Konfigurowanie automatycznego przekazywania dzienników przy użyciu lokalnej platformy Docker w systemie Linux

Możesz skonfigurować automatyczne przekazywanie dzienników dla raportów ciągłych w Defender for Cloud Apps przy użyciu platformy Docker na lokalnym serwerze Ubuntu lub CentOS.

Ważna

Jeśli używasz programu RHEL w wersji 7.1 lub nowszej, musisz użyć narzędzia Podman do automatycznego zbierania dzienników zamiast platformy Docker. Aby uzyskać więcej informacji, zobacz Konfigurowanie automatycznego przekazywania dzienników przy użyciu narzędzia Podman.

Wymagania wstępne

Specyfikacja	Opis
System operacyjny	Jedna z następujących czynności: Ubuntu 14.04, 16.04, 18.04 i 20.04 CentOS 7.2 lub nowszy
Miejsce na dysku	250 GB
Rdzenie procesora CPU	2
Architektura procesora CPU	Intel 64 i AMD 64
BARAN	4 GB

Pamiętaj, aby ustawić zaporę zgodnie z potrzebami. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci.

Usuwanie istniejącego modułu zbierającego dzienniki

Jeśli masz istniejący moduł zbierający dzienniki i chcesz go usunąć przed ponownym wdrożeniem lub po prostu chcesz go usunąć, uruchom następujące polecenia:

docker stop <collector_name>
docker rm <collector_name>

Wydajność modułu zbierającego dzienniki

Moduł zbierający dzienniki może pomyślnie obsłużyć pojemność dziennika do 50 GB na godzinę. Główne wąskie gardła w procesie zbierania dzienników to:

• Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.

• Wydajność we/wy maszyny wirtualnej — określa szybkość zapisywania dzienników na dysku modułu zbierającego dzienniki. Moduł zbierający dzienniki ma wbudowany mechanizm bezpieczeństwa, który monitoruje szybkość docierania dzienników i porównuje go z szybkością przekazywania. W przypadku przeciążenia moduł zbierający dzienniki zaczyna usuwać pliki dziennika. Jeśli konfiguracja zwykle przekracza 50 GB na godzinę, zaleca się podzielenie ruchu między wiele modułów zbierających dzienniki.

Krok 1 . Konfiguracja portalu sieci Web: Definiowanie źródeł danych i łączenie ich z modułem zbierającym dzienniki

1. W portalu Microsoft Defender wybierz pozycję Ustawienia>Cloud Apps>Cloud Discovery>Karta Automatyczne przekazywanie>danych dzienników.

2. Dla każdej zapory lub serwera proxy, z którego chcesz przekazać dzienniki, utwórz pasujące źródło danych.

   1. Wybierz pozycję +Dodaj źródło danych.

      

   2. Nadaj serwerowi proxy lub zaporze nazwę.

      

   3. Wybierz urządzenie z listy Źródło . Jeśli wybierzesz opcję Niestandardowy format dziennika do pracy z urządzeniem sieciowym, które nie znajduje się na liście, zobacz Working with the custom log parser (Praca z niestandardowym analizatorem dzienników ), aby uzyskać instrukcje konfiguracji.

   4. Porównaj dziennik z przykładem oczekiwanego formatu dziennika. Jeśli format pliku dziennika nie jest zgodny z tym przykładem, należy dodać źródło danych jako inne.

   5. Ustaw typ odbiornika na WARTOŚĆ FTP, FTPS, Syslog — UDP lub Syslog — TCP lub Syslog — TLS.

      Uwaga

      Integracja z protokołami bezpiecznego transferu (FTPS i Syslog — TLS) często wymaga dodatkowych ustawień zapory/serwera proxy.

   6. Powtórz ten proces dla każdej zapory i serwera proxy, których dzienniki mogą służyć do wykrywania ruchu w sieci. Zalecamy skonfigurowanie dedykowanego źródła danych na urządzenie sieciowe, aby umożliwić:

   • Osobno monitoruj stan każdego urządzenia do celów badania.
   • Eksploruj odnajdywanie it w tle na urządzenie, jeśli każde urządzenie jest używane przez inny segment użytkownika.

