Konfigurieren des automatischen Protokolluploads mit lokalem Docker unter Linux

Sie können den automatischen Protokollupload für fortlaufende Berichte in Defender for Cloud Apps mithilfe von Docker auf einem lokalen Ubuntu- oder CentOS-Server konfigurieren.

Wichtig

Wenn Sie RHEL Version 7.1 oder höher verwenden, müssen Sie Podman für die automatische Protokollsammlung anstelle von Docker verwenden. Weitere Informationen finden Sie unter Konfigurieren des automatischen Protokolluploads mit Podman.

Voraussetzungen

Spezifikation	Beschreibung
Betriebssystem	Eine der folgenden Varianten: Ubuntu 14.04, 16.04, 18.04 und 20.04 CentOS 7.2 oder höher
Speicherplatz	250 GB
CPU-Kerne	2
CPU-Architektur	Intel 64 und AMD 64
RAM	4 GB

Stellen Sie sicher, dass Sie Ihre Firewall nach Bedarf festlegen. Weitere Informationen finden Sie unter Netzwerkanforderungen.

Entfernen eines vorhandenen Protokollsammlers

Wenn Sie über einen vorhandenen Protokollsammler verfügen und ihn vor der erneuten Bereitstellung entfernen möchten, oder wenn Sie ihn einfach entfernen möchten, führen Sie die folgenden Befehle aus:

docker stop <collector_name>
docker rm <collector_name>

Protokollsammlerleistung

Der Protokollsammler kann eine Protokollkapazität von bis zu 50 GB pro Stunde erfolgreich verarbeiten. Die Standard Engpässe im Protokollsammlungsprozess sind:

• Netzwerkbandbreite: Ihre Netzwerkbandbreite bestimmt die Geschwindigkeit des Protokolluploads.

• E/A-Leistung des virtuellen Computers: Bestimmt die Geschwindigkeit, mit der Protokolle auf den Datenträger des Protokollsammlers geschrieben werden. Der Protokollsammler verfügt über einen integrierten Sicherheitsmechanismus, der die Rate überwacht, mit der Protokolle eingehen, und sie mit der Uploadrate vergleicht. Bei Überlastung beginnt der Protokollsammler, Protokolldateien zu löschen. Wenn Ihr Setup in der Regel 50 GB pro Stunde überschreitet, wird empfohlen, den Datenverkehr auf mehrere Protokollsammler aufzuteilen.

Schritt 1 – Konfiguration des Webportals: Definieren von Datenquellen und Verknüpfen der Datenquellen mit einem Protokollsammler

1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Cloud Apps>Cloud Discovery>Automatischer Protokollupload>Datenquellen aus.

2. Erstellen Sie für jede Firewall oder jeden Proxy, aus dem Sie Protokolle hochladen möchten, eine übereinstimmende Datenquelle.

   1. Wählen Sie +Datenquelle hinzufügen aus.

      

   2. Benennen Sie Ihren Proxy oder Ihre Firewall.

      

   3. Wählen Sie in der Liste Quelle die Anwendung aus. Wenn Sie benutzerdefiniertes Protokollformat auswählen, um mit einem Netzwerk Anwendung zu arbeiten, das nicht aufgeführt ist, finden Sie unter Arbeiten mit dem benutzerdefinierten Protokollparser Konfigurationsanweisungen.

   4. Vergleichen Sie Ihr Protokoll mit dem Beispiel des erwarteten Protokollformats. Wenn Ihr Protokolldateiformat nicht mit diesem Beispiel übereinstimmt, sollten Sie Ihre Datenquelle als Sonstige hinzufügen.

   5. Legen Sie den Empfängertyp entweder auf FTP, FTPS, Syslog – UDP oder Syslog – TCP oder Syslog – TLS fest.

      Hinweis

      Die Integration in sichere Übertragungsprotokolle (FTPS und Syslog – TLS) erfordert häufig zusätzliche Einstellungen für Ihre Firewall/Ihren Proxy.

   6. Wiederholen Sie diesen Vorgang für jede Firewall und jeden Proxy, deren Protokolle verwendet werden können, um Datenverkehr in Ihrem Netzwerk zu erkennen. Es wird empfohlen, eine dedizierte Datenquelle pro Netzwerkgerät einzurichten, um Folgendes zu ermöglichen:

   • Überwachen Sie die status jedes Geräts zu Untersuchungszwecken separat.
   • Erkunden Sie die Schatten-IT-Ermittlung pro Gerät, wenn jedes Gerät von einem anderen Benutzersegment verwendet wird.

