Automatische logboekupload configureren met behulp van on-premises Docker in Linux

Notitie

Microsoft Defender voor Cloud Apps maakt nu deel uit van Microsoft 365 Defender, die signalen correleert vanuit de Microsoft Defender-suite en biedt detectie, onderzoek en krachtige reactiemogelijkheden op incidentniveau. Zie Microsoft Defender voor Cloud Apps in Microsoft 365 Defender voor meer informatie.

U kunt het automatisch uploaden van logboeken configureren voor doorlopende rapporten in Defender voor Cloud-apps met behulp van een Docker op een on-premises Ubuntu-, Red Hat Enterprise Linux-server (RHEL) of CentOS-server.

Vereisten

• Besturingssysteem:

  • Ubuntu 14.04, 16.04, 18.04 en 20.04
  • RHEL 7.2 of hoger
  • CentOS 7.2 of hoger

• Schijfruimte: 250 GB

• CPU-kernen: 2

• CPU-architectuur: Intel® 64 en AMD 64

• RAM: 4 GB

• Uw firewall instellen zoals beschreven in netwerkvereisten

Notitie

Als u een bestaande logboekverzamelaar hebt en deze wilt verwijderen voordat u deze opnieuw implementeert, of als u deze gewoon wilt verwijderen, voert u de volgende opdrachten uit:

docker stop <collector_name>
docker rm <collector_name>

Prestaties logboekverzamelaar

De logboekverzamelaar kan een logboekcapaciteit van maximaal 50 GB per uur aan. De belangrijkste knelpunten in het logboekverzamelproces zijn:

• Netwerkbandbreedte: de netwerkbandbreedte bepaalt de uploadsnelheid van het logboek.

• I/O-prestaties van de virtuele machine : bepaalt de snelheid waarmee logboeken naar de schijf van de logboekverzamelaar worden geschreven. De logboekverzamelaar heeft een ingebouwd beveiligingsmechanisme dat de snelheid waarmee logboeken binnenkomen bewaakt en vergelijkt met de uploadsnelheid. In geval van congestie laat de logboekverzamelaar logboekbestanden vallen. Als uw installatie doorgaans groter is dan 50 GB per uur, is het raadzaam om het verkeer tussen meerdere logboekverzamelaars op te splitsen.

Installatie en configuratie

Stap 1 - Webportalconfiguratie: gegevensbronnen definiëren en deze koppelen aan een logboekverzamelaar

1. Selecteer Instellingen in de Microsoft 365 Defender-portal. Kies vervolgens Cloud Apps.

2. Selecteer onder Cloud Discovery automatische logboekupload. Selecteer vervolgens het tabblad Gegevensbronnen .

3. Maak voor elke firewall of proxy waaruit u logboeken wilt uploaden een overeenkomende gegevensbron.

   1. Klik op Gegevensbron toevoegen.
      
   2. Geef uw proxy of firewall een Naam.
      
   3. Selecteer het apparaat in de lijst Bron. Als u aangepaste logboekindeling selecteert om te werken met een netwerkapparaat dat niet wordt vermeld, raadpleegt u Werken met de aangepaste logboekparser voor configuratie-instructies.
   4. Vergelijk uw logboek met het voorbeeld van de verwachte logboekindeling. Als uw logboekbestandsindeling niet overeenkomt met dit voorbeeld, moet u de gegevensbron toevoegen als Overige.
   5. Stel het type ontvanger in op FTP, FTPS, Syslog – UDP of Syslog – TCP of Syslog – TLS.

   Notitie

   Voor integratie met protocollen voor veilige overdracht (FTPS en Syslog – TLS) zijn vaak aanvullende instellingen of uw firewall/proxy vereist.

   f. Herhaal dit proces voor elke firewall en proxy waarvan het logboek kan worden gebruikt om verkeer op uw netwerk te detecteren. Het is raadzaam om een toegewezen gegevensbron per netwerkapparaat in te stellen, zodat u het volgende kunt doen:

   • Controleer de status van elk apparaat afzonderlijk voor onderzoeksdoeleinden.
   • Verken Shadow IT Discovery per apparaat als elk apparaat wordt gebruikt door een ander gebruikerssegment.

4. Ga naar het tabblad Logboekverzamelaars bovenaan.

   1. Klik op Logboekverzamelaar toevoegen.
   2. Geef de logboekverzamelaar een Naam.
   3. Voer het host-IP-adres (privé-IP-adres ) in van de computer die u gaat gebruiken om de Docker te implementeren. Het IP-adres van de host kan worden vervangen door de computernaam, als er een DNS-server (of gelijkwaardig) is die de hostnaam oplost.
   4. Selecteer alle gegevensbronnen die u wilt verbinden met de collector en klik op Bijwerken om de configuratie op te slaan.

   

5. Er wordt meer informatie over de implementatie weergegeven. Kopieer de opdracht uitvoeren vanuit het dialoogvenster. U kunt het kopiëren naar het klembordpictogram gebruiken.

6. Exporteer de verwachte configuratie van de gegevensbron. In deze configuratie wordt beschreven hoe u de logboekexport in uw apparaten moet instellen.

   

   Notitie

   • Eén logboekverzamelaar kan meerdere gegevensbronnen verwerken.
   • Kopieer de inhoud van het scherm omdat u de informatie nodig hebt wanneer u de logboekverzamelaar configureert om te communiceren met Defender voor Cloud-apps. Als u Syslog hebt geselecteerd, wordt ook informatie weergegeven over de poort waarop de Syslog-listener luistert.
   • Voor gebruikers die logboekgegevens voor het eerst via FTP verzenden, raden we u aan het wachtwoord voor de FTP-gebruiker te wijzigen. Zie Het FTP-wachtwoord wijzigen voor meer informatie.

