Automatikus naplófeltöltés konfigurálása a Dockerrel az Azure-ban

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.

Az automatikus naplófeltöltést Felhőhöz készült Defender-alkalmazásokban konfigurálhatja a folyamatos jelentésekhez az Ubuntu, Red Hat Enterprise Linux (RHEL) vagy CentOS rendszeren futó Docker használatával az Azure-ban.

Előfeltételek

• Operációs rendszer:

  • Ubuntu 14.04, 16.04, 18.04 és 20.04
  • RHEL 7.2 vagy újabb
  • CentOS 7.2 vagy újabb

• Lemezterület: 250 GB

• CPU-magok: 2

• CPU-architektúra: Intel® 64 és AMD 64

• RAM: 4 GB

• A tűzfal beállítása a hálózati követelményekben leírtak szerint

Megjegyzés:

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>
docker rm <collector_name>

A naplógyűjtő teljesítménye

A naplógyűjtő legfeljebb 10 adatforrásból álló, óránként legfeljebb 50 GB-os naplókapacitást képes kezelni. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:

• Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.

• A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

Megjegyzés:

Ha több mint 10 adatforrásra van szüksége, javasoljuk, hogy ossza fel az adatforrásokat több naplógyűjtő között.

Beállítás és konfigurálás

1. lépés – Webportál konfigurálása: Adatforrások megadása és naplógyűjtőhöz társítása

1. A Microsoft 365 Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

2. A Cloud Discovery alatt válassza az Automatikus naplófeltöltés lehetőséget. Ezután válassza az Adatforrások lapot.

3. Minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat szeretne feltölteni, hozzon létre egy megfelelő adatforrást.

   1. Kattintson az Adatforrás hozzáadása lehetőségre.
      
   2. Nevezze el a proxyt vagy a tűzfalat.
      
   3. Válassza ki a készüléket a Forrás listáról. Ha egyéni naplóformátumot választ egy olyan hálózati berendezés használatához, amely nem szerepel a listán, a konfigurációs utasításokért tekintse meg az egyéni naplóelemző használata című témakört.
   4. Hasonlítsa össze a naplót a várt naplóformátum mintájával. Ha a naplófájl formátuma nem egyezik meg a mintával, akkor az adatforrást másként kell hozzáadnia.
   5. Állítsa be a fogadó típusát FTP, FTPS, Syslog – UDP vagy Syslog – TCP vagy Syslog – TLS értékre.

   Megjegyzés:

   A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.

   f. Minden olyan tűzfal és proxy esetében ismételje meg a műveletet, amelynek a naplói alkalmasak a hálózati forgalom meghatározására. Javasoljuk, hogy hálózati eszközönként egy dedikált adatforrást állítson be, amely lehetővé teszi a következőket:

   • Vizsgálat céljából külön monitorozza az egyes eszközök állapotát.
   • Ha az egyes eszközöket egy másik felhasználói szegmens használja, tekintse át az árnyék informatikai felderítési lehetőségeit eszközenként.

4. Lépjen a lap felső részén található Naplógyűjtők lapra.

   1. Kattintson a Naplógyűjtő felvétele gombra.
   2. Nevezze el a naplógyűjtőt.
   3. Adja meg a Docker üzembe helyezéséhez használni kívánt gép állomás IP-címét (privát IP-címét). A gazdagép IP-címe lecserélhető a gép nevére, ha van egy DNS-kiszolgáló (vagy azzal egyenértékű), amely feloldja a gazdagép nevét.
   4. Jelölje ki a gyűjtőhöz csatlakozni kívánt összes adatforrást, és a konfiguráció mentéséhez kattintson a Frissítés gombra.
      

5. További üzembe helyezési információk jelennek meg. Másolja a futtatási parancsot a párbeszédpanelről. A vágólap ikonja a másolás használatával is használható.

6. Exportálja a várt adatforrás-konfigurációt. Ez a konfiguráció azt ismerteti, hogyan kell beállítani a naplóexportálást a berendezésekben.

   

   Megjegyzés:

   • Egy naplógyűjtő több adatforrás kezelésére is alkalmas.
   • Másolja ki a képernyő tartalmát, mert szüksége lesz az adatokra, amikor konfigurálja a naplógyűjtőt az Felhőhöz készült Defender-alkalmazásokkal való kommunikációra. Ha a Syslog fogadótípust választotta, akkor az információk között azt is megtalálja, hogy a Syslog-figyelő melyik portot figyeli.
   • A naplóadatokat FTP-en keresztül első alkalommal küldő felhasználók számára javasoljuk az FTP-felhasználó jelszavának módosítását. További információ: Az FTP-jelszó módosítása.

2. lépés – A gép üzembe helyezése az Azure-ban

Megjegyzés:

Az alábbi lépések az Ubuntuban történő üzembe helyezést írják le. A többi platform üzembe helyezési lépései kissé eltérőek.

