Azure の Linux 上の Docker

注意

  • Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。 今後数週間以内に、こちらと関連ページのスクリーンショットと手順を更新します。 変更の詳細については、こちらの発表を参照してください。 最近の Microsoft セキュリティ サービスの名称変更に関する詳細については、Microsoft Ignite のセキュリティに関するブログを参照してください。

  • Microsoft Defender for Cloud Apps は Microsoft 365 Defender に統合されました。 セキュリティ管理者は、そのセキュリティ タスクを Microsoft 365 Defender ポータルで一元的に行うことができます。 これによってワークフローが単純化され、他の Microsoft 365 Defender サービスの機能も追加されます。 Microsoft 365 Defender は、Microsoft の ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視、管理するための拠点となります。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

Azure の Ubuntu、Red Hat Enterprise Linux (RHEL)、または CentOS 上の Docker を使用して、Defender for Cloud Apps での継続的レポートのためにログの自動アップロードを構成できます。

[前提条件]

  • OS:

    • Ubuntu 14.04、16.04、18.04、20.04
    • RHEL 7.2 以降
    • CentOS 7.2 以降
  • ディスク領域:250 GB

  • CPU コア数: 2

  • CPU アーキテクチャ: Intel® 64 および AMD 64

  • RAM:4 GB

  • ネットワークの要件」で説明されているように、ファイアウォールを設定します

注意

既存のログ コレクターがあり、それを再度デプロイする前に削除したい場合、または単純に削除したい場合は、次のコマンドを実行します。

docker stop <collector_name>
docker rm <collector_name>

ログ コレクターのパフォーマンス

ログ コレクターでは、最大 10 個のデータ ソースで構成される、1 時間あたり最大 50 GB の容量のログを正常に処理できます。 ログ収集プロセスの主なボトルネックは次のとおりです。

  • ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。

  • 仮想マシンの I/O パフォーマンス - ログ コレクターのディスクにログが書き込まれる速度が決まります。 ログ コレクターには、ログの収集速度を監視して、アップロード速度と比較する安全メカニズムが組み込まれています。 輻輳の場合、ログ コレクターは、ログ ファイルの削除を開始します。 お使いのセットアップにおいて通常 1 時間あたり 50 GB を超える場合は、複数のログ コレクターにトラフィックを分割することをお勧めします。

注意

10 個を超えるデータ ソースが必要な場合は、複数のログ コレクターにデータ ソースを分割することをお勧めします。

セットアップと構成

  1. [自動ログ アップロード] 設定ページにアクセスします。

    1. Defender for Cloud Apps ポータルで、[設定] アイコンをクリックしてから [ログ コレクター] をクリックします。

    settings icon.

  2. ログをアップロードするファイアウォールまたはプロキシそれぞれに対応するデータ ソースを作成します。

    1. [データ ソースの追加] をクリックします。
      Add a data source.
    2. プロキシまたはファイアウォールの [名前] を付けます。
      Name for proxy or firewall.
    3. [ソース] リストからアプライアンスを選択します。 一覧に表示されていないネットワーク アプライアンスを使用するために [カスタム ログ形式] を選択する場合、構成手順の詳細については、カスタム ログ パーサーの使用に関するページを参照してください。
    4. 予想されるログ形式のサンプルとログを比較します。 ログ ファイルの形式がこのサンプルと一致しない場合は、データ ソースを [その他] として追加する必要があります。
    5. [レシーバーの種類][FTP][FTPS][Syslog – UDP][Syslog – TCP][Syslog – TLS] のいずれかを設定します。

    注意

    多くの場合、セキュリティで保護された転送プロトコル (FTPS および Syslog – TLS) と統合するには、追加の設定またはファイアウォールやプロキシが必要です。

    f. ネットワークのトラフィックを検出するために使用できるログの取得先であるファイアウォールおよびプロキシそれぞれに対して、この手順を繰り返します。 次のことを可能にするために、ネットワーク デバイスごとに専用のデータ ソースを設定することをお勧めします。

    • 調査のために、各デバイスの状態を個別に監視する。
    • デバイスごとに Shadow IT Discovery を探索する (各デバイスが異なるユーザー セグメントによって使用されている場合)。
  3. 画面上部の [ログ コレクター] タブに移動します。

    1. [ログ コレクターを追加] をクリックします。
    2. ログ コレクターに [名前] を付けます。
    3. Docker のデプロイに使用するマシンのホスト IP アドレス (プライベート IP アドレス) を入力します。 ホスト名を解決する DNS サーバー (またはそれと同等のもの) がある場合は、ホスト IP アドレスをマシンの名前に置き換えることができます。
    4. コレクターに接続するすべてのデータ ソースを選択し、 [更新] をクリックして構成内容を保存します。
      Select data sources.
  4. 詳細な展開情報が表示されます。 ダイアログ ボックスから実行コマンドをコピーします。 クリップボードにコピー アイコンを使用できます。 copy to clipboard icon.

  5. 予想されるデータ ソースの構成をエクスポートします。 この構成は、アプライアンスでログのエクスポートをどのように設定するかを示しています。

    Create log collector.

