Desktop и убедитесь, что он запущен:

    Open the Docker Desktop client.

  11. Запустите CMD от имени администратора и введите команду запуска, созданную на портале. Если необходимо настроить прокси-сервер, добавьте его IP-адрес и номер порта. Например, если данные прокси-сервера — 192.168.10.1:8080, измененная команда выполнения будет выглядеть так:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  12. Убедитесь в том, что сборщик работает без ошибок, выполнив следующую команду: docker logs <collector_name>.

Должно отобразиться сообщение Завершено успешно.

Verify that collector is running properly.

Шаг 3. Локальная конфигурация сетевых устройств

Настройте сетевые брандмауэры и прокси-серверы для периодического экспорта журналов на выделенный порт Syslog каталога FTP согласно указаниям в диалоговом окне. Например:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Шаг 4. Проверка успешного развертывания на портале

Проверьте состояние сборщика в таблице Сборщик журналов и убедитесь, что оно имеет значение Подключен. Если состояние — Создан, возможно, подключение и анализ сборщика журналируемых данных не завершены.

Verify that the collector status is Connected.

Вы также можете убедиться, что журналы периодически отправляются на портал, воспользовавшись журналом управления.

Кроме того, можно проверка состояние сборщика журналов из контейнера Docker с помощью следующих команд:

  1. Войдите в контейнер с помощью следующей команды: docker exec -it <Container Name> bash
  2. Проверьте состояние сборщика журналов с помощью следующей команды: collector_status -p

Если возникли проблемы во время развертывания, см. статью Устранение неполадок с Cloud Discovery.

Дополнительно — создание настраиваемых непрерывных отчетов

Убедитесь, что журналы отправляются в приложения Defender для облака и создаются отчеты. После этого вы можете создать настраиваемые отчеты. Пользовательские отчеты обнаружения можно создавать на основе групп пользователей Microsoft Entra. Например, если нужно просмотреть сведения об использовании облачных приложений отделом маркетинга, импортируйте соответствующую группу с помощью функции импорта группы пользователей. Затем создайте для нее пользовательский отчет. Можно также настроить отчет на основе тега IP-адреса или диапазонов IP-адресов.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе Cloud Discovery выберите непрерывные отчеты.

  3. Нажмите кнопку "Создать отчет " и заполните поля.

  4. В разделе Фильтры можно выполнить фильтрацию по источнику данных, импортированной группе пользователей либо тегам и диапазонам IP-адресов.

    Примечание.

    При применении фильтров к непрерывным отчетам выбор будет включен, а не исключен. Например, если применить фильтр к определенной группе пользователей, в отчет будет включена только эта группа пользователей.

    Custom continuous report.

Необязательно. Проверка подписи установщика

Чтобы проверить наличие подписи корпорации Майкрософт у установщика Docker, выполните следующие действия.

  1. Щелкните файл правой кнопкой мыши и выберите пункт "Свойства".

  2. Выберите цифровые подписи и убедитесь, что эта цифровая подпись является нормальной.

  3. Убедитесь, что в качестве единственной записи в разделе с именем подписавшего указана корпорация Майкрософт.

    Digital signature valid.

    Если цифровая подпись недопустима, она скажет, что эта цифровая подпись недопустима:

    Digital signature not valid.

Следующие шаги

Изменение конфигурации FTP сборщика журналов

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.