Automatische logboekupload configureren met behulp van on-premises Docker in Windows

U kunt het automatisch uploaden van logboeken configureren voor doorlopende rapporten in Defender voor Cloud-apps met behulp van een Docker in Windows.

Vereisten

• Architectuurspecificaties:

  Specificatie	Beschrijving
  Besturingssysteem	Een van de volgende opties: Windows 10 (Fall creators update) Windows Server versie 1709+ (SAC) Windows Server 2019 (LTSC)
  Schijfruimte	250 GB
  CPU-kernen	2
  CPU-architectuur	Intel 64 en AMD 64
  RAM	4 GB

  Zie de docker-installatiedocumentatie voor een lijst met ondersteunde Docker-architecturen.

• Stel uw firewall zo nodig in . Zie Netwerkvereisten voor meer informatie.

• Virtualisatie op het besturingssysteem moet zijn ingeschakeld met Hyper-V.

Belangrijk

• Zakelijke klanten met meer dan 250 gebruikers of meer dan $ 10 miljoen USD in jaarlijkse omzet vereisen een betaald abonnement om Docker Desktop voor Windows te gebruiken. Zie het overzicht van docker-abonnementen voor meer informatie.
• Een gebruiker moet zijn aangemeld voor Docker om logboeken te verzamelen. Het is raadzaam om uw Docker-gebruikers te adviseren om de verbinding te verbreken zonder u af te melden.
• Docker voor Windows wordt niet officieel ondersteund in VMWare-virtualisatiescenario's.
• Docker voor Windows wordt niet officieel ondersteund in geneste virtualisatiescenario's. Als u nog steeds van plan bent geneste virtualisatie te gebruiken, raadpleegt u de officiële handleiding van Docker.
• Zie Docker Desktop installeren in Windows voor meer informatie over aanvullende configuratie- en implementatieoverwegingen voor Docker voor Windows.

Een bestaande logboekverzamelaar verwijderen

Als u een bestaande logboekverzamelaar hebt en deze wilt verwijderen voordat u deze opnieuw implementeert, of als u deze gewoon wilt verwijderen, voert u de volgende opdrachten uit:

docker stop <collector_name>
docker rm <collector_name>

Prestaties logboekverzamelaar

De logboekverzamelaar kan de logboekcapaciteit van maximaal 50 GB per uur verwerken. De belangrijkste knelpunten in het logboekverzamelproces zijn:

• Netwerkbandbreedte: de netwerkbandbreedte bepaalt de uploadsnelheid van het logboek.

• I/O-prestaties van de virtuele machine : bepaalt de snelheid waarmee logboeken naar de schijf van de logboekverzamelaar worden geschreven. De logboekverzamelaar heeft een ingebouwd beveiligingsmechanisme dat de snelheid waarmee logboeken binnenkomen bewaakt en vergelijkt met de uploadsnelheid. In geval van congestie laat de logboekverzamelaar logboekbestanden vallen. Als uw installatie doorgaans groter is dan 50 GB per uur, is het raadzaam om het verkeer tussen meerdere logboekverzamelaars op te splitsen.

Stap 1: configuratie van webportal

Gebruik de volgende stappen om uw gegevensbronnen te definiëren en deze te koppelen aan een logboekverzamelaar. Eén logboekverzamelaar kan meerdere gegevensbronnen verwerken.

1. Selecteer in de Microsoft Defender-portal Instellingen Cloud Apps>Cloud Discovery>: het tabblad Gegevensbronnen>automatisch uploaden>van logboeken.

2. Maak voor elke firewall of proxy waaruit u logboeken wilt uploaden een overeenkomende gegevensbron aan:

   1. Selecteer +Gegevensbron toevoegen.

      

   2. Geef uw proxy of firewall een Naam.

      

   3. Selecteer het apparaat in de lijst Bron. Als u aangepaste logboekindeling selecteert om te werken met een netwerkapparaat dat niet wordt vermeld, raadpleegt u Werken met de aangepaste logboekparser voor configuratie-instructies.