3. W górnej części strony wybierz kartę Moduły zbierające dzienniki , a następnie wybierz pozycję Dodaj moduł zbierający dzienniki.

4. W oknie dialogowym Tworzenie modułu zbierającego dzienniki :

   1. W polu Nazwa wprowadź znaczącą nazwę modułu zbierającego dzienniki.

   2. Nadaj modułowi zbierającemu dzienniki nazwę i wprowadź adres IP hosta (prywatny adres IP) maszyny, która zostanie użyta do wdrożenia platformy Docker. Adres IP hosta można zastąpić nazwą maszyny, jeśli istnieje serwer DNS (lub równoważny), który rozpozna nazwę hosta.

   3. Wybierz wszystkie źródła danych , które chcesz połączyć z modułem zbierającym, a następnie wybierz pozycję Aktualizuj , aby zapisać konfigurację.

      Dalsze informacje o wdrożeniu pojawią się w sekcji Następne kroki , w tym polecenie, którego użyjesz później do zaimportowania konfiguracji modułu zbierającego. Jeśli wybrano pozycję Syslog, te informacje zawierają również dane dotyczące portu, na którym nasłuchuje odbiornik Syslog.

   4. Użyj Skopiuj przycisk, aby skopiować polecenie do schowka i zapisać je w osobnej lokalizacji.

   5. Użyj Przycisk Eksportuj , aby wyeksportować oczekiwaną konfigurację źródła danych. W tej konfiguracji opisano sposób ustawiania eksportu dziennika na urządzeniach.

W przypadku użytkowników wysyłających dane dziennika za pośrednictwem protokołu FTP po raz pierwszy zalecamy zmianę hasła dla użytkownika FTP. Aby uzyskać więcej informacji, zobacz Zmienianie hasła FTP.

Krok 2 . Lokalne wdrożenie maszyny

W poniższych krokach opisano wdrożenie w systemie Ubuntu. Kroki wdrażania dla innych obsługiwanych platform mogą się nieco różnić.

1. Otwórz terminal na maszynie z systemem Ubuntu.

2. Zmień na uprawnienia główne, uruchamiając polecenie:

   sudo -i
   

3. Aby pominąć serwer proxy w sieci, uruchom następujące dwa polecenia:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Jeśli akceptujesz postanowienia licencyjne dotyczące oprogramowania, odinstaluj stare wersje i zainstaluj platformę Docker CE, uruchamiając polecenia odpowiednie dla danego środowiska:

   Centos

   1. Usuń stare wersje platformy Docker:

      yum erase docker docker-engine docker.io
      

   2. Instalowanie wymagań wstępnych aparatu platformy Docker:

      yum install -y yum-utils
      

   3. Dodaj repozytorium platformy Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      

   4. Zainstaluj aparat platformy Docker:

      yum -y install docker-ce
      

   5. Uruchom platformę Docker:

      systemctl start docker
      systemctl enable docker
      

   6. Testowanie instalacji platformy Docker:

      docker run hello-world
      

   Czerwony kapelusz 7

   1. Usuń stare wersje platformy Docker:

      yum erase docker docker-engine docker.io
      

   2. Instalowanie wymagań wstępnych aparatu platformy Docker:

      yum install -y yum-utils
      yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
      

   3. Dodaj repozytorium platformy Docker:

      sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
      

   4. Zainstaluj zależności:

      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
      sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
      wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
      sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
      sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
      wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
      sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
      

