Automatische logboekupload configureren met Docker in Azure

In dit artikel wordt beschreven hoe u automatische logboekuploads configureert voor doorlopende rapporten in Defender voor Cloud-apps met behulp van een Docker op Ubuntu of CentOS in Azure.

Vereisten

Voordat u begint, moet u ervoor zorgen dat uw omgeving voldoet aan de volgende vereisten:

Vereiste	Beschrijving
Besturingssysteem	Een van de volgende opties: - Ubuntu 14.04, 16.04, 18.04 en 20.04 - CentOS 7.2 of hoger
Schijfruimte	250 GB
CPU-kernen	2
CPU-architectuur	Intel 64 en AMD 64
RAM	4 GB
Firewallconfiguratie	Zoals gedefinieerd in netwerkvereisten

Plan uw logboekverzamelaars op prestatie

Elke logboekverzamelaar kan de logboekcapaciteit van maximaal 50 GB per uur verwerken, bestaande uit maximaal 10 gegevensbronnen. De belangrijkste knelpunten in het logboekverzamelproces zijn:

• Netwerkbandbreedte: de netwerkbandbreedte bepaalt de uploadsnelheid van het logboek.

• I/O-prestaties van de virtuele machine : bepaalt de snelheid waarmee logboeken naar de schijf van de logboekverzamelaar worden geschreven. De logboekverzamelaar heeft een ingebouwd beveiligingsmechanisme dat de snelheid waarmee logboeken binnenkomen bewaakt en vergelijkt met de uploadsnelheid. In geval van congestie laat de logboekverzamelaar logboekbestanden vallen. Als uw installatie doorgaans groter is dan 50 GB per uur, raden we u aan om het verkeer tussen meerdere logboekverzamelaars te splitsen.

Als u meer dan 10 gegevensbronnen nodig hebt, raden we u aan de gegevensbronnen te splitsen tussen meerdere logboekverzamelaars.

Uw gegevensbronnen definiëren

1. Selecteer in de Microsoft Defender-portal Instellingen > Cloud Apps > Cloud Discovery > Automatisch uploaden van logboeken.

2. Maak op het tabblad Gegevensbronnen een overeenkomende gegevensbron voor elke firewall of proxy waaruit u logboeken wilt uploaden:

   1. Selecteer Gegevensbron toevoegen.

   2. Voer in het dialoogvenster Gegevensbron toevoegen een naam in voor uw gegevensbron en selecteer vervolgens het type bron en ontvanger.

      Voordat u een bron selecteert, selecteert u Voorbeeld van het verwachte logboekbestand weergeven en vergelijkt u het logboek met de verwachte indeling. Als de indeling van uw logboekbestand niet overeenkomt met dit voorbeeld, voegt u de gegevensbron toe als Overige.

      Als u wilt werken met een netwerkapparaat dat niet wordt vermeld, selecteert u andere logboekindeling van klanten of Overige (alleen handmatig).> Zie Werken met de aangepaste logboekparser voor meer informatie.

   Notitie

   Voor integratie met protocollen voor veilige overdracht (FTPS en Syslog – TLS) zijn vaak aanvullende instellingen of uw firewall/proxy vereist.

Herhaal dit proces voor elke firewall en proxy waarvan het logboek kan worden gebruikt om verkeer op uw netwerk te detecteren.

U wordt aangeraden een toegewezen gegevensbron per netwerkapparaat in te stellen, zodat u de status van elk apparaat afzonderlijk kunt bewaken voor onderzoeksdoeleinden en schaduw-IT-detectie per apparaat kunt verkennen als elk apparaat wordt gebruikt door een ander gebruikerssegment.

Een logboekverzamelaar maken

1. Selecteer in de Microsoft Defender-portal Instellingen > Cloud Apps > Cloud Discovery > Automatisch uploaden van logboeken.

2. Selecteer Op het tabblad Logboekverzamelaars de optie Logboekverzamelaar toevoegen.

3. Voer in het dialoogvenster Logboekverzamelaar maken de volgende gegevens in:

   • Een naam voor de logboekverzamelaar
   • Het host-IP-adres, het privé-IP-adres van de computer die u gaat gebruiken om de Docker te implementeren. Het IP-adres van de host kan ook worden vervangen door de computernaam, als er een DNS-server is of gelijkwaardig is om de hostnaam op te lossen.

   Selecteer vervolgens het vak Gegevensbron(en) om de gegevensbronnen te selecteren die u met de collector wilt verbinden en selecteer Bijwerken om uw wijzigingen op te slaan. Elke logboekverzamelaar kan meerdere gegevensbronnen verwerken.

   In het dialoogvenster Logboekverzamelaar maken worden meer implementatiedetails weergegeven, inclusief een opdracht voor het importeren van de collectorconfiguratie. Voorbeeld:

   

4. Selecteer het pictogram Kopiëren naast de opdracht om het naar het Klembord te kopiëren.

   De details die worden weergegeven in het dialoogvenster Logboekverzamelaar maken verschillen, afhankelijk van de geselecteerde bron- en ontvangertypen. Als u bijvoorbeeld Syslog hebt geselecteerd, bevat het dialoogvenster details over de poort waarop de syslog-listener luistert.

   Kopieer de inhoud van het scherm en sla ze lokaal op, omdat u ze nodig hebt wanneer u de logboekverzamelaar configureert om te communiceren met Defender voor Cloud Apps.

5. Selecteer Exporteren om de bronconfiguratie te exporteren naar een . CSV-bestand waarin wordt beschreven hoe u de logboekexport in uw apparaten configureert.

