Automatikus naplófeltöltés konfigurálása a Docker használatával az Azure-ban
Ez a cikk azt ismerteti, hogyan konfigurálhatja az automatikus naplófeltöltéseket a folyamatos jelentésekhez Defender for Cloud Apps az Ubuntu vagy CentOS rendszerű Docker használatával az Azure-ban.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy a környezet megfelel a következő követelményeknek:
Követelmény | Leírás |
---|---|
Operációs rendszer | Az alábbiak egyike: - Ubuntu 14.04, 16.04, 18.04 és 20.04 - CentOS 7.2 vagy újabb |
Lemezterület | 250 GB |
PROCESSZORmagok | 2 |
CPU-architektúra | Intel 64 és AMD 64 |
KOS | 4 GB |
Tűzfal konfigurálása | A hálózati követelményekben meghatározottak szerint |
Naplógyűjtők tervezése teljesítmény szerint
Minden naplógyűjtő legfeljebb 10 adatforrásból álló óránkénti 50 GB-os naplókapacitást képes kezelni. A naplógyűjtési folyamat fő szűk keresztmetszetei a következők:
Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.
A virtuális gép I/O-teljesítménye – Meghatározza a naplók naplógyűjtő lemezre való írásának sebességét. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely figyeli a naplók beérkezési sebességét, és összehasonlítja azt a feltöltési sebességgel. Torlódás esetén a naplógyűjtő elkezdi eldobni a naplófájlokat. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza el a forgalmat több naplógyűjtő között.
Ha 10-nél több adatforrásra van szüksége, javasoljuk, hogy ossza fel az adatforrásokat több naplógyűjtő között.
Adatforrások meghatározása
A Microsoft Defender Portalon válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.
Az Adatforrások lapon hozzon létre egy megfelelő adatforrást minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat szeretne feltölteni:
Válassza az Adatforrás hozzáadása lehetőséget.
Az Adatforrás hozzáadása párbeszédpanelen adja meg az adatforrás nevét, majd válassza ki a forrás és a fogadó típusát.
A forrás kiválasztása előtt válassza a Minta megtekintése a várt naplófájlból lehetőséget, és hasonlítsa össze a naplót a várt formátummal. Ha a naplófájl formátuma nem egyezik meg ezzel a mintával, adja hozzá az adatforrást Másként.
Ha olyan hálózati berendezést szeretne használni, amely nem szerepel a listán, válassza az Egyéb > ügyfélnapló formátuma vagy az Egyéb (csak manuális) lehetőséget. További információ: Az egyéni naplóelemző használata.
Megjegyzés:
A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.
Ismételje meg ezt a folyamatot minden olyan tűzfal és proxy esetében, amelynek naplói a hálózat forgalmának észlelésére használhatók.
Azt javasoljuk, hogy állítson be egy dedikált adatforrást hálózati eszközönként, amely lehetővé teszi az egyes eszközök állapotának külön-külön történő monitorozását vizsgálati célokra, valamint az eszközönkénti árnyék it-felderítés felderítését, ha az egyes eszközöket egy másik felhasználói szegmens használja.
Naplógyűjtő létrehozása
A Microsoft Defender Portalon válassza a Beállítások > Cloud Apps > Cloud Discovery > Automatikus naplófeltöltés lehetőséget.
A Naplógyűjtők lapon válassza a Naplógyűjtő hozzáadása lehetőséget.
A Naplógyűjtő létrehozása párbeszédpanelen adja meg a következő adatokat:
- A naplógyűjtő neve
- A gazdagép IP-címe, amely annak a gépnek a magánhálózati IP-címe, amelyet a Docker üzembe helyezéséhez használni fog. A gazdagép IP-címe lecserélhető a gép nevére is, ha van DNS-kiszolgáló vagy azzal egyenértékű a gazdagép nevének feloldásához.
Ezután jelölje ki az Adatforrás(ok) mezőt a gyűjtőhöz csatlakoztatni kívánt adatforrások kiválasztásához, majd válassza a Frissítés lehetőséget a módosítások mentéséhez. Minden naplógyűjtő több adatforrást is képes kezelni.
A Naplógyűjtő létrehozása párbeszédpanelen további üzembe helyezési adatok láthatók, beleértve a gyűjtő konfigurációjának importálására szolgáló parancsot is. Például:
Válassza a Másolja a vágólapra a parancs melletti Másolás ikont.
