Compartilhar via

Configurar o upload automático de logs usando o Docker local no Windows

  • Artigo

Você pode configurar o upload automático de logs para relatórios contínuos no Defender para Aplicativos de Nuvem usando um Docker no Windows.

Pré-requisitos

  • Especificações da arquitetura:

    Especificação Descrição
    Sistema operacional Um dos seguintes:
  • Windows 10 (atualização de criadores de outono)
  • Windows Server versão 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Espaço em Disco 250 GB
    Núcleos de CPU 2
    Arquitetura do CPU Intel 64 e AMD 64
    RAM 4 GB

    Para obter uma lista de arquiteturas do Docker com suporte, consulte a documentação de instalação do Docker.

  • Defina seu firewall conforme necessário. Para obter mais informações, confira Requisitos de rede.

  • A virtualização no sistema operacional deve ser habilitada com o Hyper-V

Importante

  • Clientes empresariais com mais de 250 usuários ou mais de US$ 10 milhões em receita anual precisam de uma assinatura paga para usar o Docker Desktop para Windows. Para obter mais informações, consulte Visão geral da assinatura do Docker.
  • Para que o Docker colete logs, um usuário deve estar conectado. Recomendamos orientar seus usuários do Docker a desconectar sem fazer logout.
  • Não há suporte oficial ao Docker for Windows em cenários de virtualização de VMWare.
  • Não há suporte oficial ao Docker for Windows em cenários de virtualização aninhados. Se ainda assim você planeja usar a virtualização aninhada, consulte o guia oficial do Docker.
  • Para obter informações sobre considerações adicionais a respeito da configuração e implementação do Docker for Windows, consulte Instalar o Docker Desktop no Windows.

Remover um coletor de logs existente

Se você tiver um coletor de logs existente e quiser removê-lo antes de implantá-lo novamente, ou se simplesmente quiser removê-lo, execute os seguintes comandos:

docker stop <collector_name>
docker rm <collector_name>

Desempenho do coletor de logs

O coletor de logs pode lidar com êxito com a capacidade de logs de até 50 GB por hora. Os principais gargalos no processo de coleta de logs são:

  • Largura de banda da rede – a largura de banda da rede determina a velocidade de upload do log.

  • Desempenho de E/S da máquina virtual – determina a velocidade em que os logs são gravados no disco do coletor de logs. O coletor de logs tem um mecanismo de segurança interno que monitora a taxa na qual os logs chegam e a compara à taxa de upload. Em casos de congestionamento, o coletor de logs começa a remover os arquivos de log. Se a configuração geralmente excede 50 GB por hora, recomendamos que você divida o tráfego entre vários coletores de logs.

Etapa 1 – Configuração do portal da Web

Use as etapas a seguir para definir suas fontes de dados e vinculá-las a um coletor de logs. Um único coletor de logs pode lidar com várias fontes de dados.

  1. No portal do Microsoft Defender, selecione Settings>Aplicativos de Nuvem>Descoberta na Nuvem>Carregamento automático de logs>Fontes de dados.

  2. Para cada firewall ou proxy do qual você deseja carregar logs, crie uma fonte de dados correspondente:

    1. Selecione +Adicionar fonte de dados.

      Captura de tela do botão Adicionar fonte de dados.

    2. Atribua o Nome do proxy ou firewall.

      Captura de tela da caixa de diálogo Adicionar fonte de dados

    3. Selecione o dispositivo na lista Fonte. Se você selecionar Formato de log personalizado para trabalhar com um dispositivo de rede que não esteja listado, confira Trabalhando com o analisador de log personalizado para obter instruções de configuração.

    4. Compare seu log com o exemplo do formato de log esperado. Se o formato de arquivo de log não corresponder a este exemplo, adicione sua fonte de dados como Outros.

    5. Definir o Tipo de destinatário como FTP, FTPS, Syslog – UDP ou Syslog – TCP ou Syslog – TLS.

      Observação

      A integração com protocolos de transferência segura (FTPS e Syslog – TLS) geralmente requer configuração adicional ou seu firewall/proxy.

    6. Repita esse processo para cada firewall e proxy cujos logs podem ser usados para detectar o tráfego na rede. É recomendável configurar uma fonte de dados dedicada por dispositivo de rede para permitir que você:

      • Monitore o status de cada dispositivo separadamente, para fins de investigação.
      • Explore o Shadow IT Discovery por dispositivo, se cada dispositivo for usado por um segmento de usuários diferente.

  3. Na parte superior da página, selecione a guia Coletores de log e, em seguida, selecione Adicionar coletor de log.

  4. Na caixa de diálogo Criar coletor de logs:

    1. No campo Nome, insira um nome significativo para o coletor de logs.

    2. Dê um nome ao coletor de logs e insira o endereço IP do host (endereço IP privado) do computador que você usará para implantar o Docker. O endereço IP do host pode ser substituído pelo nome do computador, caso haja um servidor DNS (ou equivalente) que resolverá o nome do host.

    3. Selecione todas as Fontes de dados que deseja conectar ao coletor e selecione Atualizar para salvar a configuração.

      Mais informações sobre a implantação são exibidas na seção Próximas etapas, incluindo um comando que você usará posteriormente para importar a configuração do coletor. Se você selecionou Syslog, essas informações também incluirão dados sobre em qual porta o ouvinte Syslog está escutando.