3. Wählen Sie oben auf der Seite die Registerkarte Protokollsammler und dann Protokollsammler hinzufügen aus.

4. Im Dialogfeld Protokollsammler erstellen :

   1. Geben Sie im Feld Name einen aussagekräftigen Namen für Ihren Protokollsammler ein.

   2. Geben Sie dem Protokollsammler einen Namen , und geben Sie die Host-IP-Adresse (private IP-Adresse) des Computers ein, den Sie zum Bereitstellen von Docker verwenden. Die Host-IP-Adresse kann durch den Computernamen ersetzt werden, wenn ein DNS-Server (oder ein entsprechender Server) vorhanden ist, der den Hostnamen auflöst.

   3. Wählen Sie alle Datenquellen aus, die Sie mit dem Collector verbinden möchten, und wählen Sie Aktualisieren aus, um die Konfiguration zu speichern.

      Weitere Bereitstellungsinformationen werden im Abschnitt Nächste Schritte angezeigt, einschließlich eines Befehls, den Sie später zum Importieren der Collectorkonfiguration verwenden werden. Wenn Sie Syslog ausgewählt haben, enthalten diese Informationen auch Daten darüber, an welchem Port der Syslog-Listener lauscht.

   4. Verwenden Sie das Schaltfläche "Kopieren ", um den Befehl in die Zwischenablage zu kopieren und an einem separaten Speicherort zu speichern.

   5. Verwenden Sie den Schaltfläche "Exportieren ", um die erwartete Datenquellenkonfiguration zu exportieren. Diese Konfiguration beschreibt, wie Sie den Protokollexport in Ihren Appliances festlegen sollten.

Für Benutzer, die erstmals Protokolldaten über FTP senden, empfehlen wir, das Kennwort für den FTP-Benutzer zu ändern. Weitere Informationen finden Sie unter Ändern des FTP-Kennworts.

Schritt 2: Lokale Bereitstellung Ihres Computers

Die folgenden Schritte beschreiben die Bereitstellung in Ubuntu. Die Bereitstellungsschritte für andere unterstützte Plattformen können geringfügig abweichen.

1. Öffnen Sie ein Terminal auf Ihrem Ubuntu-Computer.

2. Ändern Sie zu Stammberechtigungen, indem Sie Folgendes ausführen:

   sudo -i
   

3. Führen Sie die folgenden beiden Befehle aus, um einen Proxy in Ihrem Netzwerk zu umgehen:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Wenn Sie die Softwarelizenzbedingungen akzeptieren, deinstallieren Sie alte Versionen, und installieren Sie Docker CE, indem Sie die für Ihre Umgebung geeigneten Befehle ausführen:

   CentOS

   1. Entfernen Sie alte Versionen von Docker:

      yum erase docker docker-engine docker.io
      

   2. Voraussetzungen für die Installation der Docker-Engine:

      yum install -y yum-utils
      

   3. Docker-Repository hinzufügen:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Installieren Sie die Docker-Engine:

      yum -y install docker-ce
      

   5. Starten Sie Docker:

      systemctl start docker
      systemctl enable docker
      

   6. Testen der Docker-Installation:

      docker run hello-world
      

   Red Hat 7

   1. Entfernen Sie alte Versionen von Docker:

      yum erase docker docker-engine docker.io
      

   2. Voraussetzungen für die Installation der Docker-Engine:

      yum install -y yum-utils
      yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
      

   3. Docker-Repository hinzufügen:

      sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
      

   4. Installieren von Abhängigkeiten:

      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
      sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
      wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
      sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
      sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
      sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
      