A Naplógyűjtő létrehozása párbeszédpanelen megjelenő részletek a kiválasztott forrás- és fogadótípustól függően eltérőek. Ha például a Syslog lehetőséget választotta, a párbeszédpanelen látható annak a portnak a részletei, amelyen a syslog-figyelő figyel.
Másolja ki a képernyő tartalmát, és mentse őket helyileg, mivel szüksége lesz rájuk, amikor konfigurálja a naplógyűjtőt, hogy kommunikáljon Defender for Cloud Apps.
Válassza az Exportálás lehetőséget a forráskonfiguráció .CSV fájlba való exportálásához, amely leírja, hogyan konfigurálhatja a naplóexportálást a berendezésekben.
Tipp
Az FTP-en keresztül első alkalommal naplóadatokat küldő felhasználók esetében javasoljuk, hogy módosítsa az FTP-felhasználó jelszavát. További információ: Az FTP-jelszó módosítása.
A gép üzembe helyezése az Azure-ban
Ez az eljárás bemutatja, hogyan helyezheti üzembe a gépet az Ubuntu használatával. A többi platform üzembe helyezési lépései kissé eltérnek.
Hozzon létre egy új Ubuntu-gépet az Azure-környezetben.
A gép üzembe helyezése után nyissa meg a portokat:
Gépnézetben válassza ki a megfelelő felületet a Gépi nézetben, és kattintson rá duplán.
Lépjen a Hálózati biztonsági csoport elemre, és válassza ki a megfelelő hálózati biztonsági csoportot.
Lépjen a Bejövő biztonsági szabályok elemre , és kattintson a Hozzáadás gombra.
Adja hozzá a következő szabályokat ( Speciális módban):
Name (Név) Célporttartományok Protocol (Protokoll) Source (Forrás) Destination (Cél) caslogcollector_ftp 21 TCP Your appliance's IP address's subnet
Tetszőleges caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet
Tetszőleges caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet
Tetszőleges caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet
Tetszőleges
További információ: Biztonsági szabályok használata.
Vissza a géphez, és kattintson a Csatlakozás gombra egy terminál megnyitásához a gépen.
Váltson gyökérszintű jogosultságokra a használatával
sudo -i
.Ha elfogadja a szoftverlicenc-feltételeket, távolítsa el a régi verziókat, és telepítse a Docker CE-t a környezetének megfelelő parancsok futtatásával:
Távolítsa el a Docker régi verzióit:
yum erase docker docker-engine docker.io
A Docker-motor előfeltételeinek telepítése:
yum install -y yum-utils
Docker-adattár hozzáadása:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache
Telepítse a Docker-motort:
yum -y install docker-ce
A Docker indítása
systemctl start docker systemctl enable docker
A Docker telepítésének tesztelése:
docker run hello-world
Futtassa a korábban a Naplógyűjtő létrehozása párbeszédpanelen kimásolt parancsot. Például:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
A naplógyűjtő megfelelő működésének ellenőrzéséhez futtassa a következő parancsot:
Docker logs <collector_name>
. A következő eredményt kell kapnia: Sikeresen befejeződött!
Hálózati berendezés helyszíni beállításainak konfigurálása
Konfigurálja a hálózati tűzfalakat és proxykat úgy, hogy rendszeres időközönként exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel útmutatásai szerint. Például:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Az üzembe helyezés ellenőrzése a Defender for Cloud Apps
Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakoztatva. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.
Például:
A cégirányítási naplóban ellenőrizheti, hogy a naplók rendszeres időközönként fel vannak-e töltve a portálra.
Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:
- Jelentkezzen be a tárolóba az alábbi paranccsal:
docker exec -it <Container Name> bash
- Ellenőrizze a naplógyűjtő állapotát az alábbi paranccsal:
collector_status -p
Ha problémákat tapasztal az üzembe helyezés során, tekintse meg a felhőfelderítés hibaelhárításával foglalkozó cikket.
Nem kötelező – Egyéni folyamatos jelentések létrehozása
Ellenőrizze, hogy a naplók fel vannak-e töltve Defender for Cloud Apps, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre Microsoft Entra felhasználói csoportok alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.
A Microsoft Defender Portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.
A Cloud Discovery területen válassza a Folyamatos jelentések lehetőséget.
Kattintson a Jelentés létrehozása gombra, és töltse ki a mezőket.
A Szűrők területen adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.
Megjegyzés:
Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem lesz kizárva. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport fog szerepelni a jelentésben.
A naplógyűjtő eltávolítása
Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:
docker stop <collector_name>
docker rm <collector_name>
Következő lépések
Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.