Konfigurace automatického nahrávání protokolů pomocí Dockeru v Azure

  • Článek

Tento článek popisuje, jak nakonfigurovat automatické nahrávání protokolů pro průběžné sestavy v Defenderu for Cloud Apps pomocí Dockeru v Ubuntu nebo CentOS v Azure.

Požadavky

Než začnete, ujistěte se, že vaše prostředí splňuje následující požadavky:

Požadavek Popis
Operační systém Jedna z následujících možností:
– Ubuntu 14.04, 16.04, 18.04 a 20.04
– CentOS 7.2 nebo vyšší
Disku 250 GB
Jádra procesoru 2
Architektura procesoru Intel 64 a AMD 64
RAM 4 GB
Konfigurace brány firewall Jak je definováno v požadavcích na síť

Plánování kolektorů protokolů podle výkonu

Každý kolektor protokolů dokáže úspěšně zpracovat kapacitu protokolů o velikosti až 50 GB za hodinu, která se skládá z až 10 zdrojů dat. Proces shromažďování protokolů má tato hlavní problémová místa:

  • Šířka pásma sítě – Šířka pásma sítě určuje rychlost nahrávání protokolů.

  • Výkon vstupně-výstupních operací virtuálního počítače – určuje rychlost zápisu protokolů na disk kolektoru protokolů. Kolektor protokolů má integrovaný bezpečnostní mechanismus, který sleduje rychlost přijímání protokolů a porovnává ji s rychlostí odesílání. V případě přetížení začne kolektor protokolů některé soubory protokolu vyřazovat. Pokud vaše nastavení obvykle překračuje 50 GB za hodinu, doporučujeme rozdělit provoz mezi několik kolektorů protokolů.

Pokud potřebujete více než 10 zdrojů dat, doporučujeme rozdělit zdroje dat mezi více kolektorů protokolů.

Definování zdrojů dat

  1. Na portálu Microsoft Defender vyberte Nastavení Automatické nahrávání protokolů Cloud Discovery > Cloud Apps >>.

  2. Na kartě Zdroje dat vytvořte odpovídající zdroj dat pro každou bránu firewall nebo proxy server, ze kterého chcete nahrát protokoly:

    1. Vyberte Přidat zdroj dat.

    2. V dialogovém okně Přidat zdroj dat zadejte název zdroje dat a pak vyberte typ zdroje a příjemce.

      Než vyberete zdroj, vyberte Zobrazit ukázku očekávaného souboru protokolu a porovnat protokol s očekávaným formátem. Pokud formát souboru protokolu neodpovídá této ukázce, přidejte zdroj dat jako Jiný.

      Pokud chcete pracovat se síťovým zařízením, které není uvedené, vyberte > jiný formát protokolu zákazníka nebo Jiný (jenom ručně). Další informace naleznete v tématu Práce s vlastním analyzátorem protokolů.

    Poznámka:

    Integrace se zabezpečenými přenosovými protokoly (FTPS a Syslog – TLS) často vyžaduje další nastavení nebo bránu firewall nebo proxy server.

Tento postup opakujte pro každou bránu firewall a proxy server, jejichž protokoly se dají použít ke zjišťování přenosů dat ve vaší síti.

Doporučujeme nastavit vyhrazený zdroj dat pro každé síťové zařízení, abyste mohli monitorovat stav každého zařízení samostatně pro účely šetření a prozkoumat zjišťování stínových IT na každé zařízení, pokud je každé zařízení používáno jiným uživatelským segmentem.

Vytvoření kolektoru protokolů

  1. Na portálu Microsoft Defender vyberte Nastavení Automatické nahrávání protokolů Cloud Discovery > Cloud Apps >>.

  2. Na kartě Kolektory protokolů vyberte Přidat kolektor protokolů.

  3. V dialogovém okně Vytvořit kolektor protokolů zadejte následující podrobnosti:

    • Název kolektoru protokolů
    • IP adresa hostitele, což je privátní IP adresa počítače, který použijete k nasazení Dockeru. IP adresu hostitele lze také nahradit názvem počítače, pokud existuje server DNS nebo ekvivalent k překladu názvu hostitele.

    Potom výběrem pole Zdroje dat vyberte zdroje dat, které chcete připojit ke kolektoru, a výběrem možnosti Aktualizovat uložte změny. Každý kolektor protokolů může zpracovávat více zdrojů dat.

    V dialogovém okně Vytvořit kolektor protokolů se zobrazí další podrobnosti o nasazení, včetně příkazu pro import konfigurace kolektoru. Příklad:

    Snímek obrazovky s příkazem, který chcete zkopírovat z dialogového okna Vytvořit kolektor protokolů

  4. kopírovat do ikony schránky.Výběrem ikony Kopírovat vedle příkazu ho zkopírujte do schránky.

    Podrobnosti zobrazené v dialogovém okně Vytvořit kolektor protokolů se liší v závislosti na vybraném typu zdroje a příjemce. Pokud jste například vybrali Syslog, dialogové okno obsahuje podrobnosti o tom, na kterém portu naslouchá naslouchací proces syslogu.

    Zkopírujte obsah obrazovky a uložte je místně, protože je budete potřebovat při konfiguraci kolektoru protokolů pro komunikaci s Defenderem for Cloud Apps.