   5. Installieren Sie die Docker-Engine:

      sudo yum install docker-ce
      

   6. Starten Sie Docker:

      systemctl start docker
      systemctl enable docker
      

   7. Testen der Docker-Installation: docker run hello-world

   Red Hat 8

   1. Entfernen Sie das Modul container-tools:

      yum module remove container-tools
      

   2. Fügen Sie das Docker CE-Repository hinzu:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      

   3. Ändern Sie die yum-Repositorydatei, um CentOS 8-Pakete zu verwenden:

      sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo
      

   4. Installieren Sie Docker CE:

      yum install docker-ce
      

   5. Starten Sie Docker:

      systemctl start docker
      systemctl enable docker
      

   6. Testen der Docker-Installation:

      docker run hello-world
      

   Ubuntu

   1. Entfernen Sie alte Versionen von Docker:

      apt-get remove docker docker-engine docker.io
      

   2. Wenn Sie unter Ubuntu 14.04 installieren, installieren Sie das Paket linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Voraussetzungen für die Installation der Docker-Engine:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Vergewissern Sie sich, dass apt-Schlüsselfingerabdruck UID lautetdocker@docker.com:

      apt-key fingerprint | grep uid
      

   5. Installieren Sie die Docker-Engine:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Testen der Docker-Installation:

      docker run hello-world
      

5. Stellen Sie das Collectorimage auf dem Hostcomputer bereit, indem Sie die Collectorkonfiguration importieren. Importieren Sie die Konfiguration, indem Sie den im Portal generierten Ausführungsbefehl kopieren. Wenn Sie einen Proxy konfigurieren müssen, fügen Sie die Proxy-IP-Adresse und die Portnummer hinzu. Wenn Ihre Proxydetails beispielsweise 172.31.255.255:8080 sind, lautet Ihr aktualisierter Ausführungsbefehl:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=tenant.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

6. Überprüfen Sie mit dem folgenden Befehl, ob der Collector ordnungsgemäß ausgeführt wird:

   docker logs <collector_name>
   

   Die Meldung sollte angezeigt werden: Erfolgreich abgeschlossen! Zum Beispiel:

   

Schritt 3: Lokale Konfiguration Ihrer Netzwerkgeräte

Konfigurieren Sie Ihre Netzwerkfirewalls und Proxys so, dass protokolle in regelmäßigen Abständen in den dedizierten Syslog-Port oder das FTP-Verzeichnis exportiert werden, entsprechend den Anweisungen im Dialogfeld. Zum Beispiel:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Schritt 4: Überprüfen der erfolgreichen Bereitstellung im Portal

Überprüfen Sie die status des Collectors in der Tabelle Log Collector, und stellen Sie sicher, dass die status Verbunden ist. Wenn es erstellt ist, ist es möglich, dass die Protokollsammlerverbindung und die Analyse noch nicht abgeschlossen wurden.

Sie können auch zum Governanceprotokoll wechseln und überprüfen, ob Protokolle regelmäßig in das Portal hochgeladen werden.

Alternativ können Sie den Protokollsammler status aus dem Docker-Container mithilfe der folgenden Befehle überprüfen:

1. Melden Sie sich beim Container an:

   docker exec -it <Container Name> bash
   

2. Überprüfen Sie, ob der Protokollsammler status:

   collector_status -p
   

Wenn während der Bereitstellung Probleme auftreten, finden Sie weitere Informationen unter Problembehandlung bei der Cloudermittlung.

Optional: Erstellen benutzerdefinierter fortlaufender Berichte

Vergewissern Sie sich, dass die Protokolle in Defender for Cloud Apps hochgeladen werden und dass Berichte generiert werden. Erstellen Sie nach der Überprüfung benutzerdefinierte Berichte. Sie können benutzerdefinierte Ermittlungsberichte basierend auf Microsoft Entra Benutzergruppen erstellen. Wenn Sie beispielsweise die Cloudnutzung Ihrer Marketingabteilung anzeigen möchten, importieren Sie die Marketinggruppe mithilfe der Funktion Benutzergruppe importieren. Erstellen Sie dann einen benutzerdefinierten Bericht für diese Gruppe. Sie können einen Bericht auch basierend auf IP-Adresstags oder IP-Adressbereichen anpassen.

1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Cloud-Apps>Cloud Discovery>Fortlaufende Berichte aus.

2. Wählen Sie die Schaltfläche Bericht erstellen aus, und füllen Sie die Felder aus.

3. Unter Filter können Sie die Daten nach Datenquelle, nach importierter Benutzergruppe oder nach IP-Adresstags und -bereichen filtern.

   Hinweis

   Beim Anwenden von Filtern auf fortlaufende Berichte wird die Auswahl eingeschlossen, nicht ausgeschlossen. Wenn Sie beispielsweise einen Filter auf eine bestimmte Benutzergruppe anwenden, wird nur diese Benutzergruppe in den Bericht aufgenommen.

   

Nächste Schritte

Ändern der FTP-Konfiguration des Protokollsammlers

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.