Tip

Voor gebruikers die logboekgegevens voor het eerst via FTP verzenden, raden we u aan het wachtwoord voor de FTP-gebruiker te wijzigen. Zie Het FTP-wachtwoord wijzigen voor meer informatie.

Uw machine implementeren in Azure

In deze procedure wordt beschreven hoe u uw machine implementeert met Ubuntu. De implementatiestappen voor andere platforms verschillen enigszins.

1. Maak een nieuwe Ubuntu-machine in uw Azure-omgeving.

2. Nadat de computer is geopend, opent u de poorten:

   1. Ga in de computerweergave naar Netwerken en selecteer de relevante interface door erop te dubbelklikken.

   2. Ga naar de netwerkbeveiligingsgroep en selecteer de relevante netwerkbeveiligingsgroep.

   3. Ga naar beveiligingsregels voor inkomend verkeer en klik op Toevoegen.

   4. Voeg de volgende regels toe (in de geavanceerde modus):

      Naam	Poortbereiken van doel	Protocol	Bron	Doel
      caslogcollector_ftp	21	TCP	Your appliance's IP address's subnet	Alle
      caslogcollector_ftp_passive	20000-20099	TCP	Your appliance's IP address's subnet	Alle
      caslogcollector_syslogs_tcp	601-700	TCP	Your appliance's IP address's subnet	Alle
      caslogcollector_syslogs_udp	514-600	UDP	Your appliance's IP address's subnet	Alle

   Zie Werken met beveiligingsregels voor meer informatie.

3. Ga terug naar de computer en klik op Verbinding maken om een terminal op de computer te openen.

4. Wijzigen in hoofdmachtigingen met behulp van sudo -i.

5. Als u de licentievoorwaarden voor software accepteert, verwijdert u oude versies en installeert u Docker CE door de opdrachten uit te voeren die geschikt zijn voor uw omgeving:

   CentOS

   1. Oude versies van Docker verwijderen: yum erase docker docker-engine docker.io

   2. Vereisten voor Docker-engine installeren: yum install -y yum-utils

   3. Docker-opslagplaats toevoegen:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Docker-engine installeren: yum -y install docker-ce

   5. Docker starten

      systemctl start docker
      systemctl enable docker
      

   6. Docker-installatie testen: docker run hello-world

   Ubuntu

   1. Oude versies van Docker verwijderen: apt-get remove docker docker-engine docker.io

   2. Als u installeert op Ubuntu 14.04, installeert u het extra pakket linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Vereisten voor Docker-engine installeren:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Controleer of de apt-key vingerafdruk-UID is docker@docker.com: apt-key fingerprint | grep uid

   5. Docker-engine installeren:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Docker-installatie testen: docker run hello-world

6. Voer de opdracht uit die u eerder hebt gekopieerd uit het dialoogvenster Logboekverzamelaar maken. Voorbeeld:

   (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

7. Voer de volgende opdracht uit om te controleren of de logboekverzamelaar correct wordt uitgevoerd: Docker logs <collector_name> U krijgt de resultaten: Voltooid!

On-premises instellingen voor netwerkapparaat configureren

Configureer uw netwerkfirewalls en proxy's om periodiek logboeken te exporteren naar de toegewezen Syslog-poort van de FTP-map volgens de aanwijzingen in het dialoogvenster. Voorbeeld:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Uw implementatie controleren in Defender voor Cloud-apps

Controleer de collectorstatus in de tabel Logboekverzamelaar en controleer of de status Verbonden is. Als deze is gemaakt, is de verbinding met de logboekverzamelaar en parsering mogelijk niet voltooid.

Voorbeeld:

U kunt ook naar het beheerlogboek gaan en controleren of logboeken periodiek worden geüpload naar de portal.

U kunt de status van de logboekverzamelaar ook controleren vanuit de docker-container met behulp van de volgende opdrachten:

1. Meld u aan bij de container met behulp van deze opdracht: docker exec -it <Container Name> bash
2. Controleer de status van de logboekverzamelaar met behulp van deze opdracht: collector_status -p

Zie Problemen met clouddetectie oplossen als u problemen ondervindt tijdens de implementatie.

Optioneel - Aangepaste doorlopende rapporten maken

Controleer of de logboeken worden geüpload naar Defender voor Cloud Apps en of er rapporten worden gegenereerd. Maak na verificatie aangepaste rapporten. U kunt aangepaste detectierapporten maken op basis van Microsoft Entra-gebruikersgroepen. Als u bijvoorbeeld het cloudgebruik van uw marketingafdeling wilt zien, importeert u de marketinggroep met behulp van de functie gebruikersgroep importeren. Maak vervolgens een aangepast rapport voor deze groep. U kunt ook een rapport aanpassen op basis van IP-adrestag of IP-adresbereiken.

1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

2. Selecteer doorlopende rapporten onder Cloud Discovery.

3. Klik op de knop Rapport maken en vul de velden in.

4. Onder Filters kunt u de gegevens filteren op gegevensbron, op geïmporteerde gebruikersgroep of op IP-adrestags en -bereiken.

   Notitie

   Wanneer u filters toepast op doorlopende rapporten, wordt de selectie opgenomen, niet uitgesloten. Als u bijvoorbeeld een filter toepast op een bepaalde gebruikersgroep, wordt alleen die gebruikersgroep opgenomen in het rapport.

   

De logboekverzamelaar verwijderen

Als u een bestaande logboekverzamelaar hebt en deze wilt verwijderen voordat u deze opnieuw implementeert, of als u deze gewoon wilt verwijderen, voert u de volgende opdrachten uit:

docker stop <collector_name>
docker rm <collector_name>

Volgende stappen

De FTP-configuratie van de logboekverzamelaar wijzigen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.