Configurare il caricamento automatico dei log usando Docker locale in Windows

È possibile configurare il caricamento automatico dei log per i report continui in Defender per il cloud App usando un Docker in Windows.

Prerequisiti

• Specifiche dell'architettura:

  Specifica	Descrizione
  Sistema operativo	Uno dei seguenti: Windows 10 (fall creators update) Windows Server versione 1709+ (SAC) Windows Server 2019 (LTSC)
  Spazio su disco	250 GB
  Core CPU	2
  Architettura della CPU	Intel 64 e AMD 64
  RAM	4 GB

  Per un elenco delle architetture Docker supportate, vedere la documentazione sull'installazione di Docker.

• Impostare il firewall in base alle esigenze. Per altre informazioni, vedere Requisiti di rete.

• La virtualizzazione nel sistema operativo deve essere abilitata con Hyper-V.

Importante

• I clienti aziendali con più di 250 utenti o più di $ 10 milioni di DOLLARI in ricavi annuali richiedono una sottoscrizione a pagamento per l'uso di Docker Desktop per Windows. Per altre informazioni, vedere Panoramica della sottoscrizione di Docker.
• Per raccogliere i log, è necessario che un utente sia connesso a Docker. È consigliabile consigliare agli utenti docker di disconnettersi senza disconnettersi.
• Docker per Windows non è ufficialmente supportato negli scenari di virtualizzazione VMWare.
• Docker per Windows non è ufficialmente supportato negli scenari di virtualizzazione annidati. Se si prevede ancora di usare la virtualizzazione annidata, vedere la guida ufficiale di Docker.
• Per informazioni sulle considerazioni aggiuntive sulla configurazione e sull'implementazione per Docker per Windows, vedere Installare Docker Desktop in Windows.

Rimuovere un agente di raccolta log esistente

Se si dispone di un agente di raccolta log esistente e si vuole rimuoverlo prima di distribuirlo di nuovo o se si vuole semplicemente rimuoverlo, eseguire i comandi seguenti:

docker stop <collector_name>
docker rm <collector_name>

Prestazioni dell'agente di raccolta log

L'agente di raccolta log può gestire correttamente la capacità di log fino a 50 GB all'ora. I principali colli di bottiglia nel processo di raccolta dei log sono:

• Larghezza di banda della rete: la larghezza di banda della rete determina la velocità di caricamento dei log.

• Prestazioni di I/O della macchina virtuale: determina la velocità con cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log ha un meccanismo di protezione integrato che controlla la velocità con cui arrivano i log e la confronta con la velocità di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare file di log. Se generalmente la configurazione supera i 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.

Passaggio 1: configurazione del portale Web

Usare la procedura seguente per definire le origini dati e collegarle a un agente di raccolta log. Un singolo agente di raccolta log può gestire più origini dati.

1. Nel portale di Microsoft Defender selezionare Impostazioni>app>cloud Cloud Discovery>Scheda Caricamento automatico dei>log Origini dati.

2. Per ogni firewall o proxy da cui si vogliono caricare i log, creare un'origine dati corrispondente:

   1. Selezionare +Aggiungi origine dati.

      

   2. Assegnare un nome al proxy o al firewall.

      

   3. Selezionare il dispositivo dall'elenco Origine. Se si seleziona Formato del log personalizzato per usare un'appliance di rete non elencata, vedere Usare il parser di log personalizzato per le istruzioni di configurazione.

   4. Confrontare il log con l'esempio del formato di log previsto. Se il formato del file di log non corrisponde a questo esempio, è necessario aggiungere l'origine dati come Altro.

   5. Impostare Tipo di ricevitore su FTP, FTPS, Syslog - UDP, Syslog - TCP o Syslog - TLS.

      Nota

      L'integrazione con protocolli di trasferimento sicuro (FTPS e Syslog - TLS) spesso richiede impostazioni aggiuntive per il firewall o il proxy.

   6. Ripetere questa procedura per ogni firewall e proxy i cui log possono essere usati per rilevare il traffico nella rete. È consigliabile configurare un'origine dati dedicata per ogni dispositivo di rete per consentire di:

      • Monitorare separatamente lo stato di ogni dispositivo, per scopi di analisi.
      • Esplorare Shadow IT Discovery per i singoli dispositivi, se ogni dispositivo viene usato da un segmento di utenti diverso.

3. Nella parte superiore della pagina selezionare la scheda Agenti di raccolta log e quindi selezionare Aggiungi agente di raccolta log.

4. Nella finestra di dialogo Crea agente di raccolta log:

   1. Nel campo Nome immettere un nome significativo per l'agente di raccolta log.

   2. Assegnare un nome all'agente di raccolta log e immettere l'indirizzo IP host (indirizzo IP privato) del computer che verrà usato per distribuire Docker. L'indirizzo IP host può essere sostituito con il nome del computer, se è presente un server DNS (o equivalente) che risolverà il nome host.

   3. Selezionare tutte le origini dati da connettere all'agente di raccolta e selezionare Aggiorna per salvare la configurazione.

      Altre informazioni sulla distribuzione vengono visualizzate nella sezione Passaggi successivi , incluso un comando che verrà usato in un secondo momento per importare la configurazione dell'agente di raccolta. Se è stato selezionato Syslog, queste informazioni includono anche i dati sulla porta su cui è in ascolto il listener Syslog.