1. Hozzon létre egy új Ubuntu-gépet az Azure-környezetben.

2. A gép üzembe helyezése után nyissa meg a portokat a következővel:

   1. Gépi nézetben válassza ki a megfelelő felületet a gépi nézetben, és kattintson rá duplán.
   2. Nyissa meg a Hálózati biztonsági csoportot , és válassza ki a megfelelő hálózati biztonsági csoportot.
   3. Nyissa meg a bejövő biztonsági szabályokat, és kattintson a Hozzáadás gombra.
   4. Adja hozzá a következő szabályokat ( Speciális módban):

   Name	Célporttartományok	Protokoll	Forrás	Destination
   caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Bármelyik
   caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Bármelyik
   caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Bármelyik
   caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Bármelyik

   

3. Térjen vissza a géphez, és kattintson a Csatlakozás gombra egy terminál megnyitásához a gépen.

4. Váltás gyökérjogjogokra a következő használatával sudo -i: .

5. Ha elfogadja a szoftverlicenc feltételeit, távolítsa el a régi verziókat, és telepítse a Docker CE-t a környezetének megfelelő parancsok futtatásával:

CentOS

1. Távolítsa el a Docker régi verzióit: yum erase docker docker-engine docker.io

2. A Docker-motor előfeltételeinek telepítése: yum install -y yum-utils

3. Docker-adattár hozzáadása:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Telepítse a Docker-motort: yum -y install docker-ce

5. A Docker indítása

   systemctl start docker
   systemctl enable docker
   

6. Docker telepítésének tesztelése: docker run hello-world

Red Hat 7

1. Távolítsa el a Docker régi verzióit: yum erase docker docker-engine docker.io

2. A Docker-motor előfeltételeinek telepítése:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Docker-adattár hozzáadása:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. Függőségek telepítése:

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Telepítse a Docker-motort: sudo yum install docker-ce

6. A Docker indítása

   systemctl start docker
   systemctl enable docker
   

7. Docker telepítésének tesztelése: docker run hello-world

Red Hat 8

1. Távolítsa el a tárolóeszközök modult: yum module remove container-tools

2. Adja hozzá a Docker CE-adattárat: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. Módosítsa a yum-adattárfájlt a CentOS 8/RHEL 8 csomagok használatára: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Telepítse a Docker CE-t: yum install docker-ce

5. A Docker indítása

   systemctl start docker
   systemctl enable docker
   

6. Docker telepítésének tesztelése: docker run hello-world

Ubuntu

1. Távolítsa el a Docker régi verzióit: apt-get remove docker docker-engine docker.io

2. Ha az Ubuntu 14.04-et telepíti, telepítse a linux-image-extra csomagot.

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. A Docker-motor előfeltételeinek telepítése:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. Ellenőrizze, hogy az apt-key ujjlenyomat UID-e:docker@docker.comapt-key fingerprint | grep uid

5. Telepítse a Docker-motort:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Docker telepítésének tesztelése: docker run hello-world

1. A Microsoft 365 Defender portáljának Naplógyűjtő létrehozása ablakában másolja a parancsot a gyűjtő konfigurációjának importálásához az üzemeltető gépen:

   

2. Futtassa a parancsot a naplógyűjtő üzembe helyezéséhez.

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

3. A naplógyűjtő megfelelő működésének ellenőrzéséhez futtassa a következő parancsot: Docker logs <collector_name>. A következő eredményt kell kapnia: Sikeresen befejeződött!

   

3. lépés – A hálózati berendezések helyszíni konfigurálása

Konfigurálja a hálózati tűzfalakat és proxykat, hogy rendszeresen exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel irányainak megfelelően. Például:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. lépés – A sikeres üzembe helyezés ellenőrzése a Felhőhöz készült Defender Apps portálon

Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakozás. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.

A szabályozási naplóba is léphet, és ellenőrizheti, hogy a naplók rendszeresen fel vannak-e töltve a portálra.

Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:

1. Jelentkezzen be a tárolóba a következő paranccsal: docker exec -it <Container Name> bash
2. Ellenőrizze a naplógyűjtő állapotát a következő paranccsal: collector_status -p

Ha az üzembe helyezés során problémákat tapasztal, tekintse meg a Cloud Discovery hibaelhárítását.

Nem kötelező – Egyéni folyamatos jelentések létrehozása

Ellenőrizze, hogy a naplók Felhőhöz készült Defender-alkalmazásokba vannak-e feltöltve, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre az Azure Active Directory felhasználói csoportjai alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.

1. A Microsoft 365 Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

2. A Cloud Discovery alatt válassza a Folyamatos jelentések lehetőséget.

3. Kattintson a Jelentés létrehozása gombra, és töltse ki a mezőket.

4. A Szűrők csoportban adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.

   Megjegyzés:

   Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem kizárt. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport szerepel a jelentésben.

   

Következő lépések

A naplógyűjtő FTP-konfigurációjának módosítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.