Megosztás a következőn keresztül:


Automatikus naplófeltöltés konfigurálása a Docker használatával az Azure-ban

Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltéseket a folyamatos jelentésekhez Defender for Cloud Apps az Ubuntu vagy CentOS rendszerű Docker használatával az Azure-ban.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy a környezet megfelel a következő követelményeknek:

Követelmény Leírás
Operációs rendszer Az alábbiak egyike:
- Ubuntu 14.04, 16.04, 18.04 és 20.04
- CentOS 7.2 vagy újabb
Lemezterület 250 GB
PROCESSZORmagok 2
CPU-architektúra Intel 64 és AMD 64
KOS 4 GB
Tűzfal konfigurálása A hálózati követelményekben meghatározottak szerint

Naplógyűjtők tervezése teljesítmény szerint

Minden naplógyűjtő legfeljebb 10 adatforrásból álló óránkénti 50 GB-os naplókapacitást képes kezelni. A naplógyűjtési folyamat fő szűk keresztmetszetei a következők:

  • Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.

  • A virtuális gép I/O-teljesítménye – Meghatározza a naplók naplógyűjtő lemezre való írásának sebességét. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely figyeli a naplók beérkezési sebességét, és összehasonlítja azt a feltöltési sebességgel. Torlódás esetén a naplógyűjtő elkezdi eldobni a naplófájlokat. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza el a forgalmat több naplógyűjtő között.

Ha 10-nél több adatforrásra van szüksége, javasoljuk, hogy ossza fel az adatforrásokat több naplógyűjtő között.

Adatforrások meghatározása

  1. A Microsoft Defender Portalon válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.

  2. Az Adatforrások lapon hozzon létre egy megfelelő adatforrást minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat szeretne feltölteni:

    1. Válassza az Adatforrás hozzáadása lehetőséget.

    2. Az Adatforrás hozzáadása párbeszédpanelen adja meg az adatforrás nevét, majd válassza ki a forrás és a fogadó típusát.

      A forrás kiválasztása előtt válassza a Minta megtekintése a várt naplófájlból lehetőséget, és hasonlítsa össze a naplót a várt formátummal. Ha a naplófájl formátuma nem egyezik meg ezzel a mintával, adja hozzá az adatforrást Másként.

      Ha olyan hálózati berendezést szeretne használni, amely nem szerepel a listán, válassza az Egyéb > ügyfélnapló formátuma vagy az Egyéb (csak manuális) lehetőséget. További információ: Az egyéni naplóelemző használata.

    Megjegyzés:

    A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.

Ismételje meg ezt a folyamatot minden olyan tűzfal és proxy esetében, amelynek naplói a hálózat forgalmának észlelésére használhatók.

Azt javasoljuk, hogy állítson be egy dedikált adatforrást hálózati eszközönként, amely lehetővé teszi az egyes eszközök állapotának külön-külön történő monitorozását vizsgálati célokra, valamint az eszközönkénti árnyék it-felderítés felderítését, ha az egyes eszközöket egy másik felhasználói szegmens használja.

Naplógyűjtő létrehozása

  1. A Microsoft Defender Portalon válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.

  2. A Naplógyűjtők lapon válassza a Naplógyűjtő hozzáadása lehetőséget.

  3. A Naplógyűjtő létrehozása párbeszédpanelen adja meg a következő adatokat:

    • A naplógyűjtő neve
    • A gazdagép IP-címe, amely annak a gépnek a magánhálózati IP-címe, amelyet a Docker üzembe helyezéséhez használni fog. A gazdagép IP-címe lecserélhető a gép nevére is, ha van DNS-kiszolgáló vagy azzal egyenértékű a gazdagép nevének feloldásához.

    Ezután jelölje ki az Adatforrás(ok) mezőt a gyűjtőhöz csatlakoztatni kívánt adatforrások kiválasztásához, majd válassza a Frissítés lehetőséget a módosítások mentéséhez. Minden naplógyűjtő több adatforrást is képes kezelni.

    A Naplógyűjtő létrehozása párbeszédpanelen további üzembe helyezési adatok láthatók, beleértve a gyűjtő konfigurációjának importálására szolgáló parancsot is. Például:

    Képernyőkép a naplógyűjtő létrehozása párbeszédpanelről másolandó parancsról.

  4. Válassza a másolás a vágólapra ikont.Másolja a vágólapra a parancs melletti Másolás ikont.

    A Naplógyűjtő létrehozása párbeszédpanelen megjelenő részletek a kiválasztott forrás- és fogadótípustól függően eltérőek. Ha például a Syslog lehetőséget választotta, a párbeszédpanelen látható annak a portnak a részletei, amelyen a syslog-figyelő figyel.

