Konfigurieren des automatischen Protokolluploads mit lokalem Docker unter Linux

Sie können den automatischen Protokollupload für kontinuierliche Berichte in den Defender for Cloud-Apps mithilfe eines Docker-Containers auf einem lokalen Ubuntu- oder CentOS-Server konfigurieren.

Wichtig

Wenn Sie RHEL Version 7.1 oder höher verwenden, müssen Sie Podman für die automatische Protokollsammlung anstelle von Docker verwenden. Weitere Informationen finden Sie unter Konfigurieren des automatischen Protokolluploads mit Podman (Vorschauversion).

Wichtige Informationen, die für den Erfolg des Benutzers unabdingbar sind.

Voraussetzungen

• Betriebssystem:

  • Ubuntu 14.04, 16.04, 18.04 und 20.04
  • CentOS 7.2 oder höher

• Speicherplatz: 250 GB

• CPU-Kerne: 2

• CPU-Architektur: Intel® 64 und AMD 64

• RAM: 4 GB

• Konfigurieren Sie Ihre Firewall wie in den Netzwerkanforderungen beschrieben

Hinweis

Führen Sie die folgenden Befehle aus, wenn Sie über einen Protokollsammler verfügen und ihn entfernen möchten, bevor Sie ihn erneut bereitstellen, oder wenn Sie ihn einfach nur entfernen möchten:

docker stop <collector_name>
docker rm <collector_name>

Leistung des Protokollsammlers

Der Protokollsammler kann erfolgreich eine Protokollkapazität von bis zu 50 GB pro Stunde verarbeiten. Die wichtigsten Engpässe im Protokollsammelprozess sind:

• Netzwerkbandbreite: Ihre Netzwerkbandbreite bestimmt die Geschwindigkeit des Protokolluploads.

• E/A-Leistung des virtuellen Computers: Bestimmt die Geschwindigkeit, mit der Protokolle auf den Datenträger des Protokollsammlers geschrieben werden. Der Protokollsammler verfügt über einen integrierten Sicherheitsmechanismus, der die Rate überwacht, mit der Protokolle ankommen, und mit der Uploadrate vergleicht. Bei Überlastung beginnt der Protokollsammler, Protokolldateien zu verwerfen. Überschreitet Ihr Setup in der Regel 50 GB pro Stunde, sollten Sie den Datenverkehr auf mehrere Protokollsammler aufteilen.

Einrichten und Konfiguration

Schritt 1: Konfiguration des Webportals – Definieren von Datenquellen und Verknüpfen der Datenquellen mit einem Protokollsammler

1. Klicken Sie im Microsoft Defender-Portal auf Einstellungen. Wählen Sie dann Cloud-Apps.

2. Wählen Sie unter Cloud Discovery die Option Cloud Discovery,Automatischer Protokollupload. Wählen Sie die Registerkarte Datenquellen.

3. Erstellen Sie für jede Firewall bzw. jeden Proxy, von der/dem Sie Protokolle hochladen möchten, eine entsprechende Datenquelle.

   1. Klicken Sie auf Datenquelle hinzufügen.
      
   2. Geben Sie Ihrem Proxy/Ihrer Firewall einen Namen.
      
   3. Wählen Sie das Gerät aus der Liste Quelle. Wenn Sie Benutzerdefiniertes Protokollformat auswählen, um mit einem nicht aufgeführten Netzwerkgerät zu arbeiten, lesen Sie die Konfigurationsanweisungen unter Verwenden eines benutzerdefinierten Protokollparsers.
   4. Vergleichen Sie Ihr Protokoll mit dem Beispiel für das erwartete Protokollformat. Wenn Ihr Protokolldateiformat nicht mit diesem Beispiel übereinstimmt, sollten Sie die Datenquelle als Andere hinzufügen.
   5. Legen Sie den Empfängertyp auf FTP, FTPS, Syslog – UDP oder Syslog – TCP bzw. Syslog – TLS fest.

   Hinweis

   Die Integration in sichere Übertragungsprotokolle (FTPS und Syslog – TLS) erfordert häufig zusätzliche Einstellungen für Ihre Firewall bzw. den Proxy.

   f. Wiederholen Sie diesen Vorgang für alle Firewalls/Proxys, deren Protokolle verwendet werden können, um Datenverkehr in Ihrem Netzwerk zu erkennen. Es wird empfohlen, eine dedizierte Datenquelle pro Netzwerkgerät einzurichten, damit Sie folgende Aktionen durchführen können:

   • Separates Überwachen des Status jedes Geräts zu Untersuchungszwecken.
   • Untersuchen von Shadow IT Discovery pro Gerät, wenn jedes Gerät von einem anderen Benutzersegment verwendet wird.

