Konfigurera automatisk logguppladdning med lokal Docker i Windows

  • Artikel

Du kan konfigurera automatisk logguppladdning för kontinuerliga rapporter i Defender för molnet-appar med hjälp av en Docker i Windows.

Förutsättningar

  • Arkitekturspecifikationer:

    • Operativsystem: Något av följande:

      • Windows 10 (Uppdatering av fallskapare)

      • Windows Sever version 1709+ (SAC)

      • Windows Server 2019 (LTSC)

    • Diskutrymme: 250 GB

    • CPU-kärnor: 2

    • CPU-arkitektur:Intel 64 och AMD 64

    • RAM: 4 GB

    En lista över Docker-arkitekturer som stöds finns i Installationsdokumentation för Docker.

  • Ange brandväggen enligt beskrivningen i Nätverkskrav

  • Virtualisering i operativsystemet måste vara aktiverad med Hyper-V

Viktigt!

  • Företagskunder med mer än 250 användare eller mer än 10 miljoner USD i årliga intäkter kräver en betald prenumeration för att använda Docker Desktop för Windows. Mer information finns i Översikt över Docker-prenumeration.
  • En användare måste vara inloggad för att Docker ska kunna samla in loggar. Vi rekommenderar att du uppmanar Docker-användare att koppla från utan att logga ut.
  • Docker för Windows stöds inte officiellt i VMWare-virtualiseringsscenarier.
  • Docker för Windows stöds inte officiellt i kapslade virtualiseringsscenarier. Om du fortfarande planerar att använda kapslad virtualisering läser du Docker officiella guide.
  • Information om ytterligare konfigurations- och implementeringsöverväganden för Docker för Windows finns i Installera Docker Desktop i Windows.

Kommentar

Om du har en befintlig logginsamlare och vill ta bort den innan du distribuerar den igen, eller om du bara vill ta bort den, kör du följande kommandon:

docker stop <collector_name>
docker rm <collector_name>

Logginsamlarens prestanda

Logginsamlaren kan hantera en loggkapacitet på upp till 50 GB per timme. De största flaskhalsarna i logginsamlingsprocessen är:

  • Nätverksbandbredd – Nätverksbandbredden avgör logguppladdningshastigheten.

  • I/O-prestanda för den virtuella datorn – Avgör hastigheten med vilken loggar skrivs till logginsamlarens disk. Logginsamlaren har en inbyggd säkerhetsmekanism som övervakar i vilken takt loggarna tas emot och som jämför den med uppladdningstakten. Om det uppstår överbelastning börjar logginsamlaren släppa loggfiler. Om konfigurationen vanligtvis överskrider 50 GB per timme rekommenderar vi att du delar upp trafiken mellan flera logginsamlare.

Inställning och konfigurering

Steg 1 – Webbportalkonfigurering: Definiera datakällor och koppla dem till en logginsamlare

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Cloud Discovery väljer du Automatisk logguppladdning. Välj sedan fliken Datakällor .

  3. Skapa en matchande datakälla för varje brandvägg eller proxy som du vill ladda upp loggar från.

    1. Välj +Lägg till datakälla.
      Add a data source.
    2. Ge proxyservern eller brandväggen ett namn.
      Add name for data source.
    3. Välj enheten från listan Källa. Om du väljer Anpassat loggformat för att fungera med en nätverksinstallation som inte finns med i listan, se Arbeta med den anpassade loggparsern för konfigurationsinstruktioner.
    4. Jämför din logg med exemplet på det förväntade loggformatet. Om loggfilsformatet inte matchar det här exemplet bör du lägga till datakällan som Övrigt.
    5. Ange mottagartypen till ANTINGEN FTP, FTPS, Syslog – UDP eller Syslog – TCP eller Syslog – TLS.

    Kommentar

    Integrering med protokoll för säker överföring (FTPS och Syslog – TLS) kräver ofta ytterligare inställningar eller din brandvägg/proxy.

    f. Upprepa den här proceduren för alla brandväggar och proxyservrar vars loggar kan användas för att identifiera trafik i ditt nätverk. Vi rekommenderar att du konfigurerar en dedikerad datakälla per nätverksenhet så att du kan:

    • Övervaka statusen för varje enhet separat i undersökningssyfte.
    • Utforska Shadow IT Discovery per enhet, om varje enhet används av ett annat användarsegment.

  4. Gå till fliken Logginsamlare längst upp.

    1. Välj Lägg till logginsamlare.
    2. Ge logginsamlaren ett namn.
    3. Ange värd-IP-adressen (privat IP-adress) för den dator som du ska använda för att distribuera Docker. Värd-IP-adressen kan ersättas med datornamnet om det finns en DNS-server (eller motsvarande) som löser värdnamnet.
    4. Välj alla datakällor som du vill ansluta till insamlaren och välj Uppdatera för att spara konfigurationen. Select data source to connect.

  5. Ytterligare distributionsinformation visas. Kopiera körningskommandot från dialogrutan. Du kan använda ikonen kopiera till Urklipp, copy to clipboard icon.. Du behöver det senare.

  6. Exportera den förväntade datakällans konfiguration. Den här konfigurationen beskriver hur du ska ange loggexporten i dina enheter.

    Create log collector.

