Configurar o upload automático de logs usando o Docker local no Linux

Configure o upload automático de logs para relatórios contínuos nos aplicativos do Defender para Nuvem usando um Docker em um servidor local do Ubuntu ou do CentOS.

Importante

Se estiver usando o RHEL versão 7.1 ou superior, você deverá usar o Podman para coleta automática de logs em vez do Docker. Para obter mais informações, consulte Configurar o upload automático de logs usando o Podman (Preview).

Informações essenciais necessárias para o sucesso do usuário

Pré-requisitos

• sistema operacional:

  • Ubuntu 14.04, 16.04, 18.04 e 20.04
  • CentOS 7.2 ou posterior

• Espaço em disco: 250 GB

• Núcleos de CPU: 2

• Arquitetura da CPU: Intel® 64 e AMD 64

• RAM: 4 GB

• Defina o firewall conforme descrito nos Requisitos de rede

Observação

Se você tiver um coletor de logs existente e quiser removê-lo antes de implantá-lo novamente, ou se simplesmente quiser removê-lo, execute os seguintes comandos:

docker stop <collector_name>
docker rm <collector_name>

Desempenho do coletor de logs

O coletor de logs pode lidar com êxito com a capacidade de logs de até 50 GB por hora. Os principais gargalos no processo de coleta de logs são:

• Largura de banda da rede – a largura de banda da rede determina a velocidade de upload do log.

• Desempenho de E/S da máquina virtual – determina a velocidade em que os logs são gravados no disco do coletor de logs. O coletor de logs tem um mecanismo de segurança interno que monitora a taxa na qual os logs chegam e a compara à taxa de upload. Em casos de congestionamento, o coletor de logs começa a remover os arquivos de log. Se a configuração geralmente excede 50 GB por hora, recomendamos que você divida o tráfego entre vários coletores de logs.

Instalação e configuração

Etapa 1 — Configuração do portal da Web: definir fontes de dados e vinculá-las a um coletor de logs

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem.

2. No Cloud Discovery, escolha Upload automático de logs. Em seguida, selecione a guia Fontes de dados.

3. Para cada firewall ou proxy do qual você deseja fazer upload de logs, crie uma fonte de dados correspondente.

   1. Clique em Adicionar fonte de dados.
      
   2. Atribua o Nome do proxy ou firewall.
      
   3. Selecione o dispositivo na lista Fonte. Se você selecionar Formato de log personalizado para trabalhar com um dispositivo de rede que não esteja listado, confira Trabalhando com o analisador de log personalizado para obter instruções de configuração.
   4. Compare seu log com o exemplo do formato de log esperado. Se o formato de arquivo de log não corresponder a este exemplo, adicione sua fonte de dados como Outros.
   5. Definir o Tipo de destinatário como FTP, FTPS, Syslog – UDP ou Syslog – TCP ou Syslog – TLS.

   Observação

   A integração com protocolos de transferência segura (FTPS e Syslog – TLS) geralmente requer configuração adicional ou seu firewall/proxy.

   f. Repita esse processo para cada firewall e proxy cujos logs podem ser usados para detectar o tráfego na rede. É recomendável configurar uma fonte de dados dedicada por dispositivo de rede para permitir que você:

   • Monitore o status de cada dispositivo separadamente, para fins de investigação.
   • Explore o Shadow IT Discovery por dispositivo, se cada dispositivo for usado por um segmento de usuários diferente.

4. Vá para a guia Coletores de logs na parte superior.

   1. Clique em Adicionar coletor de logs.
   2. Atribua um nome ao coletor de logs.
   3. Insira o Endereço IP do host (endereço IP privado) do computador que você usará para implantar o Docker. O endereço IP do host pode ser substituído pelo nome do computador, caso haja um servidor DNS (ou equivalente) que resolverá o nome do host.
   4. Selecione todas as Fontes de dados que deseja conectar ao coletor e clique em Atualizar para salvar a configuração.

   

5. Mais informações sobre a implantação serão exibidas. Copiar o comando de execução na caixa de diálogo. Use o ícone Copiar para área de transferência.

6. Exportar a configuração de fonte de dados esperada. Essa configuração descreve como você deve definir a exportação de log em seus dispositivos.

   

   Observação

   • Um único coletor de logs pode lidar com várias fontes de dados.
   • Copie o conteúdo da tela, pois você precisará das informações ao configurar o coletor de logs para se comunicar com o Defender para Aplicativos de Nuvem. Se você selecionou o Syslog, essa informação incluirá informações sobre qual porta o ouvinte do Syslog está escutando.
   • Para usuários que enviem dados de logs por meio de FTP pela primeira vez, recomendamos alterar a senha do usuário de FTP. Para obter mais informações, confira Alterar a senha do FTP.

Etapa 2 – Implantação local de seu computador

As etapas a seguir descrevem a implantação no Ubuntu.