4. Wechseln Sie zur Registerkarte Protokollsammler am oberen Rand.

   1. Klicken Sie auf Protokollsammler hinzufügen.
   2. Geben Sie dem Protokollsammler einen Namen.
   3. Geben Sie die IP-Hostadresse (private IP-Adresse) des Computers ein, den Sie zum Bereitstellen von Docker verwenden möchten. Die IP-Adresse des Hosts kann durch den Computernamen ersetzt werden, wenn ein DNS-Server (oder ein ähnlicher Server) verfügbar ist, der den Hostnamen auflöst.
   4. Wählen Sie alle Datenquellen aus, die Sie mit dem Sammler verbinden möchten, und wählen Sie Aktualisieren, um die Konfiguration zu speichern und weitere Informationen zu den nächsten Bereitstellungsschritten anzuzeigen.

   

5. Weitere Informationen zur Bereitstellung werden angezeigt. Kopieren Sie den Befehl „run“ aus dem Dialogfeld. Sie können das Symbol "In die Zwischenablage kopieren" verwenden.

6. Exportieren Sie die erwartete Datenquellenkonfiguration. Diese Konfiguration beschreibt, wie Sie den Protokollexport in Ihren Geräten festlegen sollten.

   

   Hinweis

   • Ein einzelner Protokollsammler kann mehrere Datenquellen verarbeiten.
   • Kopieren Sie den Inhalt des Bildschirms, da Sie die Informationen benötigen, wenn Sie den Protokollsammler für die Kommunikation mit Defender for Cloud Apps konfigurieren. Wenn Sie „Syslog“ ausgewählt haben, enthalten diese Informationen Angaben darüber, an welchem Port der Syslog-Listener lauscht.
   • Benutzer*innen, die zum ersten Mal Protokolldaten per FTP senden, empfehlen wir, das Passwort für den FTP-Benutzer zu ändern. Weitere Informationen finden Sie unter Ändern des FTP-Passworts.

Schritt 2 – Lokale Bereitstellung Ihres Computers

In den folgenden Schritten wird die Bereitstellung unter Ubuntu beschrieben.

Hinweis

Die Bereitstellungsschritte für andere unterstützte Plattformen können davon geringfügig abweichen.

1. Öffnen Sie ein Terminal auf Ihrem Ubuntu-Computer.

2. Wechseln Sie mithilfe des folgenden Befehls zu root-Berechtigungen: sudo -i

3. Um den Proxy in Ihrem Netzwerk zu umgehen, führen Sie die folgenden beiden Befehle aus:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Wenn Sie die Softwarelizenzbedingungen akzeptieren, deinstallieren Sie alte Versionen, und installieren Sie Docker CE, indem Sie die entsprechenden Befehle für Ihre Umgebung ausführen:

CentOS

1. Entfernen Sie alte Versionen von Docker: yum erase docker docker-engine docker.io

2. Installieren Sie die Voraussetzungen der Docker-Engine: yum install -y yum-utils

3. Fügen Sie das Docker-Repository hinzu:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Installieren Sie die Docker-Engine: yum -y install docker-ce

5. Starten Sie Docker.

   systemctl start docker
   systemctl enable docker
   

6. Testen Sie die Docker-Installation: docker run hello-world

Red Hat 7

1. Entfernen Sie alte Versionen von Docker: yum erase docker docker-engine docker.io

2. Installieren Sie die Voraussetzungen der Docker-Engine:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Fügen Sie das Docker-Repository hinzu:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. Installieren von Abhängigkeiten:

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Installieren Sie die Docker-Engine: sudo yum install docker-ce

6. Starten Sie Docker.

   systemctl start docker
   systemctl enable docker
   

7. Testen Sie die Docker-Installation: docker run hello-world

Red Hat 8

1. Entfernen Sie das Modul „Containertools“: yum module remove container-tools

2. Fügen Sie das Docker-CE-Repository hinzu: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. Ändern Sie die Yum-Repositorydatei so, dass CentOS 8-Pakete verwendet werden: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Installieren Sie Docker CE: yum install docker-ce

