Windows でオンプレミス Docker を使用して自動ログ アップロードを構成する
Windows 上の Docker を使用して、Defender for Cloud Apps の継続的レポートの自動ログ アップロードを構成できます。
前提条件
アーキテクチャの仕様:
仕様 説明 オペレーティング システム 次のいずれかです。 - Windows 10 (Fall creators update)
- Windows Server バージョン 1709+ (SAC)
- Windows Server 2019 (LTSC)
ディスク領域 250 GB CPU コア 2 CPU のアーキテクチャ Intel 64 および AMD 64 RAM 4 GB サポートされている Docker アーキテクチャの一覧については、Docker のインストール ドキュメントを参照してください。
必要に応じてファイアウォールを設定します。 詳細については、「ネットワークの要件」を参照してください。
Hyper-V でオペレーティング システム上の仮想化を有効にする必要があります。
重要
- ユーザー数が 250 人を超えるか、年間収益が 1,000 万米国ドルを超える企業のお客様は、Docker Desktop for Windows を使用するために有料サブスクリプションが必要です。 詳細については、「Docker subscription overview」をご覧ください。
- ログを収集するには、ユーザーが Docker にサインインする必要があります。 Docker ユーザーには、サインアウトせずに切断するようアドバイスすることをお勧めします。
- Docker for Windows は、VMWare 仮想化シナリオでは正式にサポートされていません。
- Docker for Windows は、ネストされた仮想化シナリオでは正式にサポートされていません。 ネストされた仮想化を使用する予定がある場合は、Docker の公式ガイドを参照してください。
- Docker for Windows のその他の構成および実装に関する考慮事項については、「Windows に Docker デスクトップをインストールする」を参照してください。
既存のログ コレクターを削除する
既存のログ コレクターがあり、それを再度デプロイする前に削除したい場合、または単に削除したい場合は、次のコマンドを実行します。
docker stop <collector_name>
docker rm <collector_name>
ログ コレクターのパフォーマンス
ログ コレクターは、1 時間あたり最大 50 GB の容量のログを処理できます。 ログ収集プロセスの主なボトルネックは次のとおりです。
ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。
仮想マシンの I/O パフォーマンス - ログがログ コレクターのディスクに書き込まれる速度を決定します。 ログ コレクターには、ログの収集速度を監視して、アップロード速度と比較する安全メカニズムが組み込まれています。 輻輳の場合、ログ コレクターは、ログ ファイルの削除を開始します。 1 時間あたり 50 GB を超えるのが普通である場合は、複数のログ コレクターにトラフィックを分割することをお勧めします。
ステップ 1: Web ポータルの構成
データ ソースを定義し、ログ コレクターにリンクするには、次の手順を使用します。 1 つのログ コレクターで複数のデータ ソースを処理できます。
Microsoft Defender ポータルで、[設定]>[クラウド アプリ]>[Cloud Discovery]>[自動ログ アップロード]>[データ ソース] タブを選択します。
ログをアップロードするファイアウォールまたはプロキシそれぞれに対応するデータ ソースを作成します。
[+Add data source (データ ソースの追加)] を選択します。
プロキシまたはファイアウォールの [名前] を付けます。
[ソース] リストからアプライアンスを選択します。 一覧に表示されていないネットワーク アプライアンスを使用するために [カスタム ログ形式] を選ぶ場合、構成方法の詳細についてはカスタム ログ パーサーの使用に関するページをご覧ください。
予想されるログ形式のサンプルとログを比較します。 ログ ファイルの形式がこのサンプルと一致しない場合は、データ ソースを [その他] として追加する必要があります。
[レシーバーのタイプ] を、[FTP]、[FTPS]、[Syslog – UDP]、[Syslog – TCP]、または [Syslog – TLS] に設定します。
Note
多くの場合、セキュリティで保護された転送プロトコル (FTPS、Syslog – TLS) と統合するには、ファイアウォール/プロキシの追加設定が必要になります。
ネットワークのトラフィックを検出するために使用できるログの取得先であるファイアウォールおよびプロキシそれぞれに対して、この手順を繰り返します。 ネットワーク デバイスごとに専用のデータ ソースを設定することをお勧めします。これにより、次のことができるようになります。
- 調査目的で、各デバイスの状態を個別に監視する。
- 各デバイスが異なるユーザー セグメントで使用されている場合、デバイスごとに Shadow IT Discovery を調べる。
ページの上部にある [ログ コレクター] タブを選択し、[ログ コレクターの追加] を選択します。
[ログ コレクターの作成] ダイアログで、以下を行います。
[名前] フィールドで、ログ コレクターのわかりやすい名前を入力します。
ログ コレクターに名前を付け、Docker のデプロイに使用するマシンのホスト IP アドレス (プライベートIPアドレス) を入力します。 ホスト名を解決する DNS サーバー (または同等のもの) がある場合は、ホストの IP アドレスをマシン名に置き換えることができます。
コレクターに接続するすべてのデータ ソースを選択し、更新を選択して構成を保存します。
コレクター構成をインポートするために後で使用するコマンドを含めて、詳細なデプロイ情報については、「次のステップ」セクションを参照してください。 Syslog を選択した場合、この情報には、Syslog リスナーがリッスンするポートに関するデータも含まれます。
[コピー] ボタンを使用してコマンドをクリップボードにコピーし、別の場所に保存します。