    Kommentar

    • En enda logginsamlare kan hantera flera datakällor.
    • Kopiera innehållet på skärmen eftersom du behöver informationen när du konfigurerar logginsamlaren för att kommunicera med Defender för molnet Apps. Om du har valt Syslog innehåller informationen här information om vilken port Syslog-lyssnaren lyssnar på.
    • För användare som skickar loggdata via FTP för första gången rekommenderar vi att du ändrar lösenordet för FTP-användaren. Mer information finns i Ändra FTP-lösenordet.

Steg 2 – Lokal distribution av datorn

Följande steg beskriver distributionen i Windows. Distributionsstegen för andra plattformar skiljer sig något åt.

  1. Öppna en PowerShell-terminal som administratör på din Windows-dator.

  2. Kör följande kommando för att ladda ned PowerShell-skriptfilen för Windows Docker-installationsprogrammet: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Information om hur du verifierar att installationsprogrammet är signerat av Microsoft finns i Verifiera installationssignatur.

  3. Om du vill aktivera PowerShell-skriptkörning kör du Set-ExecutionPolicy RemoteSigned

  4. Kör: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) Detta installerar Docker-klienten på datorn.

    Docker is installed.

    När kommandot har körts startas datorn om automatiskt.

  5. När datorn är igång igen kör du samma kommando i PowerShell: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Run PowerShell command again.

  6. Kör Installationsprogrammet för Docker. Välj Använd WSL 2 i stället för Hyper-V (rekommenderas):

    Installing Docker desktop.

    När installationen är klar startas datorn om automatiskt igen.

  7. När omstarten är klar öppnar du Docker-klienten och går igenom Docker-prenumerationsavtalet:

    Accept Docker service agreement.

  8. Om WSL2-installationen inte har slutförts visas följande popup-meddelande:

    WSL 2 installation is incomplete.

  9. Slutför installationen genom att ladda ned paketet enligt beskrivningen i Ladda ned Linux-kerneluppdateringspaketet.

  10. Öppna Docker Desktop-klienten igen och kontrollera att den har startats:

    Open the Docker Desktop client.

  11. Kör CMD som administratör och skriv körningskommandot som genereras i portalen. Om du behöver konfigurera en proxy lägger du till proxy-IP-adressen och portnumret. Om din proxyinformation till exempel är 192.168.10.1:8080 är det uppdaterade körningskommandot:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  12. Kontrollera att insamlaren körs korrekt med följande kommando: docker logs <collector_name>

Du bör se meddelandet: Har slutförts!

Verify that collector is running properly.

Steg 3 – Lokal konfiguration av dina nätverksinstallationer

Konfigurera nätverksbrandväggar och proxyservrar för att regelbundet exportera loggar till den dedikerade Syslog-porten för FTP-katalogen enligt anvisningarna i dialogrutan. Till exempel:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Steg 4 – Kontrollera att distributionen i portalen har slutförts

Kontrollera insamlarens status i tabellen Logginsamlare och kontrollera att statusen är Anslut. Om den har skapats är det möjligt att logginsamlarens anslutning och parsning inte har slutförts.

Verify that the collector status is Connected.

Du kan också gå till styrningsloggen och kontrollera att loggarna laddas upp regelbundet till portalen.

Du kan också kontrollera logginsamlarens status inifrån Docker-containern med hjälp av följande kommandon:

  1. Logga in på containern med hjälp av det här kommandot: docker exec -it <Container Name> bash
  2. Kontrollera logginsamlarens status med det här kommandot: collector_status -p

Om du har problem under distributionen kan du läsa Felsöka Cloud Discovery.

Valfritt – Skapa anpassade kontinuerliga rapporter

Kontrollera att loggarna laddas upp till Defender för molnet Apps och att rapporter genereras. Skapa anpassade rapporter efter verifieringen. Du kan skapa anpassade identifieringsrapporter baserat på Microsoft Entra-användargrupper. Om du till exempel vill se molnanvändningen för din marknadsföringsavdelning importerar du marknadsföringsgruppen med hjälp av funktionen importera användargrupp. Skapa sedan en anpassad rapport för den här gruppen. Du kan också anpassa en rapport baserat på IP-adresstagg eller IP-adressintervall.

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Cloud Discovery väljer du Kontinuerliga rapporter.

  3. Välj knappen Skapa rapport och fyll i fälten.

  4. Under Filter kan du filtrera data efter datakälla, efter importerad användargrupp eller efter IP-adresstaggar och intervall.

    Kommentar

    När du tillämpar filter på kontinuerliga rapporter inkluderas markeringen, inte exkluderas. Om du till exempel använder ett filter på en viss användargrupp inkluderas endast den användargruppen i rapporten.

    Custom continuous report.

Valfritt – Verifiera installationssignatur

Så här kontrollerar du att installationsprogrammet för Docker är signerat av Microsoft:

  1. Högerklicka på filen och välj Egenskaper.

  2. Välj Digitala signaturer och se till att det står Den här digitala signaturen är OK.

  3. Kontrollera att Microsoft Corporation är listat som den enda posten under Namn på undertecknaren.

    Digital signature valid.

    Om den digitala signaturen inte är giltig står det att den här digitala signaturen inte är giltig:

    Digital signature not valid.

Nästa steg

Ändra FTP-konfigurationen för logginsamlaren

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.