    4. Use o botão ícone da área de transferência Copiar para. Copiar para copiar o comando para a área de transferência e salvá-lo em um local separado.

    5. Use o botão Export Exportar para exportar a configuração de fonte de dados esperada. Essa configuração descreve como você deve definir a exportação de log em seus dispositivos.

Para usuários que enviem dados de logs por meio de FTP pela primeira vez, recomendamos alterar a senha do usuário de FTP. Para obter mais informações, confira Alterar a senha do FTP.

Etapa 2 – Implantação local de seu computador

As etapas a seguir descrevem a implantação no Windows. As etapas de implantação para outras plataformas são ligeiramente diferentes.

  1. Abra um terminal do PowerShell como administrador em seu computador Windows.

  2. Execute o seguinte comando para baixar o arquivo de script do PowerShell do instalador do Docker no Windows: 

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Para validar se o instalador é assinado pela Microsoft, confira Validar assinatura do instalador.

  3. Para habilitar a execução de script do PowerShell, execute:

    Set-ExecutionPolicy RemoteSigned`

  4. Para instalar o cliente Docker em seu computador, execute:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    A máquina é reiniciada automaticamente depois que você executa o comando.

  5. Quando o computador estiver executando novamente, execute o mesmo comando novamente:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Execute o instalador do Docker, selecionando usar o WSL 2 em vez do Hyper-V.

    Após a conclusão da instalação, o computador será reiniciado automaticamente de novo.

  7. Após concluir a reinicialização, abra o cliente Docker e aceite o contrato de assinatura do Docker.

  8. Se a instalação do WSL2 não for concluída, uma mensagem será exibida para indicar que o kernel do Linux do WSL 2 está instalado usando um pacote de atualização MSI separado.

  9. Conclua a instalação baixando o pacote. Para obter mais informações, consulte Baixar o pacote de atualização do kernel do Linux.

  10. Abra o cliente Docker Desktop novamente e verifique se ele foi iniciado.

  11. Abra um prompt de comando como administrador e insira o comando de execução que você copiou anteriormente do portal na Etapa 1 – Configuração do portal da Web.

    Caso precise configurar um proxy, adicione o endereço IP do proxy e o número da porta. Por exemplo, se os detalhes de proxy são 172.31.255.255:8080, seu comando de execução atualizado é:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Para verificar se o coletor está executando corretamente, execute:

    docker logs <collector_name>

    Você deverá ver a mensagem Concluído com êxito! Por exemplo:

    Captura de tela de um comando que o coletor está executando corretamente.

Etapa 3 — Configuração local de seus dispositivos de rede

Configure os proxies e os firewalls de rede para periodicamente exportar logs para a porta do Syslog dedicada do diretório de FTP de acordo com as instruções na caixa de diálogo. Por exemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Etapa 4 — Verificar a implantação bem-sucedida no portal

Verifique o status do coletor na tabela Coletor de logs e verifique se o status é Conectado. Se for Criado, talvez a conexão do coletor de logs e a análise não tenham sido concluídas.

Verifique se o status do coletor está como Conectado.

Você também pode acessar o Log de governança e verificar se os logs estão sendo carregados periodicamente no portal.

Como alternativa, você pode verificar o status do coletor de logs de dentro do contêiner do Docker usando os comandos a seguir:

  1. Inicie a sessão no contêiner:

    docker exec -it <Container Name> bash

  2. Verifique o status do coletor de logs:

    collector_status -p

Se houver problemas durante a implantação, confira Solução de problemas do Cloud Discovery.

Opcional – Criar relatórios contínuos personalizados

Verifique se os logs estão sendo carregados no Defender para Aplicativos de Nuvem e se os relatórios são gerados. Após a verificação, crie relatórios personalizados. É possível criar relatórios de descoberta personalizados com base nos grupos de usuários do Microsoft Entra. Por exemplo, caso deseje ver o uso de nuvem de seu departamento de marketing, importe o grupo de marketing usando o recurso Importar grupo de usuários. Em seguida, crie um relatório personalizado para esse grupo. Você também pode personalizar um relatório com base na marca do endereço IP ou intervalos de endereços IP.

  1. No portal do Microsoft Defender, selecione Configurações>Aplicativos em nuvem>Descoberta na Nuvem>Relatórios contínuos.

  2. Selecione o botão Criar relatório e preencha os campos.

  3. Em Filtros, você pode filtrar os dados de acordo com a fonte de dados, por grupo de usuários importados ou por marcas e intervalos de endereços IP.

    Observação

    Ao aplicar filtros em relatórios contínuos, a seleção será incluída, não excluída. Por exemplo, se você aplicar um filtro a um determinado grupo de usuários, somente esse grupo de usuários será incluído no relatório.

    Relatório contínuo personalizado.

Opcional – validar a assinatura do instalador

Para verificar se o instalador do Docker é assinado pela Microsoft:

  1. Clique com o botão direito do mouse no arquivo e selecione Propriedades.

  2. Selecione Assinaturas Digitais e verifique se aparece Esta assinatura digital está correta.

  3. Verifique se Microsoft Corporation está listada como a única entrada em Nome do signatário.

    Assinatura digital válida.

    Se a assinatura digital não for válida, aparecerá Esta assinatura digital é inválida:

    Assinatura digital não válida.

Próximas etapas

Modificar a configuração de FTP do coletor de logs

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.