Stap 2: on-premises implementatie van uw machine

In de volgende stappen wordt de implementatie in Ubuntu beschreven.

Notitie

De implementatiestappen voor andere ondersteunde platforms kunnen enigszins afwijken.

1. Open een terminal op uw Ubuntu-computer.

2. Wijzig de hoofdbevoegdheden met behulp van de opdracht: sudo -i

3. Voer de volgende twee opdrachten uit om een proxy in uw netwerk te omzeilen:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Als u de licentievoorwaarden voor software accepteert, verwijdert u oude versies en installeert u Docker CE door de opdrachten uit te voeren die geschikt zijn voor uw omgeving:

CentOS

1. Oude versies van Docker verwijderen: yum erase docker docker-engine docker.io

2. Vereisten voor Docker-engine installeren: yum install -y yum-utils

3. Docker-opslagplaats toevoegen:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Docker-engine installeren: yum -y install docker-ce

5. Docker starten

   systemctl start docker
   systemctl enable docker
   

6. Docker-installatie testen: docker run hello-world

Red Hat 7

1. Oude versies van Docker verwijderen: yum erase docker docker-engine docker.io

2. Vereisten voor Docker-engine installeren:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Docker-opslagplaats toevoegen:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. Afhankelijkheden installeren:

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Docker-engine installeren: sudo yum install docker-ce

6. Docker starten

   systemctl start docker
   systemctl enable docker
   

7. Docker-installatie testen: docker run hello-world

Red Hat 8

1. Verwijder de module containerhulpprogramma's: yum module remove container-tools

2. Voeg de Docker CE-opslagplaats toe: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. Wijzig het yum-opslagplaatsbestand om CentOS 8/RHEL 8-pakketten te gebruiken: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Docker CE installeren: yum install docker-ce

5. Docker starten

   systemctl start docker
   systemctl enable docker
   

6. Docker-installatie testen: docker run hello-world

Ubuntu

1. Oude versies van Docker verwijderen: apt-get remove docker docker-engine docker.io

2. Als u installeert op Ubuntu 14.04, installeert u het extra pakket linux-image-extra.

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. Vereisten voor Docker-engine installeren:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. Controleer of de apt-key vingerafdruk-UID is docker@docker.com: apt-key fingerprint | grep uid

5. Docker-engine installeren:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Docker-installatie testen: docker run hello-world

5. Implementeer de collectorinstallatiekopieën op de hostingcomputer door de collectorconfiguratie te importeren. Importeer de configuratie door de uitvoeropdracht te kopiëren die is gegenereerd in de portal. Als u een proxy wilt configureren, voegt u het IP-adres en het poortnummer van de proxy toe. Als uw proxygegevens bijvoorbeeld 192.168.10.1:8080 zijn, is de bijgewerkte uitvoeringsopdracht:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

6. Controleer of de collector correct wordt uitgevoerd met de volgende opdracht: docker logs <collector_name>

Het volgende bericht wordt weergegeven: Voltooid!

Stap 3: on-premises configuratie van uw netwerkapparaten

Configureer uw netwerkfirewalls en proxy's om periodiek logboeken te exporteren naar de toegewezen Syslog-poort of de FTP-map volgens de aanwijzingen in het dialoogvenster. Bijvoorbeeld:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Stap 4: controleer de geslaagde implementatie in de portal

Controleer de collectorstatus in de tabel Logboekverzamelaar en controleer of de status Verbinding maken. Als deze is gemaakt, is de verbinding met de logboekverzamelaar en parsering mogelijk niet voltooid.

U kunt ook naar het beheerlogboek gaan en controleren of logboeken periodiek worden geüpload naar de portal.

U kunt de status van de logboekverzamelaar ook controleren vanuit de docker-container met behulp van de volgende opdrachten:

1. Meld u aan bij de container met behulp van deze opdracht: docker exec -it <Container Name> bash
2. Controleer de status van de logboekverzamelaar met behulp van deze opdracht: collector_status -p

Zie Problemen met Cloud Discovery oplossen als u problemen ondervindt tijdens de implementatie.

Optioneel - Aangepaste doorlopende rapporten maken

Controleer of de logboeken worden geüpload naar Defender voor Cloud Apps en of er rapporten worden gegenereerd. Maak na verificatie aangepaste rapporten. U kunt aangepaste detectierapporten maken op basis van Azure Active Directory-gebruikersgroepen. Als u bijvoorbeeld het cloudgebruik van uw marketingafdeling wilt zien, importeert u de marketinggroep met behulp van de functie gebruikersgroep importeren. Maak vervolgens een aangepast rapport voor deze groep. U kunt ook een rapport aanpassen op basis van IP-adrestag of IP-adresbereiken.

1. Selecteer Instellingen in de Microsoft 365 Defender-portal. Kies vervolgens Cloud Apps.

2. Selecteer doorlopende rapporten onder Cloud Discovery.

3. Klik op de knop Rapport maken en vul de velden in.

4. Onder Filters kunt u de gegevens filteren op gegevensbron, op geïmporteerde gebruikersgroep of op IP-adrestags en -bereiken.

   Notitie

   Wanneer u filters toepast op doorlopende rapporten, wordt de selectie opgenomen, niet uitgesloten. Als u bijvoorbeeld een filter toepast op een bepaalde gebruikersgroep, wordt alleen die gebruikersgroep opgenomen in het rapport.

   

Volgende stappen

De FTP-configuratie van de logboekverzamelaar wijzigen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.