  5. Výběrem možnosti Exportovat exportujete zdrojovou konfiguraci do objektu . Soubor CSV, který popisuje, jak nakonfigurovat export protokolu ve vašich zařízeních.

Tip

Pro uživatele, kteří odesílají data protokolu přes FTP poprvé, doporučujeme změnit heslo pro uživatele FTP. Další informace naleznete v tématu Změna hesla FTP.

Nasazení počítače v Azure

Tento postup popisuje, jak nasadit počítač s Ubuntu. Postup nasazení pro jiné platformy se mírně liší.

  1. Ve svém prostředí Azure vytvořte nový počítač s Ubuntu.

  2. Po spuštění počítače otevřete porty:

    1. V zobrazení počítače přejděte do části Sítě výběrem příslušného rozhraní poklikáním na příslušné rozhraní.

    2. Přejděte do skupiny zabezpečení sítě a vyberte příslušnou skupinu zabezpečení sítě.

    3. Přejděte do příchozích pravidel zabezpečení a klikněte na Přidat.

    4. Přidejte následující pravidla (v rozšířeném režimu):

      Název Rozsahy cílových portů Protokol Zdroj Cíl
      caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Všechny
      caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Všechny
      caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Všechny
      caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Všechny

    Další informace naleznete v tématu Práce s pravidly zabezpečení.

  3. Vraťte se k počítači a kliknutím na Připojení otevřete terminál na počítači.

  4. Změna na kořenová oprávnění pomocí .sudo -i

  5. Pokud souhlasíte s licenčními podmínkami pro software, odinstalujte staré verze a nainstalujte Docker CE spuštěním příkazů vhodných pro vaše prostředí:

    1. Odeberte staré verze Dockeru: yum erase docker docker-engine docker.io

    2. Nainstalujte požadavky na modul Docker: yum install -y yum-utils

    3. Přidejte úložiště Dockeru:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache

    4. Nainstalujte modul Dockeru: yum -y install docker-ce

    5. Spuštění Dockeru

      systemctl start docker
systemctl enable docker

    6. Otestujte instalaci Dockeru: docker run hello-world

  6. V dialogovém okně Vytvořit kolektor protokolů spusťte příkaz, který jste zkopírovali dříve. Příklad:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Chcete-li ověřit, zda kolektor protokolů běží správně, spusťte následující příkaz: Docker logs <collector_name>. Měli byste získat výsledky: Úspěšně dokončeno!

Konfigurace místního nastavení síťového zařízení

Nakonfigurujte síťové brány firewall a proxy servery tak, aby pravidelně exportovali protokoly do vyhrazeného portu syslogu adresáře FTP podle pokynů v dialogovém okně. Příklad:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Ověření nasazení v Defenderu for Cloud Apps

Zkontrolujte stav kolektoru v tabulce kolektoru protokolů a ujistěte se, že je stav Připojení. Pokud je vytvořený, je možné, že se připojení kolektoru protokolů a analýza nedokončila.

Příklad:

Snímek obrazovky se stavem připojeného kolektoru

Můžete také přejít do protokolu zásad správného řízení a ověřit, že se protokoly pravidelně nahrávají na portál.

Další možností je zkontrolovat stav kolektoru protokolů v kontejneru Dockeru pomocí následujících příkazů:

  1. Přihlaste se ke kontejneru pomocí tohoto příkazu: docker exec -it <Container Name> bash
  2. Pomocí tohoto příkazu ověřte stav kolektoru protokolů: collector_status -p

Pokud máte během nasazování problémy, přečtěte si téma Řešení potíží se službou Cloud Discovery.

Volitelné – Vytváření vlastních průběžných sestav

Ověřte, že se protokoly nahrávají do Defenderu for Cloud Apps a že se generují sestavy. Po ověření vytvořte vlastní sestavy. Můžete vytvářet vlastní sestavy zjišťování založené na skupinách uživatelů Microsoft Entra. Pokud například chcete zobrazit používání cloudu marketingového oddělení, naimportujte skupinu marketingu pomocí funkce importovat skupinu uživatelů. Pak vytvořte vlastní sestavu pro tuto skupinu. Sestavu můžete také přizpůsobit na základě značky IP adresy nebo rozsahů IP adres.

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Cloud Discovery vyberte Průběžné sestavy.

  3. Klikněte na tlačítko Vytvořit sestavu a vyplňte pole.

  4. V části Filtry můžete filtrovat data podle zdroje dat, podle importované skupiny uživatelů nebo podle značek a rozsahů IP adres.

    Poznámka:

    Při použití filtrů u průběžných sestav se výběr zahrne, nebude vyloučen. Pokud například použijete filtr pro určitou skupinu uživatelů, bude do sestavy zahrnuta pouze tato skupina uživatelů.

    Snímek obrazovky s vlastní průběžnou sestavou

Odebrání kolektoru protokolů

Pokud máte existující kolektor protokolů a chcete ho před opětovným nasazením odebrat nebo ho jednoduše chcete odebrat, spusťte následující příkazy:

docker stop <collector_name>
docker rm <collector_name>

Další kroky

Úprava konfigurace FTP kolektoru protokolů

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.