Megosztás a következőn keresztül:

Automatikus naplófeltöltés konfigurálása a helyszíni Dockerrel Windows rendszeren

  • Cikk

Konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Felhőhöz készült Defender-alkalmazásokban a Windows Docker használatával.

Előfeltételek

  • Architektúra-specifikációk:

    Specifikáció Leírás
    Operációs rendszer Az alábbiak egyike:
  • Windows 10 (fall creators update)
  • Windows Server 1709+ verzió (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Lemezterület 250 GB
    CPU-magok 2
    CPU-architektúra Intel 64 és AMD 64
    KOS 4 GB

    A támogatott Docker-architektúrák listáját a Docker telepítési dokumentációjában találja.

  • Állítsa be a tűzfalat igény szerint. További információ: Hálózati követelmények.

  • Az operációs rendszer virtualizálását engedélyezni kell a Hyper-V-vel.

Fontos

  • A 250-nél több felhasználót vagy 10 millió USD-t meghaladó éves bevétellel rendelkező nagyvállalati ügyfeleknek fizetős előfizetésre van szükségük a WindowsHoz készült Docker Desktop használatához. További információ: Docker-előfizetés áttekintése.
  • A naplók gyűjtéséhez be kell jelentkeznie egy felhasználónak a Dockerbe. Javasoljuk, hogy a Docker-felhasználók kijelentkezés nélkül válasszanak le.
  • A Windows Docker hivatalosan nem támogatott VMWare virtualizálási forgatókönyvekben.
  • A Windows Docker hivatalosan nem támogatott beágyazott virtualizálási forgatókönyvekben. Ha továbbra is beágyazott virtualizálást tervez használni, tekintse meg a Docker hivatalos útmutatóját.
  • A Windows Docker további konfigurációs és megvalósítási szempontjairól további információt a Docker Desktop telepítése Windows rendszeren című témakörben talál.

Meglévő naplógyűjtő eltávolítása

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>
docker rm <collector_name>

A naplógyűjtő teljesítménye

A naplógyűjtő akár 50 GB/óra naplókapacitást is képes kezelni. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:

  • Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.

  • A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

1. lépés – Webportál konfigurálása

Az adatforrások definiálásához és egy naplógyűjtőhöz való csatolásához kövesse az alábbi lépéseket. Egyetlen naplógyűjtő több adatforrást is képes kezelni.

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>Automatikus naplófeltöltés>adatforrások lapját.

  2. Hozzon létre megfelelő adatforrást minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat kívánt feltölteni:

    1. Válassza a +Adatforrás hozzáadása lehetőséget.

      Képernyőkép az Adatforrás hozzáadása gombról.

    2. Nevezze el a proxyt vagy a tűzfalat.

      Képernyőkép az Adatforrás hozzáadása párbeszédpanelről

    3. Válassza ki a készüléket a Forrás listáról. Ha egyéni naplóformátumot választ egy olyan hálózati berendezés használatához, amely nem szerepel a listán, a konfigurációs utasításokért tekintse meg az egyéni naplóelemző használata című témakört.

    4. Hasonlítsa össze a naplót a várt naplóformátum mintájával. Ha a naplófájl formátuma nem egyezik meg a mintával, akkor az adatforrást másként kell hozzáadnia.

    5. Állítsa be a fogadó típusát FTP, FTPS, Syslog – UDP vagy Syslog – TCP vagy Syslog – TLS értékre.

      Feljegyzés

      A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra van szükség a tűzfalhoz/proxyhoz.

    6. Minden olyan tűzfal és proxy esetében ismételje meg a műveletet, amelynek a naplói alkalmasak a hálózati forgalom meghatározására. Javasoljuk, hogy hálózati eszközönként állítson be egy dedikált adatforrást, amely lehetővé teszi a következőket:

      • Vizsgálat céljából külön monitorozza az egyes eszközök állapotát.
      • Ha az egyes eszközöket egy másik felhasználói szegmens használja, tekintse át az árnyék informatikai felderítési lehetőségeit eszközenként.

  3. A lap tetején válassza a Naplógyűjtők lapot, majd a Naplógyűjtő hozzáadása lehetőséget.

  4. A Naplógyűjtő létrehozása párbeszédpanelen:

    1. A Név mezőben adjon meg egy értelmes nevet a naplógyűjtőnek.

    2. Adjon nevet a naplógyűjtőnek, és adja meg a Docker üzembe helyezéséhez használni kívánt gép állomás IP-címét (privát IP-címét). A gazdagép IP-címe lecserélhető a gép nevére, ha van egy DNS-kiszolgáló (vagy azzal egyenértékű), amely feloldja a gazdagép nevét.

    3. Jelölje ki az összes adatforrást , amelyhez csatlakozni szeretne a gyűjtőhöz, majd a konfiguráció mentéséhez válassza a Frissítés lehetőséget.

      A további üzembe helyezési információk a Következő lépések szakaszban jelennek meg, beleértve a gyűjtő konfigurációjának importálásához később használt parancsot is. Ha a Syslogot választotta, ez az információ azt is tartalmazza, hogy a Syslog-figyelő melyik portot figyeli.

