Configuración de la carga de registros automática con una instancia local de Docker en Windows

Puede configurar la carga de registros automática para los informes continuos de Defender for Cloud Apps con Docker y en Windows.

Requisitos previos

• Especificaciones de arquitectura:

  Especificación	Descripción
  Sistema operativo	Uno de los siguientes: Windows 10 (Fall Creators Update) Windows Server versión 1709+ (SAC) Windows Server 2019 (LTSC)
  Espacio en disco	250 GB
  Núcleos de CPU	2
  Arquitectura de CPU	Intel 64 y AMD 64
  RAM	4 GB

  Para ver la lista de arquitecturas de Docker admitidas, consulte la documentación de instalación de Docker.

• Configure el firewall según sea necesario. Para obtener más información, consulte Requisitos de red.

• La virtualización en el sistema operativo debe estar habilitada con Hyper-V.

Importante

• Los clientes empresariales con más de 250 usuarios o más de 10 millones de USD en ingresos anuales necesitan una suscripción de pago para usar Docker Desktop para Windows. Para obtener más información, consulte Introducción a la suscripción de Docker.
• Un usuario debe iniciar sesión para que Docker recopile registros. Se recomienda indicar a los usuarios de Docker que se desconecten sin cerrar la sesión.
• Docker para Windows no se admite oficialmente en escenarios de virtualización de VMWare.
• Docker para Windows no se admite oficialmente en escenarios de virtualización anidados. Si todavía tiene previsto usar la virtualización anidada, consulte la guía oficial de Docker.
• Para obtener información sobre consideraciones de configuración e implementación adicionales para Docker para Windows, consulte Instalación de Docker Desktop en Windows.

Eliminación de un recopilador de registros existente

Si tiene un recopilador de registros existente y desea quitarlo antes de implementarlo de nuevo, o si simplemente desea quitarlo, ejecute los siguientes comandos:

docker stop <collector_name>
docker rm <collector_name>

Rendimiento del recopilador de registros

El recopilador de registros puede trabajar bien con una capacidad de registros de hasta 50 GB por hora. Los principales cuellos de botella del proceso de recopilación de registros son:

• Ancho de banda de red: el ancho de banda de red determina la velocidad de carga de registros.

• Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y la compara con la velocidad de carga. En caso de congestión, el recopilador de registros comienza a quitar archivos de registro. Si la configuración normalmente supera los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.

Paso 1: Configuración del portal web

Siga estos pasos para definir los orígenes de datos y vincularlos a un recopilador de registros. Un único recopilador de registros puede administrar varios orígenes de datos.

1. En el portal de Microsoft Defender, seleccione la pestaña Configuración>Aplicaciones en la nube>Cloud Discovery>Carga automática de registros>Orígenes de datos.

2. Cree un origen de datos coincidente para cada firewall o servidor proxy desde el que quiera cargar registros:

   1. Seleccione Agregar origen de datos.

      

   2. Ponga nombre al servidor proxy o firewall.

      

   3. Seleccione el dispositivo en la lista Origen. Si selecciona Formato de los registros personalizados para trabajar con un dispositivo de red que no aparezca en la lista, consulte el artículo sobre cómo trabajar con el analizador de registros personalizados para ver las instrucciones de configuración.

   4. Compare el registro con el ejemplo del formato de registro esperado. Si el formato de archivo del registro no coincide con este ejemplo, debe agregar el origen de datos como Otro.

   5. Establezca el tipo de receptor en FTP, FTPS, Syslog – UDP, Syslog – TCP o Syslog – TLS.

      Nota:

      Para la integración con protocolos de transferencia segura (FTPS y Syslog – TLS), a menudo se necesita una configuración adicional del firewall/proxy.

   6. Repita este proceso para cada servidor proxy y firewall cuyos registros se puedan usar para detectar tráfico en la red. Le recomendamos que configure un origen de datos dedicado por dispositivo de red para poder hacer lo siguiente:

      • Supervisar el estado de cada dispositivo por separado para fines de investigación.
      • Explorar Shadow IT Discovery de cada dispositivo, si cada uno de ellos lo usa un segmento de usuarios distinto.

3. En la parte de arriba de la página, seleccione la pestaña Recopiladores de registros y luego elija Agregar recopilador de registros.

4. En el cuadro de diálogo Crear recopilador de registros:

   1. En el campo Nombre, escriba un nombre descriptivo del recopilador de registros.

   2. Asigne un nombre al recopilador de registros y escriba la dirección IP del host (dirección IP privada) de la máquina que usará para implementar el Docker. La dirección IP del host puede reemplazarse con el nombre del equipo si un servidor DNS (o equivalente) resolverá el nombre de host.

   3. Seleccione todos los orígenes de datos que desea conectar al recopilador y seleccione Actualizar para guardar la configuración.

      Hay disponible información adicional sobre la implementación en la sección Pasos siguientes, así como un comando que se usará más adelante para importar la configuración del recopilador. Si ha seleccionado Syslog, esta información también incluye los datos sobre el puerto en el que escucha el agente de escucha de Syslog.

