オンプレミスの Docker on Windows を使用して自動ログ アップロードを構成する

  • [アーティクル]

Note

Microsoft Defender for Cloud Appsは現在、Microsoft 365 Defenderの一部であり、 のポータルからhttps://security.microsoft.comアクセスできます。 Microsoft 365 Defenderは、エンドポイント、ID、電子メール、SaaS アプリ間でMicrosoft Defender スイートからのシグナルを関連付けて、インシデント レベルの検出、調査、強力な応答機能を提供します。 これにより、優先順位の向上と応答時間の短縮によって運用効率が向上し、organizationをより効果的に保護できます。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

Windows 上の Docker を使用して、Defender for Cloud Apps の継続的レポートの自動ログ アップロードを構成できます。

[前提条件]

  • OS:

    • Windows 10 (Fall Creators Update)
    • Windows Server バージョン 1709 以降 (SAC)
    • Windows Server 2019 (LTSC)

  • ディスク領域: 250 GB

  • CPU コア数: 2

  • CPU アーキテクチャ: Intel® 64 および AMD 64

  • RAM:4 GB

  • ネットワークの要件」で説明されているように、ファイアウォールを設定します

  • オペレーティング システムの仮想化を、Hyper-V で有効にする必要があります

重要

  • ユーザー数が 250 人を超えるか、年間収益が 1,000 万米国ドルを超える企業のお客様は、Docker Desktop for Windows を使用するために有料サブスクリプションが必要です。 詳細については、「Docker subscription overview」をご覧ください。
  • ログを収集するには、ユーザーが Docker にサインインしている必要があります。 Docker ユーザーにサインインしないで切断するよう忠告することをお勧めします。
  • Docker for Windows は、VMWare の仮想化シナリオでは公式にサポートされていません。
  • Docker for Windows は、入れ子になった仮想化のシナリオでは公式にサポートされていません。 入れ子になった仮想化の使用を計画する場合は、Docker の公式ガイドを参照してください。
  • Docker for Windows の追加の構成と実装に関する考慮事項については、「Install Docker Desktop on Windows (Windows での Docker Desktop のインストール)」を参照してください。

注意

既存のログ コレクターがあり、それを再度デプロイする前に削除したい場合、または単純に削除したい場合は、次のコマンドを実行します。

docker stop <collector_name>
docker rm <collector_name>

ログ コレクターのパフォーマンス

ログ コレクターは、1 時間あたり最大 50 GB の容量のログを処理できます。 ログ収集プロセスの主なボトルネックは次のとおりです。

  • ネットワーク帯域幅 - ネットワーク帯域幅によって、ログのアップロード速度が決まります。

  • 仮想マシンの I/O パフォーマンス - ログ コレクターのディスクにログが書き込まれる速度が決まります。 ログ コレクターには、ログの収集速度を監視して、アップロード速度と比較する安全メカニズムが組み込まれています。 輻輳の場合、ログ コレクターは、ログ ファイルの削除を開始します。 お使いのセットアップにおいて通常 1 時間あたり 50 GB を超える場合は、複数のログ コレクターにトラフィックを分割することをお勧めします。

セットアップと構成

手順 1 – Web ポータルの構成: データ ソースを定義してログ コレクターにリンクする

  1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

  2. [ Cloud Discovery] で、[ 自動ログ アップロード] を選択します。 次に、[ データ ソース ] タブを選択します。

  3. ログをアップロードするファイアウォールまたはプロキシそれぞれに対応するデータ ソースを作成します。

    1. [ + データ ソースの追加] を選択します
      データ ソースの追加。
    2. プロキシまたはファイアウォールの [名前] を付けます。
      データ ソース名の追加。
    3. [ソース] リストからアプライアンスを選択します。 一覧に表示されていないネットワーク アプライアンスを使用するために [カスタム ログ形式] を選択する場合、構成手順の詳細については、カスタム ログ パーサーの使用に関するページを参照してください。
    4. 予想されるログ形式のサンプルとログを比較します。 ログ ファイルの形式がこのサンプルと一致しない場合は、データ ソースを [その他] として追加する必要があります。
    5. [レシーバーの種類][FTP][FTPS][Syslog – UDP][Syslog – TCP][Syslog – TLS] のいずれかを設定します。

    注意

    多くの場合、セキュリティで保護された転送プロトコル (FTPS および Syslog – TLS) と統合するには、追加の設定またはファイアウォールやプロキシが必要です。

    f. ネットワークのトラフィックを検出するために使用できるログの取得先であるファイアウォールおよびプロキシそれぞれに対して、この手順を繰り返します。 次のことを可能にするために、ネットワーク デバイスごとに専用のデータ ソースを設定することをお勧めします。

    • 調査のために、各デバイスの状態を個別に監視する。
    • デバイスごとに Shadow IT Discovery を探索する (各デバイスが異なるユーザー セグメントによって使用されている場合)。

  4. 画面上部の [ログ コレクター] タブに移動します。

    1. [ ログ コレクターの追加] を選択します
    2. ログ コレクターに [名前] を付けます。
    3. Docker のデプロイに使用するマシンのホスト IP アドレス (プライベート IP アドレス) を入力します。 ホスト名を解決する DNS サーバー (またはそれと同等のもの) がある場合は、ホスト IP アドレスをマシン名に置き換えることができます。
    4. コレクターに接続するすべての データ ソース を選択し、[ 更新 ] を選択して構成を保存します。 接続するデータ ソースの選択。

  5. 詳細な展開情報が表示されます。 ダイアログ ボックスから実行コマンドをコピーします。 クリップボードにコピー アイコン クリップボードにコピー アイコン を使用できます。 これは後で必要になります。

