Linux'ta şirket içi Docker kullanarak otomatik günlük yüklemeyi yapılandırma

Dekont

Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketindeki sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft Defender XDR. Daha fazla bilgi için bkz. Microsoft Defender XDR'de uygulamalar Bulut için Microsoft Defender.

Şirket içi Ubuntu, Red Hat Enterprise Linux (RHEL) veya CentOS sunucusunda docker kullanarak Bulut için Defender Uygulamalarında sürekli raporlar için otomatik günlük yükleme yapılandırabilirsiniz.

Önkoşullar

• İşletim sistemi:

  • Ubuntu 14.04, 16.04, 18.04 ve 20.04
  • RHEL 7.2 veya üzeri
  • CentOS 7.2 veya üzeri

• Disk alanı: 250 GB

• CPU çekirdekleri: 2

• CPU Mimarisi: Intel® 64 ve AMD 64

• RAM: 4 GB

• Güvenlik duvarınızı Ağ gereksinimleri bölümünde açıklandığı gibi ayarlayın

Dekont

Mevcut bir günlük toplayıcınız varsa ve yeniden dağıtmadan önce kaldırmak istiyorsanız veya yalnızca kaldırmak istiyorsanız aşağıdaki komutları çalıştırın:

docker stop <collector_name>
docker rm <collector_name>

Günlük toplayıcı performansı

Günlük toplayıcı saatte 50 GB’ye kadar günlük kapasitesini başarıyla işleyebilir. Günlük toplama işleminde başlıca darboğazlar şunlardır:

• Ağ bant genişliği - Ağ bant genişliğiniz günlük karşıya yükleme hızını belirler.

• Sanal makinenin G/Ç performansı - Günlüklerin günlük toplayıcısının diskine yazıldığı hızı belirler. Günlük toplayıcının, günlüklerin ulaşma hızını izleyen ve bunu karşıya yükleme hızıyla karşılaştıran yerleşik bir güvenlik mekanizması vardır. Tıkanıklık durumlarında, günlük toplayıcı günlük dosyalarını bırakmaya başlar. Kurulumunuz genellikle saatte 50 GB'ı aşıyorsa trafiği birden çok günlük toplayıcısı arasında bölmeniz önerilir.

Kurulum ve yapılandırma

1. Adım: Web portalı yapılandırması: Veri kaynaklarını tanımlama ve bunları bir günlük toplayıcıya bağlama

1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

2. Cloud Discovery'nin altında Otomatik günlük yükleme'yi seçin. Ardından Veri kaynakları sekmesini seçin.

3. Günlükleri karşıya yüklemek istediğiniz her güvenlik duvarı veya ara sunucu için eşleşen bir veri kaynağı oluşturun.

   1. Veri kaynağı ekle’ye tıklayın.
      
   2. Ara sunucunuza veya güvenlik duvarınıza Ad verin.
      
   3. Kaynak listesinden gereci seçin. Listelenmeyen bir ağ gereci ile çalışmak için Özel günlük biçimi'ni seçerseniz yapılandırma yönergeleri için bkz. Özel günlük ayrıştırıcısıyla çalışma.
   4. Günlüğünüzü, beklenen günlük biçimi örneğiyle karşılaştırın. Günlük dosyası biçiminiz bu örnekle eşleşmiyorsa veri kaynağınızı Diğer olarak eklemeniz gerekir.
   5. Alıcı türünü FTP, FTPS, Syslog – UDP veya Syslog – TCP veya Syslog – TLS olarak ayarlayın.

   Dekont

   Güvenli aktarım protokolleriyle (FTPS ve Syslog – TLS) tümleştirmek için genellikle ek ayarlar veya güvenlik duvarınız/proxy'niz gerekir.

   f. Ağınızdaki trafiği algılamak üzere günlüklerini kullanabileceğiniz her güvenlik duvarı ve ara sunucu için bu işlemi yineleyin. Aşağıdakiler için ağ cihazı başına ayrılmış bir veri kaynağı ayarlamanız önerilir:

   • Araştırma amacıyla her cihazın durumunu ayrı ayrı izleyin.
   • Her cihaz farklı bir kullanıcı kesimi tarafından kullanılıyorsa cihaz başına Gölge BT Bulma'yı keşfedin.