   4. Use el botón Copiar para copiar el comando en el Portapapeles y guárdelo en una ubicación independiente.

   5. Use el botón Exportar para exportar la configuración prevista del origen de datos. Esta configuración describe cómo debe establecer la exportación de registro en los dispositivos.

Para los usuarios que envían datos de registro a través de FTP por primera vez, se recomienda cambiar la contraseña para el usuario FTP. Para obtener más información, consulte Cambio de la contraseña de FTP.

Paso 2: Implementación local de la máquina

En los pasos siguientes se describe la implementación en Windows. Los pasos de implementación en otras plataformas son ligeramente diferentes.

1. Abra un terminal de PowerShell como administrador en la máquina Windows.

2. Ejecute el siguiente comando para descargar el archivo de script PowerShell del instalador de Windows Docker:

   Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
   

   Para validar que el programa de instalación está firmado por Microsoft, vea Validar firma del programa de instalación.

3. Para habilitar la ejecución del script de PowerShell, ejecute lo siguiente:

   Set-ExecutionPolicy RemoteSigned`
   

4. Para instalar el cliente de Docker en la máquina, ejecute lo siguiente:

   & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
   

   La máquina se reiniciará automáticamente después de ejecutar el comando.

5. Cuando la máquina esté en funcionamiento de nuevo, ejecute el mismo comando de nuevo:

   & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
   

6. Ejecute el instalador de Docker y elija usar WSL 2 en lugar de Hyper-V.

   Una vez completada la instalación, la máquina se reinicia automáticamente de nuevo.

7. Una vez reiniciada, abra el cliente de Docker y acepte el contrato de suscripción de Docker.

8. Si no se ha completado la instalación de WSL2, aparecerá un mensaje para indicar que el kernel de Linux de WSL 2 se instala mediante un paquete de actualización MSI independiente.

9. Realice la instalación descargando el paquete. Para obtener más información, consulte Descarga del paquete de actualización del kernel de Linux.

10. Vuelva a abrir el cliente de Docker Desktop y asegúrese de que se ha iniciado.

11. Abra el símbolo del sistema como administrador y escriba el comando run que copió anteriormente del portal en el Paso 1: Configuración del portal web.

    Si necesita configurar un proxy, agregue la dirección IP del proxy y el número de puerto. Por ejemplo, si los detalles de proxy son 172.31.255.255:8080, el comando de ejecución actualizado es:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

12. Para comprobar que el recopilador se está ejecutando correctamente, ejecute lo siguiente:

    docker logs <collector_name>
    

    Debería ver el mensaje: Ha finalizado correctamente. Por ejemplo:

    

Paso 3: Configuración local de los dispositivos de red

Configure los firewalls y los servidores proxy de la red de modo que exporten periódicamente los registros al puerto Syslog dedicado del directorio FTP según las instrucciones del cuadro de diálogo. Por ejemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Paso 4: Comprobación de la implementación correcta en el portal

Compruebe el estado del recopilador en la tabla Recopilador de registros y compruebe que el estado es Conectado. Si es Creado, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.

También puede ir al registro de gobernanza y comprobar que los registros se están cargando periódicamente en el portal.

Como alternativa, puede comprobar el estado del recopilador de registros desde el contenedor de Docker mediante los siguientes comandos:

1. Inicie sesión en el contenedor:

   docker exec -it <Container Name> bash
   

2. Compruebe el estado del recopilador de registros:

   collector_status -p
   

Si tiene problemas durante la implementación, consulte Solución de problemas de Cloud Discovery.

Opcional: crear informes continuos personalizados

Compruebe que se cargan los registros de Defender for Cloud Apps y que se generan los informes. Después de la comprobación, cree informes personalizados. Puede crear informes de detección personalizados basados en grupos de usuarios de Microsoft Entra. Por ejemplo, si quiere ver el uso de la nube por parte del departamento de marketing, importe el grupo de marketing mediante la característica para importar grupos de usuarios. Después, cree un informe personalizado para este grupo. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.

1. En el portal de Microsoft Defender, seleccione Configuración>Aplicaciones en la nube>Cloud Discovery>Informes continuos.

2. Seleccione el botón Crear informe y rellene los campos.

3. En Filtros, puede filtrar los datos por origen de datos, por grupo de usuarios importados o por etiquetas e intervalos de direcciones IP.

   Nota:

   Al aplicar filtros en los informes continuos, la selección no se excluye, sino que se incluye. Por ejemplo, si aplica un filtro en un grupo de usuarios determinado, solo se incluirá ese grupo de usuarios en el informe.

   

Opcional: validar la firma del programa de instalación

Para asegurarse de que el programa de instalación de Docker está firmado por Microsoft:

1. Haga clic con el botón derecho en el archivo y seleccione Propiedades.

2. Seleccione Firmas digitales y asegúrese de que indica Esta firma digital es correcta.

3. Asegúrese de que Microsoft Corporation aparece como la única entrada en Nombre del firmante.

   

   Si la firma digital no es válida, se indicará La firma digital no es válida:

   

Pasos siguientes

Modificación de la configuración FTP del recopilador de registros

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.