Konfigurieren Sie einen Protokollsammler, um einen Proxy mit Microsoft Defender for Cloud Apps zu verbinden
Protokollsammler sind ein wichtiger Bestandteil von Microsoft Defender for Cloud Apps. Sie sammeln Kommunikationsprotokolle von Firewalls und Proxyservern und senden sie zur Analyse an Defender for Cloud Apps. Einige Proxyserver können verhindern, dass sie ihre gesammelten Protokolle reibungslos senden.
Bei Contoso ist der Rollout von Microsoft Defender for Cloud Apps abgeschlossen, aber Sie haben eine Lücke in der Protokollsammlung von drei Büros festgestellt. Bei einer eingehenderen Untersuchung des Problems stellen Sie fest, dass alle diese Büros durch Proxyserver desselben Herstellers geschützt sind. Sie möchten das Problem diagnostizieren und beheben.
Hier erfahren Sie etwas über ein häufiges Problem, das durch falsch konfigurierte Zertifikate verursacht wird und Ihre Protokollsammler beeinträchtigen kann.
Herausforderungen beim Proxyserver
In Microsoft Defender for Cloud Apps laufen Protokollsammler lokal, um Informationen über die verwendeten Shadow IT-Websites und Apps zu sammeln. Die Sammler beziehen Webprotokolle von Firewalls und Proxyservern entweder über das Dateiübertragungsprotokoll (File Transfer Protocol, FTP) oder das Syslog-Protokoll. Sie übertragen diese Protokolle an das Defender for Cloud Apps-Portal, wo sie analysiert werden können und die Ergebnisse den Administratoren angezeigt werden können. Dieses System ist eine wichtige Komponente in Cloud Discovery.
Protokollsammler können ihre Protokolle in der Regel problemlos in das Portal hochladen, auch wenn sie dies über einen Proxyserver tun müssen. Ein häufiges Problem kann jedoch auftreten, wenn der Protokollsammler der Stammzertifizierungsstelle (ZS) des Proxyservers nicht vertraut. Wenn dieses Vertrauensstellungsproblem besteht, kann der Protokollsammler die richtige Konfiguration nicht von Microsoft Defender for Cloud Apps abrufen oder die gesammelten Protokolle hochladen.
Die Lösung besteht darin, das ZS-Stammzertifikat des Proxyservers auf dem Protokollsammler zu installieren. Da der Protokollsammler ein Docker-Container ist, können Sie diese Aufgabe erledigen, indem Sie den exec
-Befehl von Docker verwenden, um einige Bash-Befehle auf dem Sammler auszuführen.
Konfigurieren des ZS-Zertifikats des Protokollconnectors
Führen Sie die folgenden Schritte aus, um sicherzustellen, dass der Protokollconnector dem ZS-Zertifikat vertraut.
Hinweis
Bei diesen Schritten wird davon ausgegangen, dass Sie Docker bereits eingerichtet und das Digitalbild des Protokollsammlers gestartet haben. Um diese Schritte auszuführen, benötigen Sie das API-Token, das bei der Konfiguration des Protokollsammlers im Microsoft Defender for Cloud Apps-Portal erstellt wurde.
Kopieren des ZS-Zertifikats in den Container
In der ersten Phase wird das ZS-Stammzertifikat des Proxyservers in den Container des Protokollsammlers importiert:
Melden Sie sich beim Docker-Host an, und führen Sie dann den folgenden Befehl aus, um zu überprüfen, ob der Container ausgeführt wird:
docker ps
Suchen Sie in den Ergebnissen nach einem Container, der auf dem Digitalbild
mcr.microosft.com/mcas/logcollector
basiert.Um das ZA-Zertifikat in den Container zu kopieren, führen Sie diesen Befehl aus. Ersetzen Sie
Ubuntu-LogCollector
durch den Namen Ihres Containers:docker cp proxy-ca.crt Ubuntu-LogCollector:/var/adallom/ftp/discovery
Importieren des Zertifikats in den Java KeyStore
Nachdem das Zertifikat nun in den Container des Protokollsammlers kopiert wurde, müssen Sie es im Java KeyStore installieren, damit der Protokollsammler es verwenden kann, wenn er Verbindungen herstellt. Führen Sie die folgenden Schritte aus:
Führen Sie diesen Befehl aus, um eine Bash-Eingabeaufforderung zu starten, die innerhalb des Containers des Protokollsammlers ausgeführt wird. Ersetzen Sie
Ubuntu-LogCollector
durch den Namen Ihres Containers:docker exec -it Ubuntu-LogCollector /bin/bash
Führen Sie an der Eingabeaufforderung
bash>
diese Befehle aus, um zum Java-Ordnerjre
zu navigieren:cd "$(find /opt/jdk/*/jre -name "bin" -printf '%h' -quit)" cd bin
Führen Sie diesen Befehl aus, um das Stammzertifikat zu importieren und ein Kennwort zu definieren. Ersetzen Sie
<password>
durch ein sicheres Kennwort Ihrer Wahl:./keytool --import --noprompt --trustcacerts --alias SelfSignedCert --file /var/adallom/ftp/discovery/Proxy-CA.crt --keystore ../lib/security/cacerts --storepass <password>
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob das Zertifikat ordnungsgemäß installiert wurde:
./keytool --list --keystore ../lib/security/cacerts | grep self
Die Liste der Zertifikate sollte eines mit dem Namen
SelfSignedCert
.
Konfigurieren des Protokollprotokolls für die Verwendung der neuen Konfiguration
Bevor das neue Zertifikat verwendet werden kann, müssen Sie die Konfiguration des Protokollsammlers aktualisieren:
Führen Sie den
collector_config
-Befehl im Container aus, um sicherzustellen, dass die neue Konfiguration verwendet wird. Ersetzen<apiToken>
durch das Token, das beim Erstellen der Protokollsammlung im Portal erstellt wurde:collector_config <apiToken> ${CONSOLE} ${COLLECTOR}
Im Portal für Defender for Cloud Apps sollte sich der Status des Protokollsammlers von Fehlerfrei in Verbunden ändern.