Automatische logboekupload configureren met behulp van on-premises Docker in Windows
U kunt het automatisch uploaden van logboeken configureren voor doorlopende rapporten in Defender voor Cloud-apps met behulp van een Docker in Windows.
Vereisten
Architectuurspecificaties:
Besturingssysteem: een van de volgende:
Windows 10 (Fall creators update)
Windows Sever versie 1709+ (SAC)
Windows Server 2019 (LTSC)
Schijfruimte: 250 GB
CPU-kernen: 2
CPU-architectuur: Intel 64 en AMD 64
RAM: 4 GB
Zie de docker-installatiedocumentatie voor een lijst met ondersteunde Docker-architecturen.
Uw firewall instellen zoals beschreven in netwerkvereisten
Virtualisatie op het besturingssysteem moet zijn ingeschakeld met Hyper-V
Belangrijk
- Zakelijke klanten met meer dan 250 gebruikers of meer dan $ 10 miljoen USD in jaarlijkse omzet vereisen een betaald abonnement om Docker Desktop voor Windows te gebruiken. Zie het overzicht van docker-abonnementen voor meer informatie.
- Een gebruiker moet zijn aangemeld voor Docker om logboeken te verzamelen. Het is raadzaam om uw Docker-gebruikers te adviseren om de verbinding te verbreken zonder u af te melden.
- Docker voor Windows wordt niet officieel ondersteund in VMWare-virtualisatiescenario's.
- Docker voor Windows wordt niet officieel ondersteund in geneste virtualisatiescenario's. Als u nog steeds van plan bent geneste virtualisatie te gebruiken, raadpleegt u de officiële handleiding van Docker.
- Zie Docker Desktop installeren in Windows voor meer informatie over aanvullende configuratie- en implementatieoverwegingen voor Docker voor Windows.
Notitie
Als u een bestaande logboekverzamelaar hebt en deze wilt verwijderen voordat u deze opnieuw implementeert, of als u deze gewoon wilt verwijderen, voert u de volgende opdrachten uit:
docker stop <collector_name>
docker rm <collector_name>
Prestaties logboekverzamelaar
De logboekverzamelaar kan een logboekcapaciteit van maximaal 50 GB per uur aan. De belangrijkste knelpunten in het logboekverzamelproces zijn:
Netwerkbandbreedte: de netwerkbandbreedte bepaalt de uploadsnelheid van het logboek.
I/O-prestaties van de virtuele machine : bepaalt de snelheid waarmee logboeken naar de schijf van de logboekverzamelaar worden geschreven. De logboekverzamelaar heeft een ingebouwd beveiligingsmechanisme dat de snelheid waarmee logboeken binnenkomen bewaakt en vergelijkt met de uploadsnelheid. In geval van congestie laat de logboekverzamelaar logboekbestanden vallen. Als uw installatie doorgaans groter is dan 50 GB per uur, is het raadzaam om het verkeer tussen meerdere logboekverzamelaars op te splitsen.
Installatie en configuratie
Stap 1 - Webportalconfiguratie: gegevensbronnen definiëren en deze koppelen aan een logboekverzamelaar
Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
Selecteer onder Cloud Discovery automatische logboekupload. Selecteer vervolgens het tabblad Gegevensbronnen .
Maak voor elke firewall of proxy waaruit u logboeken wilt uploaden een overeenkomende gegevensbron.
- Selecteer +Gegevensbron toevoegen.
- Geef uw proxy of firewall een Naam.
- Selecteer het apparaat in de lijst Bron. Als u aangepaste logboekindeling selecteert om te werken met een netwerkapparaat dat niet wordt vermeld, raadpleegt u Werken met de aangepaste logboekparser voor configuratie-instructies.
- Vergelijk uw logboek met het voorbeeld van de verwachte logboekindeling. Als uw logboekbestandsindeling niet overeenkomt met dit voorbeeld, moet u de gegevensbron toevoegen als Overige.
- Stel het type ontvanger in op FTP, FTPS, Syslog – UDP of Syslog – TCP of Syslog – TLS.
Notitie
Voor integratie met protocollen voor veilige overdracht (FTPS en Syslog – TLS) zijn vaak aanvullende instellingen of uw firewall/proxy vereist.
f. Herhaal dit proces voor elke firewall en proxy waarvan het logboek kan worden gebruikt om verkeer op uw netwerk te detecteren. Het is raadzaam om een toegewezen gegevensbron per netwerkapparaat in te stellen, zodat u het volgende kunt doen:
- Controleer de status van elk apparaat afzonderlijk voor onderzoeksdoeleinden.
- Verken Shadow IT Discovery per apparaat als elk apparaat wordt gebruikt door een ander gebruikerssegment.
- Selecteer +Gegevensbron toevoegen.
Ga naar het tabblad Logboekverzamelaars bovenaan.
- Selecteer Logboekverzamelaar toevoegen.
- Geef de logboekverzamelaar een Naam.
- Voer het host-IP-adres (privé-IP-adres ) in van de computer die u gaat gebruiken om de Docker te implementeren. Het IP-adres van de host kan worden vervangen door de computernaam als er een DNS-server (of gelijkwaardig) is waarmee de hostnaam wordt omgezet.
- Selecteer alle gegevensbronnen die u wilt verbinden met de collector en selecteer Bijwerken om de configuratie op te slaan.
Er wordt meer informatie over de implementatie weergegeven. Kopieer de opdracht uitvoeren vanuit het dialoogvenster. U kunt de kopie gebruiken naar het klembordpictogram, . Deze hebt u later nodig.
Exporteer de verwachte configuratie van de gegevensbron. In deze configuratie wordt beschreven hoe u de logboekexport in uw apparaten moet instellen.
