Bagikan melalui

Mengonfigurasi unggahan log otomatis menggunakan Docker di Azure

  • Artikel

Artikel ini menjelaskan cara mengonfigurasi unggahan log otomatis untuk laporan berkelanjutan di Defender untuk Cloud Apps menggunakan Docker di Ubuntu atau CentOS di Azure.

Prasyarat

Sebelum memulai, pastikan lingkungan Anda memenuhi persyaratan berikut:

Persyaratan Deskripsi
OS Salah satu hal berikut ini:
- Ubuntu 14.04, 16.04, 18.04, dan 20.04
- CentOS 7.2 atau yang lebih tinggi
Ruang disk 250 GB
Inti CPU 2
Arsitektur CPU Intel 64 dan AMD 64
RAM 4 GB
Konfigurasi Firewall Seperti yang didefinisikan dalam Persyaratan jaringan

Merencanakan pengumpul log Anda berdasarkan performa

Setiap pengumpul log dapat berhasil menangani kapasitas log hingga 50 GB per jam yang terdiri dari hingga 10 sumber data. Hambatan utama dalam proses pengumpulan log adalah:

  • Bandwidth jaringan - Bandwidth jaringan Anda menentukan kecepatan unggahan log.

  • Performa I/O komputer virtual - Menentukan kecepatan log ditulis ke disk pengumpul log. Pengumpul log memiliki mekanisme keselamatan bawaan yang memantau tingkat kedatangan log dan membandingkannya dengan tingkat unggahan. Dalam kasus kemacetan, pengumpul log mulai menghilangkan file log. Jika pengaturan Anda biasanya melebihi 50 GB per jam, kami sarankan Anda membagi lalu lintas antara beberapa pengumpul log.

Jika Anda memerlukan lebih dari 10 sumber data, kami sarankan Anda membagi sumber data antara beberapa pengumpul log.

Menentukan sumber data Anda

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan Cloud Apps > Cloud Discovery > Unggahan log > otomatis.

  2. Pada tab Sumber data , buat sumber data yang cocok untuk setiap firewall atau proksi tempat Anda ingin mengunggah log:

    1. Pilih Tambahkan sumber data.

    2. Dalam dialog Tambahkan sumber data, masukkan nama untuk sumber data Anda, lalu pilih jenis sumber dan penerima.

      Sebelum memilih sumber, pilih Tampilkan sampel file log yang diharapkan dan bandingkan log Anda dengan format yang diharapkan. Jika format file log Anda tidak cocok dengan sampel ini, tambahkan sumber data Anda sebagai Lainnya.

      Untuk bekerja dengan appliance jaringan yang tidak tercantum, pilih Format log Pelanggan Lain > atau Lainnya (hanya manual). Untuk informasi selengkapnya, lihat Bekerja dengan pengurai log kustom.

    Catatan

    Mengintegrasikan dengan protokol transfer aman (FTPS dan Syslog – TLS) sering memerlukan pengaturan tambahan atau firewall/proksi Anda.

Ulangi proses ini untuk setiap firewall dan proksi yang lognya dapat digunakan untuk mendeteksi lalu lintas di jaringan Anda.

Kami menyarankan agar Anda menyiapkan sumber data khusus per perangkat jaringan, memungkinkan Anda memantau status setiap perangkat secara terpisah untuk tujuan penyelidikan, dan menjelajahi Penemuan IT Bayangan per perangkat jika setiap perangkat digunakan oleh segmen pengguna yang berbeda.

Membuat pengumpul log

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan Cloud Apps > Cloud Discovery > Unggahan log > otomatis.

  2. Pada tab Pengumpul log, pilih Tambahkan pengumpul log.

  3. Dalam dialog Buat pengumpul log, masukkan detail berikut ini:

    • Nama untuk pengumpul log Anda
    • Alamat IP host, yang merupakan alamat IP privat komputer yang akan Anda gunakan untuk menyebarkan Docker. Alamat IP host juga dapat diganti dengan nama komputer, jika ada server DNS atau setara untuk menyelesaikan nama host.

    Lalu pilih kotak Sumber data untuk memilih sumber data yang ingin Anda sambungkan ke pengumpul, dan pilih Perbarui untuk menyimpan perubahan Anda. Setiap pengumpul log dapat menangani beberapa sumber data.

    Dialog Buat pengumpul log menunjukkan detail penyebaran lebih lanjut, termasuk perintah untuk mengimpor konfigurasi pengumpul. Contohnya:

    Cuplikan layar perintah untuk menyalin dari dialog Buat pengumpul log.

  4. salin ke ikon clipboard. Pilih ikon Salin di samping perintah untuk menyalinnya ke clipboard Anda.

    Detail yang ditampilkan dalam dialog Buat pengumpul log berbeda, tergantung pada jenis sumber dan penerima yang dipilih. Misalnya, jika Anda memilih Syslog, dialog menyertakan detail tentang port mana yang didengarkan pendengar syslog.

    Salin konten layar dan simpan secara lokal, karena Anda akan membutuhkannya saat mengonfigurasi pengumpul log untuk berkomunikasi dengan Defender untuk Cloud Apps.