  6. 予想されるデータ ソースの構成をエクスポートします。 この構成は、アプライアンスでログのエクスポートをどのように設定するかを示しています。

    ログ コレクターを作成する。

    注意

    • 1 つのログ コレクターで複数のデータ ソースを処理できます。
    • ログ コレクターを Defender for Cloud Apps と通信するように構成するときに情報が必要になるため、画面の内容をコピーします。 Syslog を選択した場合、この情報には、Syslog リスナーがリッスンするポートに関する情報が含まれます。
    • FTP を使用して初めてログ データを送信するユーザーについては、FTP ユーザーのパスワードを変更することをお勧めします。 詳細については、「FTP のパスワードの変更」をご覧ください。

ステップ 2 – マシンのオンプレミス展開

以下の手順では、Windows での展開について説明します。 その他のプラットフォームの展開手順は、少し異なります。

  1. Windows コンピューターで管理者として PowerShell ターミナルを開きます。

  2. 次のコマンドを実行して、Windows Docker インストーラーの PowerShell スクリプト ファイルをダウンロードします。Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    インストーラーが Microsoft によって署名されていることを検証するには、「インストーラー署名の 検証」を参照してください。

  3. PowerShell スクリプトの実行を有効にするには、Set-ExecutionPolicy RemoteSigned を実行します

  4. 次を実行します: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)。これにより、Docker クライアントがコンピューターにインストールされます。

    Docker がインストールされています。

    コマンドを実行すると、マシンが自動的に再起動されます。

  5. マシンが起動し、もう一度実行されている場合は、PowerShell で同じコマンドを実行します。 & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    PowerShell コマンドをもう一度実行します。

  6. Docker インストーラーを実行します。 [ Hyper-V ではなく WSL 2 を使用する (推奨)] を選択します。

    Docker デスクトップのインストール。

    インストールが完了すると、マシンは自動的に再起動されます。

  7. 再起動が完了したら、Docker クライアントを開き、Docker サブスクリプション契約に従います。

    Docker サービス契約に同意します。

  8. WSL2 のインストールが完了していない場合は、次のポップアップ メッセージが表示されます。

    WSL 2 のインストールが不完全です。

  9. 「Linux カーネル更新プログラム パッケージのダウンロード」で説明されているように、 パッケージをダウンロードしてインストールを完了します。

  10. Docker Desktop クライアントをもう一度開き、起動していることを確認します。

    Docker Desktop クライアントを開きます。

  11. 管理者として CMD を実行し、ポータルで生成された実行コマンドを入力します。 プロキシを構成する必要がある場合、プロキシ IP アドレスとポート番号を追加します。 たとえば、プロキシの詳細が 192.168.10.1:8080 の場合、実行コマンドは次のように更新されます。

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    ログ コレクターを作成する。

  12. 次のコマンドを使用して、コレクターが正常に実行されていることを確認します: docker logs <collector_name>

次のメッセージが表示されます: "正常に完了しました"

コレクターが正常に実行されていることを確認する。

手順 3 - ネットワーク アプライアンスのオンプレミス構成

ネットワーク ファイアウォールとプロキシを、ダイアログの指示に従って FTP ディレクトリの専用 Syslog ポートにログが定期的にエクスポートされるように構成します。 次に例を示します。

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

手順 4 - ポータルでデプロイが成功したことを確認する

[ログ コレクター] の表でコレクターの状態をチェックし、状態が [接続済み] であることを確認します。 [作成済み] の場合、ログ コレクターの接続と解析が完了していない可能性があります。

コレクターの状態が [接続済み] であることを確認します。

[ガバナンス ログ] に移動して、ログがポータルに定期的にアップロードされていることを確認することもできます。

または、次のコマンドを使用して、Docker コンテナー内からログ コレクターの状態を確認することもできます。

  1. 次のコマンドを使用してコンテナーにサインインします。 docker exec -it <Container Name> bash
  2. 次のコマンドを使用して、ログ コレクターの状態を確認します: collector_status -p

展開中に問題が発生した場合は、「Cloud Discovery のトラブルシューティング」を参照してください。

省略可能 - カスタムの継続的レポートを作成する

ログが Defender for Cloud Apps にアップロードされ、レポートが生成されたことを確認します。 確認したら、カスタム レポートを作成します。 Azure Active Directory ユーザー グループに基づいて、カスタム探索レポートを作成できます。 たとえば、マーケティング部門のクラウドの使用状況を確認したい場合は、ユーザー グループのインポート機能を使用してマーケティング グループをインポートします。 次に、このグループのカスタム レポートを作成します。 また、IP アドレス タグや IP アドレスの範囲に基づいてレポートをカスタマイズすることもできます。

  1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

  2. [ Cloud Discovery]\(クラウド検出\) で、[ 継続的なレポート] を選択します。

  3. [ レポートの作成 ] ボタンを選択し、フィールドに入力します。

  4. [フィルター] では、データ ソース、インポートされたユーザー グループ、または IP アドレスのタグと範囲を指定してフィルターすることができます。

    注意

    継続的レポートにフィルターを適用するとき、選択内容は除外されずに含められます。 たとえば、特定のユーザー グループに対してフィルターを適用すると、そのユーザー グループのみがレポートに含められます。

    カスタムの継続的レポート。

省略可能 - インストーラーの署名を検証する

Docker のインストーラーが Microsoft によって署名されていることを確認するには:

  1. ファイルを右クリックし、[ プロパティ] を選択 します

  2. [ デジタル署名] を 選択し、[ このデジタル署名は OK] と表示されていることを確認します。

  3. Microsoft Corporation が、 [署名者名] に唯一のエントリとして表示されることを確認します。

    有効なデジタル署名。

    デジタル署名が有効でない場合は、 このデジタル署名が無効であると表示されます。

    無効なデジタル署名。

次のステップ

ログ コレクターの FTP 構成を変更する

問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。