    注意

    • 1 つのログ コレクターで複数のデータ ソースを処理できます。
    • ログ コレクターを Defender for Cloud Apps と通信するように構成するときに情報が必要になるため、画面の内容をコピーします。 Syslog を選択した場合、この情報には、Syslog リスナーがリッスンするポートに関する情報が含まれます。
    • FTP を使用して初めてログ データを送信するユーザーについては、FTP ユーザーのパスワードを変更することをお勧めします。 詳細については、「FTP のパスワードの変更」をご覧ください。

手順 2 – Azure でのマシンのデプロイ

注意

次のステップは、Ubuntu での展開を説明しています。 その他のプラットフォームの展開手順は、少し異なります。

  1. ご自身の Azure 環境に新しい Ubuntu マシンを作成します。

  2. マシンが起動したら、次の方法でポートを開きます。

    1. マシンのビューで、 [ネットワーク] にアクセスし、関連するインターフェイスをダブルクリックして選択します。
    2. [ネットワーク セキュリティ グループ] にアクセスして、関連するネットワーク セキュリティ グループを選択します。
    3. [受信セキュリティ規則] にアクセスし、[追加] をクリックします。Add inbound security rules.
    4. 次の規則を ( [詳細設定] モードで) 追加します。
    名前 宛先ポート範囲 Protocol source Destination
    caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Any
    caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Any
    caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Any
    caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Any

    Ubuntu Azure rules.

  3. マシンに戻り、 [接続] をクリックして、マシン上のターミナルを開きます。

  4. sudo -i を使用して、ルート権限に変更します。

  5. ソフトウェア ライセンス条項に同意する場合は、お使いの環境に適したコマンドを実行して古いバージョンをアンインストールし、Docker CE をインストールします。

  1. 古いバージョンの Docker を削除します: yum erase docker docker-engine docker.io

  2. Docker エンジンの前提条件をインストールします: yum install -y yum-utils

  3. Docker リポジトリを追加します:

    yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
    yum makecache
    
  4. Docker エンジンをインストールします: yum -y install docker-ce

  5. Docker を起動します

    systemctl start docker
    systemctl enable docker
    
  6. Docker のインストールをテストします: docker run hello-world

  1. ポータル[新しいログ コレクターの作成] ウィンドウで、ホスティング マシンでコレクターの構成をインポートするためのコマンドをコピーします。

    Copy command to import collector configuration on hosting machine.

  2. コマンドを実行して、ログ コレクターを展開します。

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

    Ubuntu proxy.

  3. ログ コレクターが正常に実行されていることを確認するには、次のコマンドを実行します: Docker logs <collector_name>。 次の結果が得られるはずです:"正常に完了しました"

    Command to verify log collector is running properly.

手順 3 - ネットワーク アプライアンスのオンプレミス構成

ネットワーク ファイアウォールとプロキシを、ダイアログの指示に従って FTP ディレクトリの専用 Syslog ポートにログが定期的にエクスポートされるように構成します。 次に例を示します。

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

手順 4 - Defender for Cloud Apps ポータルで正常にデプロイされたことを確認する

[ログ コレクター] の表でコレクターの状態をチェックし、状態が [接続済み] であることを確認します。 [作成済み] の場合、ログ コレクターの接続と解析が完了していない可能性があります。

Check the collector status in the Log collector.

[ガバナンス ログ] に移動して、ログがポータルに定期的にアップロードされていることを確認することもできます。

または、次のコマンドを使用して、Docker コンテナー内からログ コレクターの状態を確認することもできます。

  1. 次のコマンドを使用して、コンテナーにログインします: docker exec -it <Container Name> bash
  2. 次のコマンドを使用して、ログ コレクターの状態を確認します: collector_status -p

展開中に問題が発生した場合は、「Cloud Discovery のトラブルシューティング」を参照してください。

省略可能 - カスタムの継続的レポートを作成する

ログが Defender for Cloud Apps にアップロードされ、レポートが生成されたことを確認します。 確認したら、カスタム レポートを作成します。 Azure Active Directory ユーザー グループに基づいて、カスタム探索レポートを作成できます。 たとえば、マーケティング部門のクラウドの使用状況を確認したい場合は、ユーザー グループのインポート機能を使用してマーケティング グループをインポートします。 次に、このグループのカスタム レポートを作成します。 また、IP アドレス タグや IP アドレスの範囲に基づいてレポートをカスタマイズすることもできます。

  1. Defender for Cloud Apps ポータルの設定の歯車アイコンの下で、[Cloud Discovery の設定]、[継続的レポート] の順に選択します。

  2. [レポートの作成] ボタンをクリックし、フィールドに入力します。

  3. [フィルター] では、データ ソース、インポートされたユーザー グループ、または IP アドレスのタグと範囲を指定してフィルターすることができます。

    注意

    継続的レポートにフィルターを適用するとき、選択内容は除外されずに含められます。 たとえば、特定のユーザー グループに対してフィルターを適用すると、そのユーザー グループのみがレポートに含められます。

    Custom continuous report.

次のステップ

問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。