次の方法で共有

オンプレミスの Docker on Linux を使用してログの自動アップロードを構成する

オンプレミスの Ubuntu または CentOS サーバー上の Docker を使用して、Defender for Cloud Appsで継続的レポートの自動ログ アップロードを構成できます。

重要

RHEL バージョン 7.1 以降を使用している場合は、Docker ではなく、自動ログ収集に Podman を使用する必要があります。 詳細については、「 Podman を使用してログの自動アップロードを構成する」を参照してください。

前提条件

仕様 説明
オペレーティング システム 以下のいずれか:
  • Ubuntu 14.04、16.04、18.04、20.04
  • CentOS 7.2 以上
    		•
    ディスク領域 250 GB
    CPU コア 2
    CPU アーキテクチャ Intel 64 と AMD 64
    RAM 4 GB

    必要に応じてファイアウォールを設定してください。 詳細については、「ネットワーク要件」を参照してください。

    既存のログ コレクターを削除する

    既存のログ コレクターがあり、再度デプロイする前に削除する場合、または単に削除する場合は、次のコマンドを実行します。

    docker stop <collector_name>
docker rm <collector_name>

    ログ コレクターのパフォーマンス

    ログ コレクターは、1 時間あたり最大 50 GB のログ容量を正常に処理できます。 ログ収集プロセスのメインボトルネックは次のとおりです。

    • ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。

    • 仮想マシンの I/O パフォーマンス - ログ コレクターのディスクにログを書き込む速度を決定します。 ログ コレクターには、ログが到着したレートを監視し、アップロード率と比較する安全メカニズムが組み込まれています。 輻輳が発生した場合、ログ コレクターはログ ファイルの削除を開始します。 通常、セットアップが 1 時間あたり 50 GB を超える場合は、複数のログ コレクター間でトラフィックを分割することをお勧めします。

    手順 1 – Web ポータルの構成: データ ソースを定義し、ログ コレクターにリンクする

    1. Microsoft Defender ポータルで、[設定>Cloud Apps>Cloud Discovery>自動ログ アップロード>[データ ソース] タブを選択します。

    2. ログをアップロードするファイアウォールまたはプロキシごとに、一致するデータ ソースを作成します。

      1. [ + データ ソースの追加] を選択します

        [データ ソースの追加] ボタンのスクリーンショット。

      2. プロキシまたはファイアウォールに名前を付けます。

        [データ ソースの追加] ダイアログのスクリーンショット

      3. [ソース] ボックスの一覧からアプライアンスを選択します。 一覧にないネットワーク アプライアンスを操作するために [カスタム ログ形式] を選択した場合は、構成手順については、「カスタム ログ パーサーの使用」を参照してください。

      4. ログを、予想されるログ形式のサンプルと比較します。 ログ ファイルの形式がこのサンプルと一致しない場合は、データ ソースを [その他] として追加する必要があります。

      5. 受信者の 種類FTPFTPSSyslog - UDP、または Syslog – TCP、または Syslog – TLS のいずれかに設定します。

        注:

        セキュリティで保護された転送プロトコル (FTPS と Syslog – TLS) との統合には、ファイアウォール/プロキシの追加設定が必要な場合がよくあります。

      6. ネットワーク上のトラフィックを検出するためにログを使用できるファイアウォールとプロキシごとに、このプロセスを繰り返します。 次のことができるように、ネットワーク デバイスごとに専用データ ソースを設定することをお勧めします。

      • 調査目的で、各デバイスの状態を個別に監視します。
      • 各デバイスが異なるユーザー セグメントで使用されている場合は、デバイスごとのシャドウ IT 検出について調べる。

    3. ページの上部にある [ ログ コレクター ] タブを選択し、[ ログ コレクターの追加] を選択します。

    4. [ログ コレクターの作成] ダイアログで、次の 手順を実行 します。

      1. [ 名前 ] フィールドに、ログ コレクターのわかりやすい名前を入力します。

      2. ログ コレクターに 名前 を付け、Docker のデプロイに使用するマシンの ホスト IP アドレス (プライベート IP アドレス) を入力します。 ホスト IP アドレスは、ホスト名を解決する DNS サーバー (またはそれと同等) がある場合は、マシン名に置き換えることができます。

      3. コレクターに接続するすべての データ ソース を選択し、[ 更新 ] を選択して構成を保存します。

        詳細なデプロイ情報は、[ 次の手順 ] セクションに表示されます。これには、後でコレクター構成をインポートするために使用するコマンドが含まれます。 Syslog を選択した場合、この情報には、Syslog リスナーがリッスンしているポートに関するデータも含まれます。