Notitie
- Eén logboekverzamelaar kan meerdere gegevensbronnen verwerken.
- Kopieer de inhoud van het scherm omdat u de informatie nodig hebt wanneer u de logboekverzamelaar configureert om te communiceren met Defender voor Cloud-apps. Als u Syslog hebt geselecteerd, wordt ook informatie weergegeven over de poort waarop de Syslog-listener luistert.
- Voor gebruikers die logboekgegevens voor het eerst via FTP verzenden, raden we u aan het wachtwoord voor de FTP-gebruiker te wijzigen. Zie Het FTP-wachtwoord wijzigen voor meer informatie.
Stap 2: on-premises implementatie van uw machine
In de volgende stappen wordt de implementatie in Windows beschreven. De implementatiestappen voor andere platforms verschillen enigszins.
Open een PowerShell-terminal als beheerder op uw Windows-computer.
Voer de volgende opdracht uit om het PowerShell-scriptbestand van het Windows Docker-installatieprogramma te downloaden:
Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
Zie Handtekening van het installatieprogramma valideren om te controleren of het installatieprogramma is ondertekend door Microsoft.
Als u powerShell-scriptuitvoering wilt inschakelen, voert u het volgende uit
Set-ExecutionPolicy RemoteSigned
Uitvoeren:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)
Hiermee wordt de Docker-client op uw computer geïnstalleerd.Nadat de opdracht is uitgevoerd, wordt de machine automatisch opnieuw opgestart.
Wanneer de machine weer actief is, voert u dezelfde opdracht uit in PowerShell:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)
Voer het Docker-installatieprogramma uit. Selecteer WSL 2 gebruiken in plaats van Hyper-V (aanbevolen):
Nadat de installatie is voltooid, wordt de machine automatisch opnieuw opgestart.
Nadat het opnieuw opstarten is voltooid, opent u de Docker-client en doorloopt u de Docker-abonnementsovereenkomst:
Als de installatie van WSL2 niet is voltooid, wordt het volgende pop-upbericht weergegeven:
Voltooi de installatie door het pakket te downloaden, zoals wordt uitgelegd in Het Linux-kernelupdatepakket downloaden.
Open de Docker Desktop-client opnieuw en controleer of deze is gestart:
Voer CMD uit als beheerder en typ de opdracht uitvoeren die is gegenereerd in de portal. Als u een proxy wilt configureren, voegt u het IP-adres en het poortnummer van de proxy toe. Als uw proxygegevens bijvoorbeeld 192.168.10.1:8080 zijn, is de bijgewerkte uitvoeringsopdracht:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Controleer of de collector correct wordt uitgevoerd met de volgende opdracht:
docker logs <collector_name>
Het volgende bericht wordt weergegeven: Voltooid!
Stap 3: on-premises configuratie van uw netwerkapparaten
Configureer uw netwerkfirewalls en proxy's om periodiek logboeken te exporteren naar de toegewezen Syslog-poort van de FTP-map volgens de aanwijzingen in het dialoogvenster. Voorbeeld:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Stap 4: controleer de geslaagde implementatie in de portal
Controleer de collectorstatus in de tabel Logboekverzamelaar en controleer of de status Verbinding maken. Als deze is gemaakt, is de verbinding met de logboekverzamelaar en parsering mogelijk niet voltooid.
U kunt ook naar het beheerlogboek gaan en controleren of logboeken periodiek worden geüpload naar de portal.
U kunt de status van de logboekverzamelaar ook controleren vanuit de docker-container met behulp van de volgende opdrachten:
- Meld u aan bij de container met behulp van deze opdracht:
docker exec -it <Container Name> bash
- Controleer de status van de logboekverzamelaar met behulp van deze opdracht:
collector_status -p
Zie Problemen met Cloud Discovery oplossen als u problemen ondervindt tijdens de implementatie.
Optioneel - Aangepaste doorlopende rapporten maken
Controleer of de logboeken worden geüpload naar Defender voor Cloud Apps en of er rapporten worden gegenereerd. Maak na verificatie aangepaste rapporten. U kunt aangepaste detectierapporten maken op basis van Microsoft Entra-gebruikersgroepen. Als u bijvoorbeeld het cloudgebruik van uw marketingafdeling wilt zien, importeert u de marketinggroep met behulp van de functie gebruikersgroep importeren. Maak vervolgens een aangepast rapport voor deze groep. U kunt ook een rapport aanpassen op basis van IP-adrestag of IP-adresbereiken.
Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
Selecteer doorlopende rapporten onder Cloud Discovery.
Selecteer de knop Rapport maken en vul de velden in.
Onder Filters kunt u de gegevens filteren op gegevensbron, op geïmporteerde gebruikersgroep of op IP-adrestags en -bereiken.
Notitie
Wanneer u filters toepast op doorlopende rapporten, wordt de selectie opgenomen, niet uitgesloten. Als u bijvoorbeeld een filter toepast op een bepaalde gebruikersgroep, wordt alleen die gebruikersgroep opgenomen in het rapport.
Optioneel - Handtekening van installatieprogramma valideren
Om ervoor te zorgen dat het docker-installatieprogramma is ondertekend door Microsoft:
Klik met de rechtermuisknop op het bestand en selecteer Eigenschappen.
Selecteer Digitale handtekeningen en zorg ervoor dat deze digitale handtekening in orde is.
Zorg ervoor dat Microsoft Corporation wordt vermeld als de enige vermelding onder De naam van de ondertekenaar.
Als de digitale handtekening niet geldig is, betekent dit dat deze digitale handtekening niet geldig is:
Volgende stappen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.