Automatikus naplófeltöltés konfigurálása a helyszíni Dockerrel Windows rendszeren

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.

Konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Felhőhöz készült Defender-alkalmazásokban a Windows Docker használatával.

Előfeltételek

 • Operációs rendszer:

  • Windows 10 (fall creators update)
  • Windows Server 1709+ verzió (SAC)
  • Windows Server 2019 (LTSC)
 • Lemezterület: 250 GB

 • CPU-magok: 2

 • CPU-architektúra: Intel® 64 és AMD 64

 • RAM: 4 GB

 • A tűzfal beállítása a hálózati követelményekben leírtak szerint

 • Az operációs rendszer virtualizálását engedélyezni kell a Hyper-V-vel

Fontos

 • A 250-nél több felhasználót vagy 10 millió USD-t meghaladó éves bevétellel rendelkező nagyvállalati ügyfeleknek fizetős előfizetésre van szükségük a WindowsHoz készült Docker Desktop használatához. További információ: Docker-előfizetés áttekintése.
 • A naplók gyűjtéséhez be kell jelentkeznie egy felhasználónak a Dockerbe. Javasoljuk, hogy a Docker-felhasználók kijelentkezés nélkül válasszanak le.
 • A Windows Docker hivatalosan nem támogatott VMWare virtualizálási forgatókönyvekben.
 • A Windows Docker hivatalosan nem támogatott beágyazott virtualizálási forgatókönyvekben. Ha továbbra is beágyazott virtualizálást tervez használni, tekintse meg a Docker hivatalos útmutatóját.
 • A Windows Docker további konfigurációs és megvalósítási szempontjairól további információt a Docker Desktop telepítése Windows rendszeren című témakörben talál.

Megjegyzés:

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>
docker rm <collector_name>

A naplógyűjtő teljesítménye

A naplógyűjtő óránként 50 GB mennyiségű napló sikeres kezelésére képes. A naplógyűjtési folyamat legfontosabb szűk keresztmetszetei a következők:

 • Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.

 • A virtuális gép I/O-teljesítménye – Meghatározza, hogy a naplók milyen sebességgel legyenek megírva a naplógyűjtő lemezére. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely nyomon követi, hogy a naplók milyen sebességgel érkeznek, és ezt az értéket összehasonlítja a feltöltési sebességgel. Hálózati torlódás esetén a naplógyűjtő megkezdi a naplófájlok eldobását. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

Beállítás és konfigurálás

 1. A Microsoft 365 Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

 2. A Cloud Discovery alatt válassza az Automatikus naplófeltöltés lehetőséget. Ezután válassza az Adatforrások lapot.

 3. Minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat szeretne feltölteni, hozzon létre egy megfelelő adatforrást.

  1. Válassza a +Adatforrás hozzáadása lehetőséget.
   Add a data source.
  2. Nevezze el a proxyt vagy a tűzfalat.
   Add name for data source.
  3. Válassza ki a készüléket a Forrás listáról. Ha egyéni naplóformátumot választ egy olyan hálózati berendezés használatához, amely nem szerepel a listán, a konfigurációs utasításokért tekintse meg az egyéni naplóelemző használata című témakört.
  4. Hasonlítsa össze a naplót a várt naplóformátum mintájával. Ha a naplófájl formátuma nem egyezik meg a mintával, akkor az adatforrást másként kell hozzáadnia.
  5. Állítsa be a fogadó típusát FTP, FTPS, Syslog – UDP vagy Syslog – TCP vagy Syslog – TLS értékre.

  Megjegyzés:

  A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra vagy a tűzfalra/proxyra van szükség.

  f. Minden olyan tűzfal és proxy esetében ismételje meg a műveletet, amelynek a naplói alkalmasak a hálózati forgalom meghatározására. Javasoljuk, hogy hálózati eszközönként egy dedikált adatforrást állítson be, amely lehetővé teszi a következőket:

  • Vizsgálat céljából külön monitorozza az egyes eszközök állapotát.
  • Ha az egyes eszközöket egy másik felhasználói szegmens használja, tekintse át az árnyék informatikai felderítési lehetőségeit eszközenként.
 4. Lépjen a lap felső részén található Naplógyűjtők lapra.

  1. Válassza a Naplógyűjtő hozzáadása lehetőséget.
  2. Nevezze el a naplógyűjtőt.
  3. Adja meg a Docker üzembe helyezéséhez használni kívánt gép állomás IP-címét (privát IP-címét). A gazdagép IP-címe lecserélhető a gép nevére, ha van egy DNS-kiszolgáló (vagy azzal egyenértékű), amely feloldja a gazdagép nevét.
  4. Jelölje ki az összes adatforrást , amelyhez csatlakozni szeretne a gyűjtőhöz, majd a konfiguráció mentéséhez válassza a Frissítés lehetőséget. Select data source to connect.
 5. További üzembe helyezési információk jelennek meg. Másolja a futtatási parancsot a párbeszédpanelről. A vágólap ikonnal a vágólap ikont használhatja. copy to clipboard icon. Később szüksége lesz rá.

 6. Exportálja a várt adatforrás-konfigurációt. Ez a konfiguráció azt ismerteti, hogyan kell beállítani a naplóexportálást a berendezésekben.

  Create log collector.