   4. Usare il pulsante Copia per copiare il comando negli Appunti e salvarlo in un percorso separato.

   5. Usare il pulsante Esporta per esportare la configurazione dell'origine dati prevista. Questa configurazione descrive come impostare l'esportazione dei log nelle appliance.

Per gli utenti che inviano i dati di log tramite FTP per la prima volta, è consigliabile modificare la password per l'utente FTP. Per altre informazioni, vedere Modifica della password FTP.

Passaggio 2: Distribuzione del computer locale

La procedura seguente descrive la distribuzione in Windows. I passaggi per la distribuzione in altre piattaforme sono leggermente diversi.

1. Aprire un terminale di PowerShell come amministratore nel computer Windows.

2. Eseguire il comando seguente per scaricare il file di script di PowerShell del programma di installazione di Windows Docker:

   Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
   

   Per verificare che il programma di installazione sia firmato da Microsoft, vedere Convalidare la firma del programma di installazione.

3. Per abilitare l'esecuzione di script di PowerShell, eseguire:

   Set-ExecutionPolicy RemoteSigned`
   

4. Per installare il client Docker nel computer, eseguire:

   & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
   

   Il computer viene riavviato automaticamente dopo l'esecuzione del comando.

5. Quando il computer è operativo di nuovo, eseguire di nuovo lo stesso comando:

   & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
   

6. Eseguire il programma di installazione di Docker, selezionando per usare WSL 2 anziché Hyper-V.

   Al termine dell'installazione, il computer viene riavviato di nuovo.

7. Al termine del riavvio, aprire il client Docker e accettare il contratto di sottoscrizione Docker.

8. Se l'installazione di WSL2 non è stata completata, viene visualizzato un messaggio per indicare che il kernel WSL 2 Linux è installato usando un pacchetto di aggiornamento MSI separato.

9. Completare l'installazione scaricando il pacchetto. Per altre informazioni, vedere Scaricare il pacchetto di aggiornamento del kernel Linux.

10. Aprire di nuovo il client Docker Desktop e assicurarsi che sia stato avviato.

11. Aprire un prompt dei comandi come amministratore e immettere il comando di esecuzione copiato in precedenza dal portale in Passaggio 1 - Configurazione del portale Web.

    Se è necessario configurare un proxy, aggiungere l'indirizzo IP e il numero di porta del proxy. Ad esempio, se i dettagli del proxy sono 172.31.255.255:8080, il comando di esecuzione aggiornato è:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

12. Per verificare che l'agente di raccolta sia in esecuzione correttamente, eseguire:

    docker logs <collector_name>
    

    Verrà visualizzato il messaggio: Completato correttamente. Per esempio:

    

Passaggio 3: Configurazione locale delle appliance di rete

Configurare i firewall e i proxy della rete per esportare periodicamente i log sulla porta Syslog dedicata della directory FTP secondo le istruzioni visualizzate nella finestra di dialogo. Ad esempio:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Passaggio 4: Verificare la corretta distribuzione nel portale

Controllare lo stato dell'agente di raccolta nella tabella dell'agente di raccolta log e verificare che lo stato sia Connesso. Se lo stato è Creato, è possibile che la connessione e l'analisi dell'agente di raccolta log non siano ancora state completate.

È anche possibile passare al log di governance per verificare che i log vengano caricati periodicamente nel portale.

In alternativa, è possibile controllare lo stato dell'agente di raccolta log dall'interno del contenitore Docker usando i comandi seguenti:

1. Accedere al contenitore:

   docker exec -it <Container Name> bash
   

2. Verificare lo stato dell'agente di raccolta log:

   collector_status -p
   

In caso di problemi durante la distribuzione, vedere Risoluzione dei problemi di Cloud Discovery.

Facoltativo: creare report continui personalizzati

Verificare che i log vengano caricati in app Defender per il cloud e che i report vengano generati. Dopodiché, creare report personalizzati. È possibile creare report di individuazione personalizzati in base ai gruppi di utenti di Microsoft Entra. Ad esempio, per vedere come viene usato il cloud dal reparto marketing, importare il gruppo marketing usando la funzionalità di importazione del gruppo utenti, quindi creare un report personalizzato per questo gruppo. È anche possibile personalizzare un report in base a un tag dell'indirizzo IP o a intervalli di indirizzi IP.

1. Nel portale di Microsoft Defender selezionare Impostazioni>Cloud Apps>Cloud Discovery Continuous Reports(Report continui di Cloud Discovery).>

2. Selezionare il pulsante Crea report e compilare i campi.

3. Nella sezione Filtri è possibile filtrare i dati in base a origine dati, gruppo utenti importato o tag e intervalli di indirizzi IP.

   Nota

   Quando si applicano filtri ai report continui, la selezione verrà inclusa, non esclusa. Ad esempio, se si applica un filtro per un determinato gruppo di utenti, nel report verrà incluso solo il gruppo di utenti.

   

Facoltativo - Convalidare la firma del programma di installazione

Per assicurarsi che il programma di installazione di Docker sia firmato da Microsoft:

1. Fare clic con il pulsante destro del mouse sul file e scegliere Proprietà.

2. Selezionare Firme digitali e assicurarsi che la firma digitale sia OK.

3. Verificare che l'opzione Microsoft Corporation sia elencata come unica voce sotto Name of signer (Nome del firmatario).

   

   Se la firma digitale non è valida, verrà indicato Che la firma digitale non è valida:

   

Passaggi successivi

Modificare la configurazione FTP dell'agente di raccolta log

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.