Konfigurowanie automatycznego przekazywania dzienników przy użyciu platformy Docker na platformie Azure
W tym artykule opisano sposób konfigurowania automatycznych przekazywania dzienników dla raportów ciągłych w aplikacjach Defender dla Chmury przy użyciu platformy Docker w systemie Ubuntu lub CentOS na platformie Azure.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że środowisko spełnia następujące wymagania:
Wymaganie | opis |
---|---|
System operacyjny | Jedną z następujących czynności: — Ubuntu 14.04, 16.04, 18.04 i 20.04 — CentOS 7.2 lub nowszy |
Miejsce na dysku | 250 GB |
Rdzenie procesora CPU | 2 |
Architektura procesora CPU | Intel 64 i AMD 64 |
RAM | 4 GB |
Konfiguracja zapory | Zgodnie z definicją w wymaganiach dotyczących sieci |
Planowanie modułów zbierających dzienniki według wydajności
Każdy moduł zbierający dzienniki może pomyślnie obsłużyć pojemność dziennika do 50 GB na godzinę składający się z maksymalnie 10 źródeł danych. Głównymi wąskimi gardłami procesu zbierania dzienników są:
Przepustowość sieci — przepustowość sieci określa szybkość przekazywania dziennika.
Wydajność operacji we/wy maszyny wirtualnej — określa szybkość zapisywania dzienników na dysku modułu zbierającego dzienniki. W moduł zbierający dzienniki wbudowano mechanizm bezpieczeństwa, który monitoruje szybkość pojawiania się dzienników i porównuje ją z szybkością przekazywania. W przypadku przeciążenia moduł zbierający dzienniki zaczyna porzucać pliki dzienników. Jeśli konfiguracja zwykle przekracza 50 GB na godzinę, zalecamy podzielenie ruchu między wieloma modułami zbierającym dzienniki.
Jeśli potrzebujesz więcej niż 10 źródeł danych, zalecamy podzielenie źródeł danych między wieloma modułami zbierającym dzienniki.
Definiowanie źródeł danych
W portalu Usługi Microsoft Defender wybierz pozycję Ustawienia Aplikacje > > w chmurze Automatyczne przekazywanie dziennika rozwiązania Cloud Discovery>.
Na karcie Źródła danych utwórz pasujące źródło danych dla każdej zapory lub serwera proxy, z którego chcesz przekazać dzienniki:
Wybierz Dodaj źródła danych.
W oknie dialogowym Dodawanie źródła danych wprowadź nazwę źródła danych, a następnie wybierz typ źródła i odbiorcy.
Przed wybraniem źródła wybierz pozycję Wyświetl przykład oczekiwanego pliku dziennika i porównaj dziennik z oczekiwanym formatem. Jeśli format pliku dziennika nie jest zgodny z tym przykładem, dodaj źródło danych jako Inne.
Aby pracować z urządzeniem sieciowym, które nie ma na liście, wybierz pozycję Inny > format dziennika klienta lub Inne (tylko ręcznie). Aby uzyskać więcej informacji, zobacz Praca z analizatorem dzienników niestandardowych.
Uwaga
Integracja z protokołami bezpiecznego transferu (FTPS i Syslog — TLS) często wymaga dodatkowych ustawień lub zapory/serwera proxy.
Powtórz ten proces dla każdej zapory i każdego serwera proxy, których dzienniki mogą być używane do wykrywania ruchu w sieci.
Zalecamy skonfigurowanie dedykowanego źródła danych na urządzenie sieciowe, co umożliwia oddzielne monitorowanie stanu każdego urządzenia na potrzeby badania oraz eksplorowanie odnajdywania IT w tle na urządzenie, jeśli każde urządzenie jest używane przez inny segment użytkowników.
Tworzenie modułu zbierającego dzienniki
W portalu Usługi Microsoft Defender wybierz pozycję Ustawienia Aplikacje > > w chmurze Automatyczne przekazywanie dziennika rozwiązania Cloud Discovery>.
Na karcie Moduły zbierające dzienniki wybierz pozycję Dodaj moduł zbierający dzienniki.
W oknie dialogowym Tworzenie modułu zbierającego dzienniki wprowadź następujące informacje:
- Nazwa modułu zbierającego dzienniki
- Adres IP hosta, który jest prywatnym adresem IP maszyny, której użyjesz do wdrożenia platformy Docker. Adres IP hosta można również zastąpić nazwą maszyny, jeśli istnieje serwer DNS lub odpowiednik rozpoznawania nazwy hosta.
Następnie wybierz pole Źródła danych, aby wybrać źródła danych, które chcesz połączyć z modułem zbierającym, a następnie wybierz pozycję Aktualizuj , aby zapisać zmiany. Każdy moduł zbierający dzienniki może obsługiwać wiele źródeł danych.
Okno dialogowe Tworzenie modułu zbierającego dzienniki zawiera dalsze szczegóły wdrożenia, w tym polecenie importowania konfiguracji modułu zbierającego. Na przykład:
Wybierz ikonę Kopiuj obok polecenia, aby skopiować go do schowka.
Szczegóły wyświetlane w oknie dialogowym Tworzenie modułu zbierającego dzienniki różnią się w zależności od wybranych typów źródeł i odbiorników. Jeśli na przykład wybrano pozycję Syslog, okno dialogowe zawiera szczegółowe informacje o porcie, na którym nasłuchuje odbiornik dziennika systemowego.
Skopiuj zawartość ekranu i zapisz je lokalnie, ponieważ będą one potrzebne podczas konfigurowania modułu zbierającego dzienniki w celu komunikowania się z aplikacjami Defender dla Chmury.