   4. Vergelijk uw logboek met het voorbeeld van de verwachte logboekindeling. Als uw logboekbestandsindeling niet overeenkomt met dit voorbeeld, moet u de gegevensbron toevoegen als Overige.

   5. Stel het type ontvanger in op FTP, FTPS, Syslog – UDP of Syslog – TCP of Syslog – TLS.

      Notitie

      Voor integratie met protocollen voor veilige overdracht (FTPS en Syslog – TLS) zijn vaak aanvullende instellingen vereist voor uw firewall/proxy.

   6. Herhaal dit proces voor elke firewall en proxy waarvan het logboek kan worden gebruikt om verkeer op uw netwerk te detecteren. U wordt aangeraden een toegewezen gegevensbron per netwerkapparaat in te stellen, zodat u het volgende kunt doen:

      • Controleer de status van elk apparaat afzonderlijk voor onderzoeksdoeleinden.
      • Verken Shadow IT Discovery per apparaat als elk apparaat wordt gebruikt door een ander gebruikerssegment.

3. Selecteer boven aan de pagina het tabblad Logboekverzamelaars en selecteer vervolgens Logboekverzamelaar toevoegen.

4. In het dialoogvenster Logboekverzamelaar maken:

   1. Voer in het veld Naam een betekenisvolle naam in voor de logboekverzamelaar.

   2. Geef de logboekverzamelaar een naam en voer het HOST-IP-adres (privé-IP-adres) in van de computer die u gaat gebruiken om de Docker te implementeren. Het IP-adres van de host kan worden vervangen door de computernaam als er een DNS-server (of gelijkwaardig) is waarmee de hostnaam wordt omgezet.

   3. Selecteer alle gegevensbronnen die u wilt verbinden met de collector en selecteer Bijwerken om de configuratie op te slaan.

      Meer informatie over de implementatie wordt weergegeven in de sectie Volgende stappen , inclusief een opdracht die u later gaat gebruiken om de collectorconfiguratie te importeren. Als u Syslog hebt geselecteerd, bevat deze informatie ook gegevens over de poort waarop de Syslog-listener luistert.

   4. Gebruik de knop Kopiëren om de opdracht naar het klembord te kopiëren en op een afzonderlijke locatie op te slaan.

   5. Gebruik de knop Exporteren om de verwachte configuratie van de gegevensbron te exporteren. In deze configuratie wordt beschreven hoe u de logboekexport in uw apparaten moet instellen.

Voor gebruikers die logboekgegevens voor het eerst via FTP verzenden, raden we u aan het wachtwoord voor de FTP-gebruiker te wijzigen. Zie Het FTP-wachtwoord wijzigen voor meer informatie.

Stap 2: on-premises implementatie van uw machine

In de volgende stappen wordt de implementatie in Windows beschreven. De implementatiestappen voor andere platforms verschillen enigszins.

1. Open een PowerShell-terminal als beheerder op uw Windows-computer.

2. Voer de volgende opdracht uit om het PowerShell-scriptbestand van het Windows Docker-installatieprogramma te downloaden:

   Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
   

   Zie Handtekening van het installatieprogramma valideren om te controleren of het installatieprogramma is ondertekend door Microsoft.

3. Voer het volgende uit om uitvoering van PowerShell-scripts in te schakelen:

   Set-ExecutionPolicy RemoteSigned`
   

4. Voer de volgende opdracht uit om de Docker-client op uw computer te installeren:

   & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
   

   De machine wordt automatisch opnieuw opgestart nadat u de opdracht hebt uitgevoerd.

5. Wanneer de machine weer actief is, voert u dezelfde opdracht opnieuw uit:

   & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`
   

6. Voer het Docker-installatieprogramma uit, waarbij u WSL 2 wilt gebruiken in plaats van Hyper-V.

   Nadat de installatie is voltooid, wordt de computer automatisch opnieuw opgestart.

7. Nadat het opnieuw opstarten is voltooid, opent u de Docker-client en accepteert u de Docker-abonnementsovereenkomst.

8. Als de installatie van WSL2 niet is voltooid, wordt in een bericht aangegeven dat de WSL 2 Linux-kernel is geïnstalleerd met behulp van een afzonderlijk MSI-updatepakket.