  5. Pilih Ekspor untuk mengekspor konfigurasi sumber ke . File CSV yang menjelaskan cara mengonfigurasi ekspor log di appliance Anda.

Tip

Untuk pengguna yang mengirim data log melalui FTP untuk pertama kalinya, sebaiknya ubah kata sandi untuk pengguna FTP. Untuk informasi selengkapnya, lihat Mengubah kata sandi FTP.

Menyebarkan komputer Anda di Azure

Prosedur ini menjelaskan cara menyebarkan komputer Anda dengan Ubuntu. Langkah-langkah penyebaran untuk platform lain sedikit berbeda.

  1. Buat komputer Ubuntu baru di lingkungan Azure Anda.

  2. Setelah mesin aktif, buka port:

    1. Dalam tampilan komputer, buka Jaringan pilih antarmuka yang relevan dengan mengklik dua kali padanya.

    2. Buka Grup keamanan jaringan dan pilih grup keamanan jaringan yang relevan.

    3. Buka Aturan keamanan masuk dan klik Tambahkan.

    4. Tambahkan aturan berikut (dalam mode Tingkat Lanjut ):

      Nama Rentang port tujuan Protokol Sumber Tujuan
      caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Mana pun
      caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Mana pun
      caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Mana pun
      caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Mana pun

    Untuk informasi selengkapnya, lihat Bekerja dengan aturan keamanan.

  3. Kembali ke komputer dan klik Sambungkan untuk membuka terminal pada komputer.

  4. Ubah ke hak istimewa root menggunakan sudo -i.

  5. Jika Anda menerima persyaratan lisensi perangkat lunak, hapus instalan versi lama dan instal Docker CE dengan menjalankan perintah yang sesuai untuk lingkungan Anda:

    1. Hapus docker versi lama: yum erase docker docker-engine docker.io

    2. Instal prasyarat mesin Docker: yum install -y yum-utils

    3. Tambahkan repositori Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache

    4. Pasang mesin Docker: yum -y install docker-ce

    5. Mulai Docker

      systemctl start docker
systemctl enable docker

    6. Uji penginstalan Docker: docker run hello-world

  6. Jalankan perintah yang telah Anda salin sebelumnya dari dialog Buat pengumpul log. Contohnya:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Untuk memverifikasi bahwa pengumpul log berjalan dengan benar, jalankan perintah berikut: Docker logs <collector_name>. Anda akan mendapatkan hasilnya: Selesai dengan sukses!

Mengonfigurasi pengaturan lokal appliance jaringan

Konfigurasikan firewall dan proksi jaringan Anda untuk mengekspor log secara berkala ke port Syslog khusus direktori FTP sesuai dengan petunjuk dalam dialog. Contohnya:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Memverifikasi penyebaran Anda di aplikasi Defender untuk Cloud

Periksa status pengumpul dalam tabel Pengumpul log dan pastikan statusnya Tersambung. Jika Dibuat, ada kemungkinan koneksi pengumpul log dan penguraian belum selesai.

Contohnya:

Cuplikan layar status pengumpul yang terhubung.

Anda juga dapat membuka log Tata Kelola dan memverifikasi bahwa log sedang diunggah secara berkala ke portal.

Atau, Anda dapat memeriksa status pengumpul log dari dalam kontainer docker menggunakan perintah berikut:

  1. Masuk ke kontainer dengan menggunakan perintah ini: docker exec -it <Container Name> bash
  2. Verifikasi status pengumpul log menggunakan perintah ini: collector_status -p

Jika Anda mengalami masalah selama penyebaran, lihat Pemecahan masalah penemuan cloud.

Opsional - Membuat laporan berkelanjutan kustom

Verifikasi bahwa log sedang diunggah ke Defender untuk Cloud Apps dan laporan tersebut dibuat. Setelah verifikasi, buat laporan kustom. Anda dapat membuat laporan penemuan kustom berdasarkan grup pengguna Microsoft Entra. Misalnya, jika Anda ingin melihat penggunaan cloud departemen pemasaran Anda, impor grup pemasaran menggunakan fitur impor grup pengguna. Kemudian buat laporan kustom untuk grup ini. Anda juga dapat menyesuaikan laporan berdasarkan tag alamat IP atau rentang alamat IP.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah Cloud Discovery, pilih Laporan berkelanjutan.

  3. Klik tombol Buat laporan dan isi bidang.

  4. Di bawah Filter , Anda dapat memfilter data menurut sumber data, menurut grup pengguna yang diimpor, atau menurut tag dan rentang alamat IP.

    Catatan

    Saat menerapkan filter pada laporan berkelanjutan, pilihan akan disertakan, tidak dikecualikan. Misalnya, jika Anda menerapkan filter pada grup pengguna tertentu, hanya grup pengguna tersebut yang akan disertakan dalam laporan.

    Cuplikan layar laporan berkelanjutan kustom.

Menghapus pengumpul log Anda

Jika Anda memiliki pengumpul log yang sudah ada dan ingin menghapusnya sebelum menyebarkannya lagi, atau jika Anda hanya ingin menghapusnya, jalankan perintah berikut:

docker stop <collector_name>
docker rm <collector_name>

Langkah berikutnya

Mengubah konfigurasi FTP pengumpul log

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.