  Megjegyzés:

  • Egy naplógyűjtő több adatforrás kezelésére is alkalmas.
  • Másolja ki a képernyő tartalmát, mert szüksége lesz az adatokra, amikor konfigurálja a naplógyűjtőt az Felhőhöz készült Defender-alkalmazásokkal való kommunikációra. Ha a Syslog fogadótípust választotta, akkor az információk között azt is megtalálja, hogy a Syslog-figyelő melyik portot figyeli.
  • A naplóadatokat FTP-en keresztül első alkalommal küldő felhasználók számára javasoljuk az FTP-felhasználó jelszavának módosítását. További információ: Az FTP-jelszó módosítása.

2. lépés – A gép helyszíni üzembe helyezése

Az alábbi lépések a Windowsban történő üzembe helyezést írják le. A többi platform üzembe helyezési lépései kissé eltérőek.

 1. Nyisson meg egy PowerShell-terminált rendszergazdaként a Windows-gépen.

 2. Futtassa a következő parancsot a Windows Docker installer PowerShell-szkriptfájljának letöltéséhez: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

  Annak ellenőrzéséhez, hogy a telepítőt a Microsoft aláírta-e, olvassa el a telepítő aláírásának ellenőrzése című témakört.

 3. A PowerShell-szkript végrehajtásának engedélyezéséhez futtassa a Set-ExecutionPolicy RemoteSigned

 4. Futtatás: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Ez telepíti a Docker-ügyfelet a számítógépre.

  Docker is installed.

  A parancs futtatása után a gép automatikusan újraindul.

 5. Amikor a gép újra működik, futtassa ugyanazt a parancsot a PowerShellben: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

  Run PowerShell command again.

 6. Futtassa a Docker telepítőt. Válassza a WSL 2 használata Hyper-V helyett (ajánlott):

  Installing Docker desktop.

  A telepítés befejezése után a gép automatikusan újraindul.

 7. Az újraindítás befejezése után nyissa meg a Docker-ügyfelet, és lépjen végig a Docker-előfizetési szerződésen:

  Accept Docker service agreement.

 8. Ha a WSL2 telepítése nem fejeződött be, a következő előugró üzenet jelenik meg:

  WSL 2 installation is incomplete.

 9. A telepítés befejezéséhez töltse le a csomagot a Linux kernelfrissítési csomag letöltése című témakörben leírtak szerint.

 10. Nyissa meg újra a Docker Desktop-ügyfelet, és győződjön meg arról, hogy elindult:

  Open the Docker Desktop client.

 11. Futtassa a CMD-t rendszergazdaként, és írja be a portálon létrehozott futtatási parancsot. Ha proxyt kell konfigurálnia, adja hozzá a proxy IP-címét és portszámát. Ha például a proxy adatai 192.168.10.1:8080, a frissített futtatási parancs a következő:

  (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
  

  Create log collector.

 12. Ellenőrizze, hogy a gyűjtő megfelelően fut-e a következő paranccsal: docker logs <collector_name>

A következő üzenetnek kell megjelennie: Sikeresen befejeződött!

Verify that collector is running properly.

3. lépés – A hálózati berendezések helyszíni konfigurálása

Konfigurálja a hálózati tűzfalakat és proxykat, hogy rendszeresen exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel irányainak megfelelően. Például:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. lépés – A sikeres üzembe helyezés ellenőrzése a portálon

Ellenőrizze a gyűjtő állapotát a Naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakozás. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.

Verify that the collector status is Connected.

A szabályozási naplóba is léphet, és ellenőrizheti, hogy a naplók rendszeresen fel vannak-e töltve a portálra.

Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:

 1. Jelentkezzen be a tárolóba a következő paranccsal: docker exec -it <Container Name> bash
 2. Ellenőrizze a naplógyűjtő állapotát a következő paranccsal: collector_status -p

Ha az üzembe helyezés során problémákat tapasztal, tekintse meg a Cloud Discovery hibaelhárítását.

Nem kötelező – Egyéni folyamatos jelentések létrehozása

Ellenőrizze, hogy a naplók Felhőhöz készült Defender-alkalmazásokba vannak-e feltöltve, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre az Azure Active Directory felhasználói csoportjai alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.

 1. A Microsoft 365 Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

 2. A Cloud Discovery alatt válassza a Folyamatos jelentések lehetőséget.

 3. Válassza a Jelentés létrehozása gombot, és töltse ki a mezőket.

 4. A Szűrők csoportban adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.

  Megjegyzés:

  Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem kizárt. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport szerepel a jelentésben.

  Custom continuous report.

Nem kötelező – Telepítői aláírás ellenőrzése

Annak ellenőrzése, hogy a Docker-telepítőt a Microsoft aláírta-e:

 1. Kattintson a jobb gombbal a fájlra, és válassza a Tulajdonságok lehetőséget.

 2. Válassza a Digitális aláírások lehetőséget, és győződjön meg arról, hogy a digitális aláírás rendben van.

 3. Győződjön meg arról, hogy a Microsoft Corporation az aláíró neve alatt egyetlen bejegyzésként szerepel a listán.

  Digital signature valid.

  Ha a digitális aláírás érvénytelen, az azt fogja mondani , hogy ez a digitális aláírás érvénytelen:

  Digital signature not valid.

Következő lépések

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.