9. Voltooi de installatie door het pakket te downloaden. Zie Het Linux-kernelupdatepakket downloaden voor meer informatie.

10. Open de Docker Desktop-client opnieuw en controleer of deze is gestart.

11. Open een opdrachtprompt als beheerder en voer de uitvoeropdracht in die u eerder uit de portal hebt gekopieerd in stap 1: webportalconfiguratie.

    Als u een proxy wilt configureren, voegt u het IP-adres en het poortnummer van de proxy toe. Als uw proxygegevens bijvoorbeeld 172.31.255.255:8080 zijn, is de bijgewerkte uitvoeringsopdracht:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    

12. Voer het volgende uit om te controleren of de collector correct wordt uitgevoerd:

    docker logs <collector_name>
    

    Het volgende bericht wordt weergegeven: Voltooid! Bijvoorbeeld:

    

Stap 3: on-premises configuratie van uw netwerkapparaten

Configureer uw netwerkfirewalls en proxy's om periodiek logboeken te exporteren naar de toegewezen Syslog-poort van de FTP-map volgens de aanwijzingen in het dialoogvenster. Voorbeeld:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Stap 4: controleer de geslaagde implementatie in de portal

Controleer de collectorstatus in de tabel logboekverzamelaar en controleer of de status Verbonden is. Als deze is gemaakt, is de verbinding met de logboekverzamelaar en parsering mogelijk niet voltooid.

U kunt ook naar het beheerlogboek gaan en controleren of logboeken periodiek worden geüpload naar de portal.

U kunt de status van de logboekverzamelaar ook controleren vanuit de docker-container met behulp van de volgende opdrachten:

1. Meld u aan bij de container:

   docker exec -it <Container Name> bash
   

2. Controleer de status van de logboekverzamelaar:

   collector_status -p
   

Zie Problemen met clouddetectie oplossen als u problemen ondervindt tijdens de implementatie.

Optioneel - Aangepaste doorlopende rapporten maken

Controleer of de logboeken worden geüpload naar Defender voor Cloud Apps en of er rapporten worden gegenereerd. Maak na verificatie aangepaste rapporten. U kunt aangepaste detectierapporten maken op basis van Microsoft Entra-gebruikersgroepen. Als u bijvoorbeeld het cloudgebruik van uw marketingafdeling wilt zien, importeert u de marketinggroep met behulp van de functie gebruikersgroep importeren. Maak vervolgens een aangepast rapport voor deze groep. U kunt ook een rapport aanpassen op basis van IP-adrestag of IP-adresbereiken.

1. Selecteer In de Microsoft Defender-portal Instellingen>Cloud Apps>Cloud Discovery>Continue rapporten.

2. Selecteer de knop Rapport maken en vul de velden in.

3. Onder Filters kunt u de gegevens filteren op gegevensbron, op geïmporteerde gebruikersgroep of op IP-adrestags en -bereiken.

   Notitie

   Wanneer u filters toepast op doorlopende rapporten, wordt de selectie opgenomen, niet uitgesloten. Als u bijvoorbeeld een filter toepast op een bepaalde gebruikersgroep, wordt alleen die gebruikersgroep opgenomen in het rapport.

   

Optioneel - Handtekening van installatieprogramma valideren

Om ervoor te zorgen dat het docker-installatieprogramma is ondertekend door Microsoft:

1. Klik met de rechtermuisknop op het bestand en selecteer Eigenschappen.

2. Selecteer Digitale handtekeningen en zorg ervoor dat deze digitale handtekening in orde is.

3. Zorg ervoor dat Microsoft Corporation wordt vermeld als de enige vermelding onder De naam van de ondertekenaar.

   

   Als de digitale handtekening niet geldig is, betekent dit dat deze digitale handtekening niet geldig is:

   

Volgende stappen

De FTP-configuratie van de logboekverzamelaar wijzigen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.