Configuración de la carga automática de registros mediante Docker local en Linux

Puede configurar la carga automática de registros para informes continuos en Defender for Cloud Apps mediante Docker en un servidor Ubuntu o CentOS local.

Importante

Si usa RHEL versión 7.1 o posterior, debe usar Podman para la recopilación automática de registros en lugar de Docker. Para obtener más información, consulte Configuración de la carga automática de registros mediante Podman.

Requisitos previos

Especificación	Descripción
Sistema operativo	Uno de los siguientes: Ubuntu 14.04, 16.04, 18.04 y 20.04 CentOS 7.2 o superior
Espacio en disco	250 GB
Núcleos de CPU	2
Arquitectura de CPU	Intel 64 y AMD 64
RAM	4 GB

Asegúrese de establecer el firewall según sea necesario. Para obtener más información, vea Requisitos de red.

Eliminación de un recopilador de registros existente

Si tiene un recopilador de registros existente y quiere quitarlo antes de implementarlo de nuevo, o si simplemente quiere quitarlo, ejecute los siguientes comandos:

docker stop <collector_name>
docker rm <collector_name>

Rendimiento del recopilador de registros

El recopilador de registros puede controlar correctamente la capacidad de registro de hasta 50 GB por hora. Los principales cuellos de botella en el proceso de recopilación de registros son:

• Ancho de banda de red: el ancho de banda de red determina la velocidad de carga del registro.

• Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y lo compara con la velocidad de carga. En los casos de congestión, el recopilador de registros comienza a quitar los archivos de registro. Si la configuración suele superar los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.

Paso 1: Configuración del portal web: Definir orígenes de datos y vincularlos a un recopilador de registros

1. En el portal de Microsoft Defender, seleccione la pestaña Configuración> cloudapps>Cloud Discovery>Carga> automática de registrosOrígenes de datos.

2. Para cada firewall o proxy desde el que desea cargar registros, cree un origen de datos coincidente.

   1. Seleccione +Agregar origen de datos.

      

   2. Asigne un nombre al proxy o firewall.

      

   3. Seleccione el dispositivo en la lista Origen . Si selecciona Formato de registro personalizado para trabajar con un dispositivo de red que no aparece, consulte Trabajar con el analizador de registros personalizado para obtener instrucciones de configuración.

   4. Compare el registro con el ejemplo del formato de registro esperado. Si el formato del archivo de registro no coincide con este ejemplo, debe agregar el origen de datos como Otro.

   5. Establezca el tipo de receptor en FTP, FTPS, Syslog – UDP o Syslog – TCP o Syslog – TLS.

      Nota:

      La integración con protocolos de transferencia segura (FTPS y Syslog – TLS) a menudo requiere configuraciones adicionales para el firewall o proxy.

   6. Repita este proceso para cada firewall y proxy cuyos registros se pueden usar para detectar el tráfico en la red. Se recomienda configurar un origen de datos dedicado por dispositivo de red para permitirle:

   • Supervise el estado de cada dispositivo por separado, para fines de investigación.
   • Explore la detección de Shadow IT por dispositivo, si cada dispositivo lo usa un segmento de usuario diferente.

3. En la parte superior de la página, seleccione la pestaña Recopiladores de registros y, a continuación, seleccione Agregar recopilador de registros.

4. En el cuadro de diálogo Crear recopilador de registros :

   1. En el campo Nombre , escriba un nombre significativo para el recopilador de registros.

   2. Asigne un nombre al recopilador de registros y escriba la dirección IP del host (dirección IP privada) de la máquina que usará para implementar Docker. La dirección IP del host se puede reemplazar por el nombre de equipo, si hay un servidor DNS (o equivalente) que resolverá el nombre de host.

   3. Seleccione todos los orígenes de datos que desea conectar al recopilador y seleccione Actualizar para guardar la configuración.

      Aparece más información de implementación en la sección Pasos siguientes , incluido un comando que usará más adelante para importar la configuración del recopilador. Si seleccionó Syslog, esta información también incluye datos sobre el puerto en el que está escuchando el agente de escucha de Syslog.

   4. Use el Botón Copiar para copiar el comando en el Portapapeles y guardarlo en una ubicación independiente.

   5. Use la Botón Exportar para exportar la configuración de origen de datos esperada. En esta configuración se describe cómo debe establecer la exportación de registros en los dispositivos.

Para los usuarios que envían datos de registro a través de FTP por primera vez, se recomienda cambiar la contraseña del usuario FTP. Para obtener más información, consulte Cambio de la contraseña de FTP.

Paso 2: Implementación local de la máquina

En los pasos siguientes se describe la implementación en Ubuntu. Los pasos de implementación para otras plataformas admitidas pueden ser ligeramente diferentes.