5. Starten Sie Docker.

   systemctl start docker
   systemctl enable docker
   

6. Testen Sie die Docker-Installation: docker run hello-world

Ubuntu

1. Entfernen Sie alte Versionen von Docker: apt-get remove docker docker-engine docker.io

2. Wenn Sie auf Ubuntu 14.04 installieren, installieren Sie das linux-image-extra-Paket.

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. Installieren Sie die Voraussetzungen der Docker-Engine:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. Überprüfen Sie, ob die APT-Schlüsselfingerabdruck-UID docker@docker.com wie folgt lautet:apt-key fingerprint | grep uid

5. Installieren Sie die Docker-Engine:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Testen Sie die Docker-Installation: docker run hello-world

5. Stellen Sie das Protokollsammlerimage auf dem Hostcomputer bereit, indem Sie die Protokollsammlerkonfiguration importieren. Importieren Sie die Konfiguration, indem Sie den im Portal generierten Ausführungsbefehl kopieren. Wenn Sie einen Proxy konfigurieren müssen, fügen Sie die IP-Adresse des Proxys und die Portnummer hinzu. Wenn Ihre Proxydetails z. B. 192.168.10.1:8080 sind, lautet der aktualisierte Befehl „run“ folgendermaßen:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

6. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Sammler ordnungsgemäß ausgeführt wird: docker logs <collector_name>

Die folgende Meldung sollte angezeigt werden: Finished successfully!

Schritt 3: Lokale Konfiguration Ihrer Netzwerkgeräte

Konfigurieren Sie Ihre Netzwerkfirewalls und -proxys so, dass Protokolle in regelmäßigen Abständen gemäß den Anweisungen im Dialogfeld in den dedizierten Syslog-Port oder das FTP-Verzeichnis exportiert werden. Zum Beispiel:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Schritt 4: Überprüfen der erfolgreichen Bereitstellung im Portal

Überprüfen Sie den Status in der Tabelle Protokollsammler und achten Sie darauf, dass er Verbunden ist. Wenn der Status Erstellt angezeigt wird, wurde die Verbindung mit dem Protokollsammler möglicherweise nicht hergestellt und die Analyse nicht durchgeführt.

Sie können auch zum Governanceprotokoll navigieren und überprüfen, ob die Protokolle in regelmäßigen Abständen in das Portal hochgeladen werden.

Alternativ können Sie den Protokollsammlerstatus im Docker-Container mithilfe der folgenden Befehle überprüfen:

1. Melden Sie sich mit diesem Befehl beim Container an: docker exec -it <Container Name> bash
2. Überprüfen Sie den Protokollsammlerstatus mithilfe dieses Befehls: collector_status -p

Wenn Probleme bei der Bereitstellung auftreten, finden Sie weitere Informationen unter Problembehandlung bei Cloud Discovery.

Optional: Erstellen eines benutzerdefinierten kontinuierlichen Berichts

Überprüfen Sie, ob die Protokolle in Defender for Cloud Apps hochgeladen und Berichte erstellt werden. Nach der Überprüfung erstellen Sie benutzerdefinierte Berichte. Sie können benutzerdefinierte Ermittlungsberichte auf Grundlage von Microsoft Entra-Benutzergruppen erstellen. Wenn Sie z. B. wissen möchten, wie Ihre Marketingabteilung die Cloud nutzt, importieren Sie die Marketinggruppe mithilfe des Features „Benutzergruppe importieren“. Erstellen Sie anschließend einen benutzerdefinierten Bericht für diese Gruppe. Außerdem können Sie einen Bericht auf Grundlage von IP-Adressentags oder IP-Adressenbereichen anpassen.

1. Klicken Sie im Microsoft Defender-Portal auf Einstellungen. Wählen Sie dann Cloud-Apps.

2. Wählen Sie unter Cloud Discovery die Option Fortlaufende Berichte.

3. Klicken Sie auf die Schaltfläche Bericht erstellen und füllen Sie die Felder aus.

4. Unter den Filtern können Sie die Daten nach Datenquellen filtern, entweder nach importierten Benutzergruppen oder nach IP-Adressentags und -bereichen.

   Hinweis

   Wenn Sie Filter auf fortlaufende Berichte anwenden, wird die Auswahl eingeschlossen, nicht ausgeschlossen. Wenn Sie beispielsweise einen Filter auf eine bestimmte Benutzergruppe anwenden, wird nur diese Benutzergruppe in den Bericht eingeschlossen.

   

Nächste Schritte

Ändern der FTP-Konfiguration des Protokollsammlers

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.