      4. クリップボードへのコピー アイコンを使用します。 [コピー] ボタンをクリックしてコマンドをクリップボードにコピーし、別の場所に保存します。

      5. エクスポートを使用 します。[エクスポート] ボタンをクリックして、予想されるデータ ソース構成をエクスポートします。 この構成では、アプライアンスでログ エクスポートを設定する方法について説明します。

    FTP 経由でログ データを初めて送信するユーザーの場合は、FTP ユーザーのパスワードを変更することをお勧めします。 詳細については、「 FTP パスワードの変更」を参照してください。

    手順 2 – コンピューターのオンプレミスデプロイ

    次の手順では、Ubuntu でのデプロイについて説明します。 他のサポートされているプラットフォームのデプロイ手順が若干異なる場合があります。

    1. Ubuntu マシンでターミナルを開きます。

    2. 次を実行してルート特権に変更します。

      sudo -i

    3. ネットワーク内のプロキシをバイパスするには、次の 2 つのコマンドを実行します。

      export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
export https_proxy='<IP>:<PORT>'

    4. ソフトウェア ライセンス条項に同意する場合は、環境に適したコマンドを実行して、古いバージョンをアンインストールし、Docker CE をインストールします。

      1. 古いバージョンの Docker を削除します。

        yum erase docker docker-engine docker.io

      2. Docker エンジンの前提条件をインストールします。

        yum install -y yum-utils

      3. Docker リポジトリを追加します。

        yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache

      4. Docker エンジンをインストールします。

        yum -y install docker-ce

      5. Docker を起動します。

        systemctl start docker
systemctl enable docker

      6. Docker のインストールをテストする:

        docker run hello-world

    5. コレクター構成をインポートして、ホスティング マシンにコレクター イメージをデプロイします。 ポータルで生成された実行コマンドをコピーして、構成をインポートします。 プロキシを構成する必要がある場合は、プロキシ IP アドレスとポート番号を追加します。 たとえば、プロキシの詳細が 172.31.255.255:8080 の場合、更新された実行コマンドは次のようになります。

      (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=tenant.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    6. 次のコマンドを使用して、コレクターが正しく実行されていることを確認します。

      docker logs <collector_name>

      "正常に完了しました" というメッセージ が表示されます。 例えば:

      Docker が正常に実行されていることを確認するコマンドのスクリーンショット。

    手順 3 - ネットワーク アプライアンスのオンプレミス構成

    ダイアログの指示に従ってログを専用 Syslog ポートまたは FTP ディレクトリに定期的にエクスポートするように、ネットワーク ファイアウォールとプロキシを構成します。 以下に例を示します。

    BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

    手順 4 - ポータルでデプロイが成功したことを確認する

    ログ コレクター テーブルでコレクターの状態を確認し、状態が [接続済み] であることを確認します。 [作成済み] の場合は、ログ コレクターの接続と解析が完了していない可能性があります。

    コレクターの状態が [接続済み] であることを確認します。

    ガバナンス ログ に移動し、ログがポータルに定期的にアップロードされていることを確認することもできます。

    または、次のコマンドを使用して、docker コンテナー内からログ コレクターの状態をチェックすることもできます。

    1. コンテナーにサインインします。

      docker exec -it <Container Name> bash

    2. ログ コレクターの状態を確認します。

      collector_status -p

    デプロイ中に問題が発生した場合は、「 クラウド検出のトラブルシューティング」を参照してください。

    省略可能 - カスタムの連続レポートを作成する

    ログがDefender for Cloud Appsにアップロードされていること、およびレポートが生成されていることを確認します。 検証後、カスタム レポートを作成します。 ユーザー グループに基づいてカスタム検出レポートMicrosoft Entra作成できます。 たとえば、マーケティング部門のクラウド使用を確認する場合は、ユーザー グループのインポート機能を使用してマーケティング グループをインポートします。 次に、このグループのカスタム レポートを作成します。 IP アドレス タグまたは IP アドレス範囲に基づいてレポートをカスタマイズすることもできます。

    1. Microsoft Defender ポータルで、設定>Cloud Apps>Cloud Discovery>Continuous reports を選択します

    2. [ レポートの作成 ] ボタンを選択し、フィールドに入力します。

    3. [ フィルター ] では、データ ソース、 インポートされたユーザー グループ、または IP アドレス タグと範囲によってデータをフィルター処理できます。

      注:

      連続レポートにフィルターを適用する場合、選択内容は除外されずに含まれます。 たとえば、特定のユーザー グループにフィルターを適用すると、そのユーザー グループのみがレポートに含まれます。

      カスタムの連続レポート。

    次の手順

    ログ コレクターの FTP 構成を変更する

    問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。