Konfigurieren Sie einen Protokollsammler, um einen Proxy mit Microsoft Defender for Cloud Apps zu verbinden

  • 5 Minuten

Protokollsammler sind ein wichtiger Bestandteil von Microsoft Defender for Cloud Apps. Sie sammeln Kommunikationsprotokolle von Firewalls und Proxyservern und senden sie zur Analyse an Defender for Cloud Apps. Einige Proxyserver können verhindern, dass sie ihre gesammelten Protokolle reibungslos senden.

Bei Contoso ist der Rollout von Microsoft Defender for Cloud Apps abgeschlossen, aber Sie haben eine Lücke in der Protokollsammlung von drei Büros festgestellt. Bei einer eingehenderen Untersuchung des Problems stellen Sie fest, dass alle diese Büros durch Proxyserver desselben Herstellers geschützt sind. Sie möchten das Problem diagnostizieren und beheben.

Hier erfahren Sie etwas über ein häufiges Problem, das durch falsch konfigurierte Zertifikate verursacht wird und Ihre Protokollsammler beeinträchtigen kann.

Herausforderungen beim Proxyserver

In Microsoft Defender for Cloud Apps laufen Protokollsammler lokal, um Informationen über die verwendeten Shadow IT-Websites und Apps zu sammeln. Die Sammler beziehen Webprotokolle von Firewalls und Proxyservern entweder über das Dateiübertragungsprotokoll (File Transfer Protocol, FTP) oder das Syslog-Protokoll. Sie übertragen diese Protokolle an das Defender for Cloud Apps-Portal, wo sie analysiert werden können und die Ergebnisse den Administratoren angezeigt werden können. Dieses System ist eine wichtige Komponente in Cloud Discovery.

Protokollsammler können ihre Protokolle in der Regel problemlos in das Portal hochladen, auch wenn sie dies über einen Proxyserver tun müssen. Ein häufiges Problem kann jedoch auftreten, wenn der Protokollsammler der Stammzertifizierungsstelle (ZS) des Proxyservers nicht vertraut. Wenn dieses Vertrauensstellungsproblem besteht, kann der Protokollsammler die richtige Konfiguration nicht von Microsoft Defender for Cloud Apps abrufen oder die gesammelten Protokolle hochladen.

Die Lösung besteht darin, das ZS-Stammzertifikat des Proxyservers auf dem Protokollsammler zu installieren. Da der Protokollsammler ein Docker-Container ist, können Sie diese Aufgabe erledigen, indem Sie den exec-Befehl von Docker verwenden, um einige Bash-Befehle auf dem Sammler auszuführen.

Konfigurieren des ZS-Zertifikats des Protokollconnectors

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass der Protokollconnector dem ZS-Zertifikat vertraut.

Hinweis

Bei diesen Schritten wird davon ausgegangen, dass Sie Docker bereits eingerichtet und das Digitalbild des Protokollsammlers gestartet haben. Um diese Schritte auszuführen, benötigen Sie das API-Token, das bei der Konfiguration des Protokollsammlers im Microsoft Defender for Cloud Apps-Portal erstellt wurde.

Kopieren des ZS-Zertifikats in den Container

In der ersten Phase wird das ZS-Stammzertifikat des Proxyservers in den Container des Protokollsammlers importiert:

  1. Melden Sie sich beim Docker-Host an, und führen Sie dann den folgenden Befehl aus, um zu überprüfen, ob der Container ausgeführt wird:

    docker ps

    Suchen Sie in den Ergebnissen nach einem Container, der auf dem Digitalbild mcr.microosft.com/mcas/logcollector basiert.

    Screenshot der Ausgabe des Docker PowerShell-Befehls mit dem Protokollsammler.

  2. Um das ZA-Zertifikat in den Container zu kopieren, führen Sie diesen Befehl aus. Ersetzen Sie Ubuntu-LogCollector durch den Namen Ihres Containers:

    docker cp proxy-ca.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery

Importieren des Zertifikats in den Java KeyStore

Nachdem das Zertifikat nun in den Container des Protokollsammlers kopiert wurde, müssen Sie es im Java KeyStore installieren, damit der Protokollsammler es verwenden kann, wenn er Verbindungen herstellt. Führen Sie die folgenden Schritte aus:

  1. Führen Sie diesen Befehl aus, um eine Bash-Eingabeaufforderung zu starten, die innerhalb des Containers des Protokollsammlers ausgeführt wird. Ersetzen Sie Ubuntu-LogCollector durch den Namen Ihres Containers:

    docker exec -it Ubuntu-LogCollector /bin/bash

  2. Führen Sie an der Eingabeaufforderung bash> diese Befehle aus, um zum Java-Ordner jre zu navigieren:

    cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)"
cd bin

  3. Führen Sie diesen Befehl aus, um das Stammzertifikat zu importieren und ein Kennwort zu definieren. Ersetzen Sie <password> durch ein sicheres Kennwort Ihrer Wahl:

    ./keytool --import --noprompt --trustcacerts 
   --alias SelfSignedCert 
   --file /var/adallom/ftp/discovery/Proxy-CA.crt 
   --keystore ../lib/security/cacerts 
   --storepass <password>

  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob das Zertifikat ordnungsgemäß installiert wurde:

    ./keytool --list --keystore ../lib/security/cacerts | grep self

    Die Liste der Zertifikate sollte eines mit dem Namen SelfSignedCert.

Konfigurieren des Protokollprotokolls für die Verwendung der neuen Konfiguration

Bevor das neue Zertifikat verwendet werden kann, müssen Sie die Konfiguration des Protokollsammlers aktualisieren:

  1. Führen Sie den collector_config-Befehl im Container aus, um sicherzustellen, dass die neue Konfiguration verwendet wird. Ersetzen <apiToken> durch das Token, das beim Erstellen der Protokollsammlung im Portal erstellt wurde:

    collector_config <apiToken> ${CONSOLE} ${COLLECTOR}

    Screenshot der Ausgabe des Befehls

  2. Im Portal für Defender for Cloud Apps sollte sich der Status des Protokollsammlers von Fehlerfrei in Verbunden ändern.

    Screenshot der Protokollsammleranzeige im Defender for Cloud Apps-Portal, der zeigt, dass der Protokollsammler verbunden ist.