    Másolja ki a képernyő tartalmát, és mentse őket helyileg, mivel szüksége lesz rájuk, amikor konfigurálja a naplógyűjtőt, hogy kommunikáljon Defender for Cloud Apps.

  5. Válassza az Exportálás lehetőséget a forráskonfiguráció .CSV fájlba való exportálásához, amely leírja, hogyan konfigurálhatja a naplóexportálást a berendezésekben.

Tipp

Az FTP-en keresztül első alkalommal naplóadatokat küldő felhasználók esetében javasoljuk, hogy módosítsa az FTP-felhasználó jelszavát. További információ: Az FTP-jelszó módosítása.

A gép üzembe helyezése az Azure-ban

Ez az eljárás bemutatja, hogyan helyezheti üzembe a gépet az Ubuntu használatával. A többi platform üzembe helyezési lépései kissé eltérnek.

  1. Hozzon létre egy új Ubuntu-gépet az Azure-környezetben.

  2. A gép üzembe helyezése után nyissa meg a portokat:

    1. Gépnézetben válassza ki a megfelelő felületet a Gépi nézetben, és kattintson rá duplán.

    2. Lépjen a Hálózati biztonsági csoport elemre, és válassza ki a megfelelő hálózati biztonsági csoportot.

    3. Lépjen a Bejövő biztonsági szabályok elemre , és kattintson a Hozzáadás gombra.

    4. Adja hozzá a következő szabályokat ( Speciális módban):

      Name (Név) Célporttartományok Protocol (Protokoll) Source (Forrás) Destination (Cél)
      caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Tetszőleges
      caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Tetszőleges
      caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Tetszőleges
      caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Tetszőleges

    További információ: Biztonsági szabályok használata.

  3. Vissza a géphez, és kattintson a Csatlakozás gombra egy terminál megnyitásához a gépen.

  4. Váltson gyökérszintű jogosultságokra a használatával sudo -i.

  5. Ha elfogadja a szoftverlicenc-feltételeket, távolítsa el a régi verziókat, és telepítse a Docker CE-t a környezetének megfelelő parancsok futtatásával:

    1. Távolítsa el a Docker régi verzióit: yum erase docker docker-engine docker.io

    2. A Docker-motor előfeltételeinek telepítése: yum install -y yum-utils

    3. Docker-adattár hozzáadása:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      
    4. Telepítse a Docker-motort: yum -y install docker-ce

    5. A Docker indítása

      systemctl start docker
      systemctl enable docker
      
    6. A Docker telepítésének tesztelése: docker run hello-world

  6. Futtassa a korábban a Naplógyűjtő létrehozása párbeszédpanelen kimásolt parancsot. Például:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    
  7. A naplógyűjtő megfelelő működésének ellenőrzéséhez futtassa a következő parancsot: Docker logs <collector_name>. A következő eredményt kell kapnia: Sikeresen befejeződött!

Hálózati berendezés helyszíni beállításainak konfigurálása

Konfigurálja a hálózati tűzfalakat és proxykat úgy, hogy rendszeres időközönként exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel útmutatásai szerint. Például:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Az üzembe helyezés ellenőrzése a Defender for Cloud Apps

Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakoztatva. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.

Például:

Csatlakoztatott gyűjtő állapotának képernyőképe.

A cégirányítási naplóban ellenőrizheti, hogy a naplók rendszeres időközönként fel vannak-e töltve a portálra.

Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:

  1. Jelentkezzen be a tárolóba az alábbi paranccsal: docker exec -it <Container Name> bash
  2. Ellenőrizze a naplógyűjtő állapotát az alábbi paranccsal: collector_status -p

Ha problémákat tapasztal az üzembe helyezés során, tekintse meg a felhőfelderítés hibaelhárításával foglalkozó cikket.

Nem kötelező – Egyéni folyamatos jelentések létrehozása

Ellenőrizze, hogy a naplók fel vannak-e töltve Defender for Cloud Apps, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre Microsoft Entra felhasználói csoportok alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.

  1. A Microsoft Defender Portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.

  2. A Cloud Discovery területen válassza a Folyamatos jelentések lehetőséget.

  3. Kattintson a Jelentés létrehozása gombra, és töltse ki a mezőket.

  4. A Szűrők területen adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.

    Megjegyzés:

    Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem lesz kizárva. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport fog szerepelni a jelentésben.

    Képernyőkép egy egyéni folyamatos jelentésről.

A naplógyűjtő eltávolítása

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>
docker rm <collector_name>

Következő lépések

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.