Azure の Docker を使用したログの自動アップロードを構成する

注意

Microsoft Defender for Cloud Appsは現在、Microsoft 365 Defenderの一部であり、 のポータルからhttps://security.microsoft.comアクセスできます。 Microsoft 365 Defenderは、エンドポイント、ID、電子メール、SaaS アプリ間でMicrosoft Defender スイートからの信号を関連付け、インシデント レベルの検出、調査、強力な応答機能を提供します。 これにより、優先順位の向上と応答時間の短縮により、運用効率が向上し、organizationをより効果的に保護できます。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

Azure の Ubuntu、Red Hat Enterprise Linux (RHEL)、または CentOS 上の Docker を使用して、Defender for Cloud Apps での継続的レポートのためにログの自動アップロードを構成できます。

[前提条件]

• OS:

  • Ubuntu 14.04、16.04、18.04、20.04
  • RHEL 7.2 以降
  • CentOS 7.2 以降

• ディスク領域:250 GB

• CPU コア数: 2

• CPU アーキテクチャ: Intel® 64 および AMD 64

• RAM:4 GB

• 「ネットワークの要件」で説明されているように、ファイアウォールを設定します

注意

既存のログ コレクターがあり、それを再度デプロイする前に削除したい場合、または単純に削除したい場合は、次のコマンドを実行します。

docker stop <collector_name>
docker rm <collector_name>

ログ コレクターのパフォーマンス

ログ コレクターでは、最大 10 個のデータ ソースで構成される、1 時間あたり最大 50 GB の容量のログを正常に処理できます。 ログ収集プロセスの主なボトルネックは次のとおりです。

• ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。

• 仮想マシンの I/O パフォーマンス - ログ コレクターのディスクにログが書き込まれる速度が決まります。 ログ コレクターには、ログの収集速度を監視して、アップロード速度と比較する安全メカニズムが組み込まれています。 輻輳の場合、ログ コレクターは、ログ ファイルの削除を開始します。 お使いのセットアップにおいて通常 1 時間あたり 50 GB を超える場合は、複数のログ コレクターにトラフィックを分割することをお勧めします。

注意

10 個を超えるデータ ソースが必要な場合は、複数のログ コレクターにデータ ソースを分割することをお勧めします。

セットアップと構成

手順 1 – Web ポータルの構成: データ ソースを定義してログ コレクターにリンクする

1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

2. [ Cloud Discovery]\(クラウド検出\) で、[ 自動ログ アップロード] を選択します。 次に、[ データ ソース ] タブを選択します。

3. ログをアップロードするファイアウォールまたはプロキシそれぞれに対応するデータ ソースを作成します。

   1. [データ ソースの追加] をクリックします。
      
   2. プロキシまたはファイアウォールの [名前] を付けます。
      
   3. [ソース] リストからアプライアンスを選択します。 一覧に表示されていないネットワーク アプライアンスを使用するために [カスタム ログ形式] を選択する場合、構成手順の詳細については、カスタム ログ パーサーの使用に関するページを参照してください。
   4. 予想されるログ形式のサンプルとログを比較します。 ログ ファイルの形式がこのサンプルと一致しない場合は、データ ソースを [その他] として追加する必要があります。
   5. [レシーバーの種類] に [FTP] 、 [FTPS] 、 [Syslog – UDP] 、 [Syslog – TCP] 、 [Syslog – TLS] のいずれかを設定します。

   注意

   多くの場合、セキュリティで保護された転送プロトコル (FTPS および Syslog – TLS) と統合するには、追加の設定またはファイアウォールやプロキシが必要です。

   f. ネットワークのトラフィックを検出するために使用できるログの取得先であるファイアウォールおよびプロキシそれぞれに対して、この手順を繰り返します。 次のことを可能にするために、ネットワーク デバイスごとに専用のデータ ソースを設定することをお勧めします。

   • 調査のために、各デバイスの状態を個別に監視する。
   • デバイスごとに Shadow IT Discovery を探索する (各デバイスが異なるユーザー セグメントによって使用されている場合)。

4. 画面上部の [ログ コレクター] タブに移動します。

   1. [ログ コレクターを追加] をクリックします。
   2. ログ コレクターに [名前] を付けます。
   3. Docker のデプロイに使用するマシンのホスト IP アドレス (プライベート IP アドレス) を入力します。 ホスト名を解決する DNS サーバー (またはそれと同等のもの) がある場合は、ホスト IP アドレスをマシンの名前に置き換えることができます。
   4. コレクターに接続するすべてのデータ ソースを選択し、 [更新] をクリックして構成内容を保存します。
      

5. 詳細な展開情報が表示されます。 ダイアログ ボックスから実行コマンドをコピーします。 クリップボードにコピー アイコンを使用できます。

6. 予想されるデータ ソースの構成をエクスポートします。 この構成は、アプライアンスでログのエクスポートをどのように設定するかを示しています。

   

   注意

   • 1 つのログ コレクターで複数のデータ ソースを処理できます。
   • ログ コレクターを Defender for Cloud Apps と通信するように構成するときに情報が必要になるため、画面の内容をコピーします。 Syslog を選択した場合、この情報には、Syslog リスナーがリッスンするポートに関する情報が含まれます。
   • FTP を使用して初めてログ データを送信するユーザーについては、FTP ユーザーのパスワードを変更することをお勧めします。 詳細については、「FTP のパスワードの変更」をご覧ください。