1. Abra un terminal en la máquina Ubuntu.

2. Cambie a privilegios raíz mediante la ejecución de:

   sudo -i
   

3. Para omitir un proxy en la red, ejecute los dos comandos siguientes:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Si acepta los términos de licencia de software, desinstale las versiones anteriores e instale Docker CE ejecutando los comandos adecuados para su entorno:

   CentOS

   1. Quitar versiones anteriores de Docker:

      yum erase docker docker-engine docker.io
      

   2. Instalación de los requisitos previos del motor de Docker:

      yum install -y yum-utils
      

   3. Agregar repositorio de Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Instalación del motor de Docker:

      yum -y install docker-ce
      

   5. Inicio de Docker:

      systemctl start docker
      systemctl enable docker
      

   6. Prueba de la instalación de Docker:

      docker run hello-world
      

   Red Hat 7

   1. Quitar versiones anteriores de Docker:

      yum erase docker docker-engine docker.io
      

   2. Instalación de los requisitos previos del motor de Docker:

      yum install -y yum-utils
      yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
      

   3. Agregar repositorio de Docker:

      sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
      

   4. Instalar dependencias:

      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
      sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
      wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
      sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
      sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
      sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
      

   5. Instalación del motor de Docker:

      sudo yum install docker-ce
      

   6. Inicio de Docker:

      systemctl start docker
      systemctl enable docker
      

   7. Prueba de la instalación de Docker: docker run hello-world

   Red Hat 8

   1. Quite el módulo container-tools:

      yum module remove container-tools
      

   2. Agregue el repositorio de Docker CE:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      

   3. Modifique el archivo de repositorio yum para usar paquetes CentOS 8:

      sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo
      

   4. Instalación de Docker CE:

      yum install docker-ce
      

   5. Inicio de Docker:

      systemctl start docker
      systemctl enable docker
      

   6. Prueba de la instalación de Docker:

      docker run hello-world
      

   Ubuntu

   1. Quitar versiones anteriores de Docker:

      apt-get remove docker docker-engine docker.io
      

   2. Si va a instalar en Ubuntu 14.04, instale el paquete linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Instalación de los requisitos previos del motor de Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Compruebe que el UID de huella digital de apt-key es docker@docker.com:

      apt-key fingerprint | grep uid
      

   5. Instale el motor de Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Prueba de la instalación de Docker:

      docker run hello-world
      

5. Implemente la imagen del recopilador en la máquina de hospedaje mediante la importación de la configuración del recopilador. Importe la configuración copiando el comando run generado en el portal. Si necesita configurar un proxy, agregue la dirección IP del proxy y el número de puerto. Por ejemplo, si los detalles del proxy son 172.31.255.255:8080, el comando de ejecución actualizado es:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=tenant.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

6. Compruebe que el recopilador se ejecuta correctamente con el siguiente comando:

   docker logs <collector_name>
   

   Debería ver el mensaje: ¡Ha finalizado correctamente! Por ejemplo:

   

Paso 3: Configuración local de los dispositivos de red

Configure los firewalls de red y los servidores proxy para exportar periódicamente los registros al puerto syslog dedicado o al directorio FTP según las instrucciones del cuadro de diálogo. Por ejemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Paso 4: Comprobación de la implementación correcta en el portal

Compruebe el estado del recopilador en la tabla Recopilador de registros y asegúrese de que el estado es Conectado. Si se crea, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.

También puede ir al registro de gobernanza y comprobar que los registros se cargan periódicamente en el portal.

Como alternativa, puede comprobar el estado del recopilador de registros desde dentro del contenedor de Docker mediante los siguientes comandos:

1. Inicie sesión en el contenedor:

   docker exec -it <Container Name> bash
   

2. Compruebe el estado del recopilador de registros:

   collector_status -p
   

Si tiene problemas durante la implementación, consulte Solución de problemas de detección de nube.

Opcional: creación de informes continuos personalizados

Compruebe que los registros se cargan en Defender for Cloud Apps y que se generan informes. Después de la comprobación, cree informes personalizados. Puede crear informes de detección personalizados basados en Microsoft Entra grupos de usuarios. Por ejemplo, si desea ver el uso en la nube del departamento de marketing, importe el grupo de marketing mediante la característica importar grupo de usuarios. A continuación, cree un informe personalizado para este grupo. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.

1. En el portal de Microsoft Defender, seleccione Settings Cloud Apps Cloud Discovery Continuous reports (Configuración> deinformes continuos deCloud Apps>Cloud Discovery>).

2. Seleccione el botón Crear informe y rellene los campos.

3. En Filtros , puede filtrar los datos por origen de datos, por grupo de usuarios importados o por intervalos y etiquetas de direcciones IP.

   Nota:

   Al aplicar filtros en informes continuos, se incluirá la selección, no se excluirá. Por ejemplo, si aplica un filtro en un grupo de usuarios determinado, solo ese grupo de usuarios se incluirá en el informe.

   

Pasos siguientes

Modificación de la configuración de FTP del recopilador de registros

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.