[エクスポート] ボタンを使用して、必要なデータ ソース構成をエクスポートします。 この構成では、アプライアンスでログのエクスポートを設定する方法を記述します。
初めて FTP 経由でログデータを送信するユーザーは、FTP ユーザーのパスワードを変更することをお勧めします。 詳細については、「FTPパスワードの変更」を参照してください。
ステップ 2 – コンピューターのオンプレミスの展開
次の手順は、Windows での展開について説明したものです。 他のプラットフォームの展開手順は若干異なります。
管理者として Windows コンピューターで PowerShell ターミナルを開きます。
次のコマンドを実行して、Windows Docker インストーラー PowerShell スクリプト ファイルをダウンロードします。
Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
インストーラーが Microsoft によって署名されていることを検証するには、「インストーラーの署名を検証する」を参照してください。
PowerShell スクリプトの実行を有効にするには、以下を実行します。
Set-ExecutionPolicy RemoteSigned`
使用マシンに Docker クライアントをインストールするには、以下を実行します。
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
このコマンドを実行すると、マシンは自動的に再起動します。
マシンが再起動して稼働状態になったら、同じコマンドをもう一度実行します。
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
Hyper-V ではなく WSL 2 の使用を指定して、Docker インストーラーを実行します。
インストールが完了すると、マシンは自動的に再起動します。
再起動が完了したら、Docker クライアントを開き、Docker サブスクリプション契約に同意します。
WSL2 のインストールが完了していない場合は、WSL 2 Linux カーネルのインストールに別の MSI 更新パッケージを使用することを示すメッセージが表示されます。
このパッケージをダウンロードして、インストールを完了します。 詳細については、「Linux カーネル更新プログラム パッケージをダウンロードする」を参照してください。
Docker デスクトップ クライアントを再度開き、起動していることを確認します。
管理者としてコマンド プロンプトを開き、「手順 1 - Web ポータルの構成」でポータルからコピーした実行コマンドを入力します。
プロキシを構成する必要がある場合は、プロキシ IP アドレスとポート番号を追加します。 たとえば、プロキシの詳細が 172.31.255.255:8080 の場合は、次のように実行コマンドを更新します。
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
コレクターが正常に実行されていることを確認するには、以下を実行します。
docker logs <collector_name>
次のように、正常終了のメッセージが表示されます。
ステップ 3 - ネットワーク機器のオンプレミス構成
ネットワーク ファイアウォールとプロキシを、ダイアログの指示に従って FTP ディレクトリの専用 Syslog ポートにログが定期的にエクスポートされるように構成します。 次に例を示します。
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
手順 4 - ポータルで展開が成功したことを確認する
[ログ コレクター] の表でコレクターの状態をチェックし、状態が [接続済み] であることを確認します。 [作成済み] の場合は、ログ コレクターの接続と解析が完了していない可能性があります。
ガバナンス ログに移動して、ログがポータルに定期的にアップロードされていることを確認することもできます。
あるいは、次のコマンドを使用して、Docker コンテナ内からログ コレクターのステータスを確認することもできます。
コンテナーにサインインします。
docker exec -it <Container Name> bash
ログ コレクターの状態を確認します。
collector_status -p
デプロイ中に問題が発生した場合は、「クラウド ディスカバリーのトラブルシューティング」を参照してください。
省略可能 - カスタムの継続的レポートを作成する
ログが Defender for Cloud Apps にアップロードされ、レポートが生成されていることを確認します。 検証の後、カスタム レポートを作成します。 Microsoft Entra ユーザー グループに基づいて、カスタム検出レポートを作成できます。 たとえば、マーケティング部門のクラウドの使用状況を確認する場合、ユーザー グループのインポート機能を使用してマーケティング グループをインポートします。 次に、このグループに対するカスタム レポートを作成します。 また、IP アドレス タグや IP アドレスの範囲に基づいてレポートをカスタマイズすることもできます。
Microsoft Defender ポータルで、[設定]>[クラウド アプリ]>[Cloud Discovery]>[継続的レポート] の順に選択します。
レポート作成 ボタンを選択し、フィールドに記入します。
[フィルター] では、データ ソース、インポートされたユーザー グループ、または IP アドレスのタグと範囲を指定してフィルターすることができます。
Note
継続レポートにフィルターを適用すると、選択内容は除外されずに含まれます。 たとえば、特定のユーザー グループにフィルターを適用すると、そのユーザー グループのみがレポートに含まれます。
省略可能: インストーラーの署名の検証
Docker のインストーラーが Microsoft によって署名されていることを確認するには:
ファイルを右クリックし、プロパティを選択します。
デジタル署名 を選択し、このデジタル署名は OK と表示されていることを確認します。
[署名者名] で Microsoft Corporation が唯一のエントリであることを確認します。
デジタル署名が有効でない場合は、「このデジタル署名は無効です」と表示されます。
次のステップ
問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。