    4. másolás a vágólap ikonjára. A Másolás gombbal másolja a parancsot a vágólapra, és mentse egy másik helyre.

    5. Exportálás Az Exportálás gombbal exportálhatja a várt adatforrás-konfigurációt. Ez a konfiguráció azt ismerteti, hogyan kell beállítani a naplóexportálást a berendezésekben.

A naplóadatokat FTP-en keresztül első alkalommal küldő felhasználók számára javasoljuk az FTP-felhasználó jelszavának módosítását. További információ: Az FTP-jelszó módosítása.

2. lépés – A gép helyszíni üzembe helyezése

Az alábbi lépések a Windowsban történő üzembe helyezést írják le. A többi platform üzembe helyezési lépései kissé eltérőek.

  1. Nyisson meg egy PowerShell-terminált rendszergazdaként a Windows-gépen.

  2. Futtassa a következő parancsot a Windows Docker installer PowerShell-szkriptfájljának letöltéséhez:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Annak ellenőrzéséhez, hogy a telepítőt a Microsoft aláírta-e, olvassa el a telepítő aláírásának ellenőrzése című témakört.

  3. A PowerShell-szkript végrehajtásának engedélyezéséhez futtassa a következőt:

    Set-ExecutionPolicy RemoteSigned`

  4. A Docker-ügyfél számítógépre való telepítéséhez futtassa a következőt:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    A gép a parancs futtatása után automatikusan újraindul.

  5. Amikor a gép újra működik, futtassa újra ugyanazt a parancsot:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Futtassa a Docker-telepítőt, és válassza ki a WSL 2-t Hyper-V helyett.

    A telepítés befejezése után a gép automatikusan újraindul.

  7. Az újraindítás befejezése után nyissa meg a Docker-ügyfelet, és fogadja el a Docker-előfizetési szerződést.

  8. Ha a WSL2 telepítése nem fejeződött be, egy üzenet jelzi, hogy a WSL 2 Linux kernel egy külön MSI-frissítési csomag használatával van telepítve.

  9. A telepítés befejezéséhez töltse le a csomagot. További információ: A Linux kernelfrissítési csomag letöltése.

  10. Nyissa meg újra a Docker Desktop-ügyfelet, és győződjön meg arról, hogy elindult.

  11. Nyisson meg egy parancssort rendszergazdaként, és adja meg a portálról korábban másolt futtatási parancsot az 1. lépés – Webportál konfigurációjában.

    Ha proxyt kell konfigurálnia, adja hozzá a proxy IP-címét és portszámát. Ha például a proxy adatai 172.31.255.255:8080, a frissített futtatási parancs a következő:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Annak ellenőrzéséhez, hogy a gyűjtő megfelelően működik-e, futtassa a következőt:

    docker logs <collector_name>

    A következő üzenetnek kell megjelennie: Sikeresen befejeződött! Például:

    Képernyőkép egy parancsról, amelyet a gyűjtő megfelelően futtat.

3. lépés – A hálózati berendezések helyszíni konfigurálása

Konfigurálja a hálózati tűzfalakat és proxykat, hogy rendszeresen exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel irányainak megfelelően. Példa:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. lépés – A sikeres üzembe helyezés ellenőrzése a portálon

Ellenőrizze a gyűjtő állapotát a naplógyűjtő táblában, és győződjön meg arról, hogy az állapot csatlakoztatva van. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.

Ellenőrizze, hogy a gyűjtő állapota csatlakoztatva van-e.

A szabályozási naplóba is léphet, és ellenőrizheti, hogy a naplók rendszeresen fel vannak-e töltve a portálra.

Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:

  1. Jelentkezzen be a tárolóba:

    docker exec -it <Container Name> bash

  2. Ellenőrizze a naplógyűjtő állapotát:

    collector_status -p

Ha az üzembe helyezés során problémákat tapasztal, tekintse meg a felhőfelderítés hibaelhárítását.

Nem kötelező – Egyéni folyamatos jelentések létrehozása

Ellenőrizze, hogy a naplók Felhőhöz készült Defender-alkalmazásokba vannak-e feltöltve, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre a Microsoft Entra felhasználói csoportjai alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>Folyamatos jelentések lehetőséget.

  2. Válassza a Jelentés létrehozása gombot, és töltse ki a mezőket.

  3. A Szűrők csoportban adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.

    Feljegyzés

    Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem kizárt. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport szerepel a jelentésben.

    Egyéni folyamatos jelentés.

Nem kötelező – Telepítői aláírás ellenőrzése

Annak ellenőrzése, hogy a Docker-telepítőt a Microsoft aláírta-e:

  1. Kattintson a jobb gombbal a fájlra, és válassza a Tulajdonságok lehetőséget.

  2. Válassza a Digitális aláírások lehetőséget, és győződjön meg arról, hogy a digitális aláírás rendben van.

  3. Győződjön meg arról, hogy a Microsoft Corporation az aláíró neve alatt egyetlen bejegyzésként szerepel a listán.

    Érvényes digitális aláírás.

    Ha a digitális aláírás érvénytelen, az azt fogja mondani , hogy ez a digitális aláírás érvénytelen:

    A digitális aláírás érvénytelen.

Következő lépések

A naplógyűjtő FTP-konfigurációjának módosítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.