Observação

As etapas de implantação para outras plataformas com suporte podem ser ligeiramente diferentes.

1. Abra um terminal em seu computador Ubuntu.

2. Altere para privilégios de raiz usando o comando: sudo -i

3. Para ignorar um proxy na sua rede, execute os dois comandos a seguir:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Se aceitar os termos de licença do software, desinstale as versões antigas e instale o Docker CE executando os comandos apropriados ao seu ambiente:

CentOS

1. Remova versões antigas do Docker: yum erase docker docker-engine docker.io

2. Instale os pré-requisitos do mecanismo do Docker: yum install -y yum-utils

3. Adicione o repositório do Docker:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Instalar o mecanismo do Docker: yum -y install docker-ce

5. Inicie o Docker

   systemctl start docker
   systemctl enable docker
   

6. Testar a instalação do Docker: docker run hello-world

Red Hat 7

1. Remova versões antigas do Docker: yum erase docker docker-engine docker.io

2. Instale os pré-requisitos do mecanismo do Docker:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Adicione o repositório do Docker:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. Instale as dependências:

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Instalar o mecanismo do Docker: sudo yum install docker-ce

6. Inicie o Docker

   systemctl start docker
   systemctl enable docker
   

7. Testar a instalação do Docker: docker run hello-world

Red Hat 8

1. Remova o módulo container-tools: yum module remove container-tools

2. Adicione o repositório do Docker CE: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. Modifique o arquivo de repositório yum para usar os pacotes CentOS 8: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Instalar o Docker CE: yum install docker-ce

5. Inicie o Docker

   systemctl start docker
   systemctl enable docker
   

6. Testar a instalação do Docker: docker run hello-world

Ubuntu

1. Remova versões antigas do Docker: apt-get remove docker docker-engine docker.io

2. Se estiver instalando no Ubuntu 14.04, instale o pacote linux-image-extra.

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. Instale os pré-requisitos do mecanismo do Docker:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. Verifique se o UID de impressão digital apt-key é docker@docker.com: apt-key fingerprint | grep uid

5. Instalar o mecanismo do Docker:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Testar a instalação do Docker: docker run hello-world

5. Implante a imagem do coletor no computador de hospedagem importando a configuração do coletor. Importe a configuração copiando o comando de execução gerado no portal. Caso precise configurar um proxy, adicione o endereço IP do proxy e o número da porta. Por exemplo, se os detalhes de proxy são 192.168.10.1:8080, seu comando de execução atualizado é:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

6. Verifique se o coletor está sendo executado corretamente com o seguinte comando: docker logs <collector_name>

Você deverá ver a mensagem Concluído com êxito!

Etapa 3 — Configuração local de seus dispositivos de rede

Configure os proxies e os firewalls de rede para periodicamente exportar logs para a porta do Syslog dedicada para o diretório de FTP de acordo com as instruções na caixa de diálogo. Por exemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Etapa 4 — Verificar a implantação bem-sucedida no portal

Verifique o status do coletor na tabela Coletor de logs e verifique se o status é Conectado. Se for Criado, talvez a conexão do coletor de logs e a análise não tenham sido concluídas.

Você também pode acessar o Log de governança e verificar se os logs estão sendo carregados periodicamente no portal.

Como alternativa, você pode verificar o status do coletor de logs de dentro do contêiner do Docker usando os comandos a seguir:

1. Faça logon no contêiner usando este comando: docker exec -it <Container Name> bash
2. Verifique o status do coletor de logs usando este comando: collector_status -p

Se houver problemas durante a implantação, confira Solução de problemas do Cloud Discovery.

Opcional – Criar relatórios contínuos personalizados

Verifique se os logs estão sendo carregados no Defender para Aplicativos de Nuvem e se os relatórios são gerados. Após a verificação, crie relatórios personalizados. É possível criar relatórios de descoberta personalizados com base nos grupos de usuários do Microsoft Entra. Por exemplo, caso deseje ver o uso de nuvem de seu departamento de marketing, importe o grupo de marketing usando o recurso Importar grupo de usuários. Em seguida, crie um relatório personalizado para esse grupo. Você também pode personalizar um relatório com base na marca do endereço IP ou intervalos de endereços IP.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem.

2. Em Cloud Discovery, selecione Relatórios contínuos.

3. Clique no botão Criar relatório e preencha os campos.

4. Em Filtros, você pode filtrar os dados de acordo com a fonte de dados, por grupo de usuários importados ou por marcas e intervalos de endereços IP.

   Observação

   Ao aplicar filtros em relatórios contínuos, a seleção será incluída, não excluída. Por exemplo, se você aplicar um filtro a um determinado grupo de usuários, somente esse grupo de usuários será incluído no relatório.

   

Próximas etapas

Modificar a configuração de FTP do coletor de logs

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.