Wybierz pozycję Eksportuj , aby wyeksportować konfigurację źródłową do elementu . Plik CSV opisujący sposób konfigurowania eksportu dziennika w urządzeniach.
Napiwek
W przypadku użytkowników wysyłających dane dziennika za pośrednictwem protokołu FTP po raz pierwszy zalecamy zmianę hasła dla użytkownika FTP. Aby uzyskać więcej informacji, zobacz Zmienianie hasła FTP.
Wdrażanie maszyny na platformie Azure
W tej procedurze opisano sposób wdrażania maszyny przy użyciu systemu Ubuntu. Kroki wdrażania dla innych platform są nieco inne.
Utwórz nową maszynę z systemem Ubuntu w środowisku platformy Azure.
Po uruchomieniu maszyny otwórz porty:
W widoku maszyny przejdź do pozycji Sieć wybierz odpowiedni interfejs, klikając go dwukrotnie.
Przejdź do sieciowej grupy zabezpieczeń i wybierz odpowiednią sieciowa grupa zabezpieczeń.
Przejdź do obszaru Reguły zabezpieczeń dla ruchu przychodzącego i kliknij przycisk Dodaj.
Dodaj następujące reguły (w trybie zaawansowanym ):
Nazwisko Zakresy portów docelowych Protokół Element źródłowy Element docelowy caslogcollector_ftp 21 TCP Your appliance's IP address's subnet
Dowolne caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet
Dowolne caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet
Dowolne caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet
Dowolne
Aby uzyskać więcej informacji, zobacz Praca z regułami zabezpieczeń.
Wróć do maszyny i kliknij przycisk Połącz , aby otworzyć terminal na maszynie.
Zmień na uprawnienia główne przy użyciu polecenia
sudo -i
.Jeśli akceptujesz postanowienia licencyjne dotyczące oprogramowania, odinstaluj stare wersje i zainstaluj program Docker CE, uruchamiając polecenia odpowiednie dla danego środowiska:
Usuń stare wersje platformy Docker:
yum erase docker docker-engine docker.io
Zainstaluj wymagania wstępne dotyczące aparatu platformy Docker:
yum install -y yum-utils
Dodaj repozytorium platformy Docker:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache
Zainstaluj aparat platformy Docker:
yum -y install docker-ce
Uruchamianie platformy Docker
systemctl start docker systemctl enable docker
Testowanie instalacji platformy Docker:
docker run hello-world
Uruchom polecenie skopiowane wcześniej z okna dialogowego Tworzenie modułu zbierającego dzienniki . Na przykład:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Aby sprawdzić, czy moduł zbierający dzienniki działa prawidłowo, uruchom następujące polecenie:
Docker logs <collector_name>
. Wyniki powinny zostać wyświetlone: Zakończono pomyślnie!
Konfigurowanie ustawień lokalnych urządzenia sieciowego
Skonfiguruj zapory sieciowe i serwery proxy, aby okresowo eksportować dzienniki do dedykowanego portu usługi Syslog katalogu FTP zgodnie z instrukcjami w oknie dialogowym. Na przykład:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Weryfikowanie wdrożenia w usłudze Defender dla Chmury Apps
Sprawdź stan modułu zbierającego w tabeli modułu zbierającego dzienniki i upewnij się, że stan to Połączono. Jeśli jest utworzona, możliwe, że połączenie modułu zbierającego dzienniki i analizowanie nie zostało ukończone.
Na przykład:
Możesz również przejść do dziennika nadzoru i sprawdzić, czy dzienniki są okresowo przekazywane do portalu.
Alternatywnie możesz sprawdzić stan modułu zbierającego dzienniki z poziomu kontenera platformy Docker przy użyciu następujących poleceń:
- Zaloguj się do kontenera przy użyciu tego polecenia:
docker exec -it <Container Name> bash
- Sprawdź stan modułu zbierającego dzienniki przy użyciu tego polecenia:
collector_status -p
Jeśli masz problemy podczas wdrażania, zobacz Rozwiązywanie problemów z odnajdywaniem w chmurze.
Opcjonalnie — tworzenie niestandardowych raportów ciągłych
Sprawdź, czy dzienniki są przekazywane do aplikacji Defender dla Chmury i czy raporty są generowane. Po weryfikacji utwórz raporty niestandardowe. Niestandardowe raporty odnajdywania można tworzyć na podstawie grup użytkowników firmy Microsoft Entra. Jeśli na przykład chcesz zobaczyć użycie chmury działu marketingu, zaimportuj grupę marketingu przy użyciu funkcji importowania grupy użytkowników. Następnie utwórz niestandardowy raport dla tej grupy. Możesz również dostosować raport na podstawie tagu adresu IP lub zakresów adresów IP.
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
W obszarze Cloud Discovery wybierz pozycję Raporty ciągłe.
Kliknij przycisk Utwórz raport i wypełnij pola.
W obszarze Filtry można filtrować dane według źródła danych, zaimportowanych grup użytkowników lub według tagów i zakresów adresów IP.
Uwaga
Podczas stosowania filtrów w raportach ciągłych wybór zostanie uwzględniony, a nie wykluczony. Jeśli na przykład zastosujesz filtr dla określonej grupy użytkowników, tylko ta grupa użytkowników zostanie uwzględniona w raporcie.
Usuwanie modułu zbierającego dzienniki
Jeśli masz istniejący moduł zbierający dzienniki i chcesz go usunąć przed ponownym wdrożeniem lub jeśli po prostu chcesz go usunąć, uruchom następujące polecenia:
docker stop <collector_name>
docker rm <collector_name>
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.