継続的なレポートのために自動ログ アップロードを構成する

注意

Microsoft Defender for Cloud Apps (旧称 Microsoft Cloud App Security) がMicrosoft 365 Defenderの一部になりました。 セキュリティ管理者は、そのセキュリティ タスクを Microsoft 365 Defender ポータルで一元的に行うことができます。 これによってワークフローが単純化され、他の Microsoft 365 Defender サービスの機能も追加されます。 Microsoft 365 Defender は、Microsoft の ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視、管理するための拠点となります。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

ログ コレクターを使用すると、ネットワークからのログのアップロードを簡単に自動化することができます。 ログ コレクターをネットワーク上で実行すると、Syslog または FTP でログを受け取ります。 各ログは自動的に処理および圧縮されてから、ポータルに送信されます。 ファイルがログ コレクターに FTP 転送された後、FTP ログは Microsoft Defender for Cloud Apps にアップロードされます。 Syslog の場合、ログ コレクターに受信されたログがディスクに書き込まれます。 その後、ファイル サイズが 40 KB を超えると、コレクターから Defender for Cloud App にファイルがアップロードされます。

Defender for Cloud App にアップロードされたログは、バックアップ ディレクトリに移動されます。 バックアップ ディレクトリには、最後の 20 個のログが格納されます。 新しいログが移動されると、古いログは削除されます。 ログ コレクターのディスク領域がいっぱいになると、ログ コレクターは空きディスク領域が増えるまで新しいログを削除します (前提条件が適切に満たされている場合は、この問題は発生しません)。 この場合、 [ログを自動的にアップロード] 設定の [ログ コレクター] タブに警告が表示されます。

自動ログ ファイル収集を設定する前に、想定するログの種類とログが一致していることを確認します。 Defender for Cloud Apps がご自分の特定のファイルを解析できることを確認する必要があります。 詳細については、「Cloud Discovery に対するトラフィック ログの使用」を参照してください。

注意

  • Defender for Cloud Apps では、ログが元の形式で転送されることを前提とし、お使いの SIEM サーバーからログ コレクターにログを転送することをサポートしています。 ただし、ログ コレクターをファイアウォールまたはプロキシに直接統合することを強くお勧めします。
  • ログ コレクターでは、アップロード前にデータが圧縮されます。 ログ コレクターの送信トラフィックは、受信したトラフィック ログのサイズの 10% になります。
  • ログ コレクターで問題が発生した場合、データを受信しなくなってから 48 時間経過した後にアラートが送信されます。

前提条件

  • ディスク領域 250 GB
  • CPU コア数: 2
  • CPU アーキテクチャ: Intel® 64 および AMD 64
  • RAM:4 GB
  • ネットワークの要件」で説明されているように、ファイアウォールを設定します

注意

既存のログ コレクターがあり、それを再度デプロイする前に削除したい場合、または単純に削除したい場合は、次のコマンドを実行します。

docker stop <collector_name>

docker rm <collector_name>

Note

新しいログ コレクター バージョンをインストールするには、ログ コレクターを停止し、現在のイメージを削除して、新しいイメージをインストールする必要があります。

ログ コレクターのパフォーマンス

ログ コレクターは、1 時間あたり最大 50 GB の容量のログを処理できます。 ログ収集プロセスの主なボトルネックは次のとおりです。

  • ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。
  • 仮想マシンの I/O パフォーマンス - ログ コレクターのディスクにログが書き込まれる速度が決まります。 ログ コレクターには、ログの収集速度を監視して、アップロード速度と比較する安全メカニズムが組み込まれています。 輻輳の場合、ログ コレクターは、ログ ファイルの削除を開始します。 お使いのセットアップにおいて通常 1 時間あたり 50 GB を超える場合は、複数のログ コレクターにトラフィックを分割することをお勧めします。

展開モード

ログ コレクターでは、コンテナー展開モードがサポートされています。 Windowsオンプレミスの UbuntuAzure の Ubuntuオンプレミスの RHEL、または CentOS 上で Docker イメージとして実行します。

次のステップ