手順 2 – Azure でのマシンのデプロイ

注意

次のステップは、Ubuntu での展開を説明しています。 その他のプラットフォームの展開手順は、少し異なります。

1. ご自身の Azure 環境に新しい Ubuntu マシンを作成します。

2. マシンが起動したら、次の方法でポートを開きます。

   1. マシンのビューで、 [ネットワーク] にアクセスし、関連するインターフェイスをダブルクリックして選択します。
   2. [ネットワーク セキュリティ グループ] にアクセスして、関連するネットワーク セキュリティ グループを選択します。
   3. [受診セキュリティ規則] にアクセスし、[追加]、
   4. 次の規則を ( [詳細設定] モードで) 追加します。

   名前	宛先ポート範囲	Protocol	source	Destination
   caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Any
   caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Any
   caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Any
   caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Any

   

3. マシンに戻り、 [接続] をクリックして、マシン上のターミナルを開きます。

4. sudo -i を使用して、ルート権限に変更します。

5. ソフトウェア ライセンス条項に同意する場合は、お使いの環境に適したコマンドを実行して古いバージョンをアンインストールし、Docker CE をインストールします。

CentOS

1. 古いバージョンの Docker を削除します: yum erase docker docker-engine docker.io

2. Docker エンジンの前提条件をインストールします: yum install -y yum-utils

3. Docker リポジトリを追加します:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Docker エンジンをインストールします: yum -y install docker-ce

5. Docker を起動します

   systemctl start docker
   systemctl enable docker
   

6. Docker のインストールをテストします: docker run hello-world

Red Hat 7

1. 古いバージョンの Docker を削除します: yum erase docker docker-engine docker.io

2. Docker エンジンの前提条件をインストールします:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Docker リポジトリを追加します:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. 依存関係をインストールします。

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Docker エンジンをインストールします: sudo yum install docker-ce

6. Docker を起動します

   systemctl start docker
   systemctl enable docker
   

7. Docker のインストールをテストします: docker run hello-world

Red Hat 8

1. コンテナーツール モジュールを削除します: yum module remove container-tools

2. Docker CE リポジトリを追加します: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. CentOS 8/RHEL 8 パッケージを使用するように yum リポジトリ ファイルを変更します: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Docker CE をインストールします: yum install docker-ce

5. Docker を起動します

   systemctl start docker
   systemctl enable docker
   

6. Docker のインストールをテストします: docker run hello-world

Ubuntu

1. 古いバージョンの Docker を削除します: apt-get remove docker docker-engine docker.io

2. Ubuntu 14.04 にインストールする場合は、linux-image-extra パッケージをインストールします。

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. Docker エンジンの前提条件をインストールします:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. apt-key のフィンガープリント UID が docker@docker.com: apt-key fingerprint | grep uid であることを確認します。

5. Docker エンジンをインストールします:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Docker のインストールをテストします: docker run hello-world

1. Microsoft 365 Defender ポータルの [ログ コレクターの作成] ウィンドウで、 コマンドをコピーして、ホスティング マシンにコレクター構成をインポートします。

   

2. コマンドを実行して、ログ コレクターを展開します。

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

3. ログ コレクターが正常に実行されていることを確認するには、次のコマンドを実行します: Docker logs <collector_name>。 次の結果が得られるはずです:"正常に完了しました"

   

手順 3 - ネットワーク アプライアンスのオンプレミス構成

ネットワーク ファイアウォールとプロキシを、ダイアログの指示に従って FTP ディレクトリの専用 Syslog ポートにログが定期的にエクスポートされるように構成します。 次に例を示します。

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

手順 4 - Defender for Cloud Apps ポータルで正常にデプロイされたことを確認する

[ログ コレクター] の表でコレクターの状態をチェックし、状態が [接続済み] であることを確認します。 [作成済み] の場合、ログ コレクターの接続と解析が完了していない可能性があります。

[ガバナンス ログ] に移動して、ログがポータルに定期的にアップロードされていることを確認することもできます。

または、次のコマンドを使用して、Docker コンテナー内からログ コレクターの状態を確認することもできます。

1. 次のコマンドを使用して、コンテナーにログインします: docker exec -it <Container Name> bash
2. 次のコマンドを使用して、ログ コレクターの状態を確認します: collector_status -p

展開中に問題が発生した場合は、「Cloud Discovery のトラブルシューティング」を参照してください。

省略可能 - カスタムの継続的レポートを作成する

ログが Defender for Cloud Apps にアップロードされ、レポートが生成されたことを確認します。 確認したら、カスタム レポートを作成します。 Azure Active Directory ユーザー グループに基づいて、カスタム探索レポートを作成できます。 たとえば、マーケティング部門のクラウドの使用状況を確認したい場合は、ユーザー グループのインポート機能を使用してマーケティング グループをインポートします。 次に、このグループのカスタム レポートを作成します。 また、IP アドレス タグや IP アドレスの範囲に基づいてレポートをカスタマイズすることもできます。

1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

2. [ Cloud Discovery]\(クラウド検出\) で、[ 継続的なレポート] を選択します。

3. [レポートの作成] ボタンをクリックし、フィールドに入力します。

4. [フィルター] では、データ ソース、インポートされたユーザー グループ、または IP アドレスのタグと範囲を指定してフィルターすることができます。

   注意

   継続的レポートにフィルターを適用するとき、選択内容は除外されずに含められます。 たとえば、特定のユーザー グループに対してフィルターを適用すると、そのユーザー グループのみがレポートに含められます。

   

次のステップ

ログ コレクターの FTP 構成を変更する

問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。