   5. Zainstaluj aparat platformy Docker:

      sudo yum install docker-ce
      

   6. Uruchom platformę Docker:

      systemctl start docker
      systemctl enable docker
      

   7. Testowanie instalacji platformy Docker: docker run hello-world

   Czerwony kapelusz 8

   1. Usuń moduł container-tools:

      yum module remove container-tools
      

   2. Dodaj repozytorium Docker CE:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      

   3. Zmodyfikuj plik repozytorium yum, aby używać pakietów CentOS 8:

      sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo
      

   4. Zainstaluj platformę Docker CE:

      yum install docker-ce
      

   5. Uruchom platformę Docker:

      systemctl start docker
      systemctl enable docker
      

   6. Testowanie instalacji platformy Docker:

      docker run hello-world
      

   Ubuntu

   1. Usuń stare wersje platformy Docker:

      apt-get remove docker docker-engine docker.io
      

   2. Jeśli instalujesz system ubuntu 14.04, zainstaluj pakiet linux-image-extra.

      apt-get update -y
      apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
      

   3. Instalowanie wymagań wstępnych aparatu platformy Docker:

      apt-get update -y
      (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
      

   4. Sprawdź, czy identyfikator UID odcisku palca apt-key to docker@docker.com:

      apt-key fingerprint | grep uid
      

   5. Zainstaluj aparat platformy Docker:

      add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
      apt-get update -y
      apt-get install -y docker-ce
      

   6. Testowanie instalacji platformy Docker:

      docker run hello-world
      

5. Wdróż obraz modułu zbierającego na maszynie hostingu, importując konfigurację modułu zbierającego. Zaimportuj konfigurację, kopiując polecenie uruchom wygenerowane w portalu. Jeśli musisz skonfigurować serwer proxy, dodaj adres IP serwera proxy i numer portu. Jeśli na przykład szczegóły serwera proxy to 172.31.255.255:8080, zaktualizowane polecenie uruchamiania to:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=tenant.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

6. Sprawdź, czy moduł zbierający działa prawidłowo za pomocą następującego polecenia:

   docker logs <collector_name>
   

   Powinien zostać wyświetlony komunikat: Ukończono pomyślnie! Na przykład:

   

Krok 3. Konfiguracja lokalna urządzeń sieciowych

Skonfiguruj zapory sieciowe i serwery proxy, aby okresowo eksportować dzienniki do dedykowanego portu dziennika systemu lub katalogu FTP zgodnie z instrukcjami w oknie dialogowym. Przykład:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Krok 4. Weryfikowanie pomyślnego wdrożenia w portalu

Sprawdź stan modułu zbierającego w tabeli Moduł zbierający dzienniki i upewnij się, że stan to Połączono. Jeśli jest utworzona, możliwe, że połączenie modułu zbierającego dzienniki i analizowanie nie zostały ukończone.

Możesz również przejść do dziennika ładu i sprawdzić, czy dzienniki są okresowo przekazywane do portalu.

Alternatywnie możesz sprawdzić stan modułu zbierającego dzienniki z poziomu kontenera platformy Docker przy użyciu następujących poleceń:

1. Zaloguj się do kontenera:

   docker exec -it <Container Name> bash
   

2. Sprawdź stan modułu zbierającego dzienniki:

   collector_status -p
   

Jeśli podczas wdrażania występują problemy, zobacz Rozwiązywanie problemów z odnajdywaniem w chmurze.

Opcjonalne — tworzenie niestandardowych raportów ciągłych

Sprawdź, czy dzienniki są przekazywane do Defender for Cloud Apps i czy raporty są generowane. Po weryfikacji utwórz raporty niestandardowe. Raporty odnajdywania niestandardowego można tworzyć na podstawie Microsoft Entra grup użytkowników. Jeśli na przykład chcesz zobaczyć użycie działu marketingu w chmurze, zaimportuj grupę marketingu przy użyciu funkcji importowania grupy użytkowników. Następnie utwórz raport niestandardowy dla tej grupy. Raport można również dostosować na podstawie zakresów tagów adresów IP lub adresów IP.

1. W portalu Microsoft Defender wybierz pozycję Ustawienia>Usługi Cloud Apps>Raporty ciągłe odnajdywania> wchmurze.

2. Wybierz przycisk Utwórz raport i wypełnij pola.

3. W obszarze Filtry można filtrować dane według źródła danych, zaimportowanych grup użytkowników lub według tagów i zakresów adresów IP.

   Uwaga

   Podczas stosowania filtrów w raportach ciągłych wybór zostanie uwzględniony, a nie wykluczony. Jeśli na przykład zastosujesz filtr dla określonej grupy użytkowników, tylko ta grupa użytkowników zostanie uwzględniona w raporcie.

   

Następne kroki

Modyfikowanie konfiguracji protokołu FTP modułu zbierającego dzienniki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.