4. En üstteki Günlük toplayıcıları sekmesine gidin.

   1. Günlük toplayıcı ekle’ye tıklayın.
   2. Günlük toplayıcıya bir ad verin.
   3. Docker'ı dağıtmak için kullanacağınız makinenin Ana Bilgisayar IP adresini (özel IP adresi) girin. Ana bilgisayar adını çözümleyecek bir DNS sunucusu (veya eşdeğeri) varsa, ana bilgisayar IP adresi makine adıyla değiştirilebilir.
   4. Toplayıcıya bağlanmak istediğiniz tüm Veri kaynaklarını seçin ve yapılandırmayı kaydetmek için Güncelleştir'e tıklayın.

   

5. Daha fazla dağıtım bilgisi görüntülenir. İletişim kutusundan çalıştır komutunu kopyalayın . Panoya kopyala simgesini kullanabilirsiniz.

6. Beklenen veri kaynağı yapılandırmasını dışarı aktarın . Bu yapılandırma, gereçlerinizde günlük dışarı aktarmayı nasıl ayarlamanız gerektiğini açıklar.

   

   Dekont

   • Tek bir Günlük toplayıcı birden çok veri kaynağını işleyebilir.
   • Günlük Toplayıcı'yı Bulut için Defender Uygulamalarıyla iletişim kuracak şekilde yapılandırırken bilgilere ihtiyacınız olacağı için ekranın içeriğini kopyalayın. Syslog seçtiyseniz, Syslog dinleyicisinin hangi bağlantı noktasında dinleme yaptığı hakkında da bilgi içerir.
   • FTP aracılığıyla günlük verilerini ilk kez gönderen kullanıcılar için FTP kullanıcısının parolasını değiştirmenizi öneririz. Daha fazla bilgi için bkz . FTP parolasını değiştirme.

2. Adım : Makinenizin şirket içi dağıtımı

Aşağıdaki adımlarda Ubuntu'daki dağıtım açıklanmaktadır.

Dekont

Desteklenen diğer platformlar için dağıtım adımları biraz farklı olabilir.

1. Ubuntu makinenizde bir terminal açın.

2. komutunu kullanarak kök ayrıcalıklara geçin: sudo -i

3. Ağınızdaki bir ara sunucuyu atlamak için aşağıdaki iki komutu çalıştırın:

   export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888)
   export https_proxy='<IP>:<PORT>'
   

4. Yazılım lisans koşullarını kabul ediyorsanız, ortamınıza uygun komutları çalıştırarak eski sürümleri kaldırın ve Docker CE'yi yükleyin:

CentOS

1. Docker'ın eski sürümlerini kaldırma: yum erase docker docker-engine docker.io

2. Docker altyapısı önkoşullarını yükleme: yum install -y yum-utils

3. Docker deposu ekleme:

   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum makecache
   

4. Docker altyapısını yükleyin: yum -y install docker-ce

5. Docker'ı başlatma

   systemctl start docker
   systemctl enable docker
   

6. Docker yüklemesini test edin: docker run hello-world

Red Hat 7

1. Docker'ın eski sürümlerini kaldırma: yum erase docker docker-engine docker.io

2. Docker altyapısı önkoşullarını yükleme:

   yum install -y yum-utils
   yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
   

3. Docker deposu ekleme:

   sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
   

4. Bağımlılıkları yükleme:

   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
   wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
   sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
   wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
   

5. Docker altyapısını yükleyin: sudo yum install docker-ce

6. Docker'ı başlatma

   systemctl start docker
   systemctl enable docker
   

7. Docker yüklemesini test edin: docker run hello-world

Red Hat 8

1. Kapsayıcı araçları modülünü kaldırın: yum module remove container-tools

2. Docker CE deposunu ekleyin: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

3. yum depo dosyasını CentOS 8/RHEL 8 paketlerini kullanacak şekilde değiştirin: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo

4. Docker CE'yi yükleyin: yum install docker-ce

5. Docker'ı başlatma

   systemctl start docker
   systemctl enable docker
   

6. Docker yüklemesini test edin: docker run hello-world

Ubuntu

1. Docker'ın eski sürümlerini kaldırma: apt-get remove docker docker-engine docker.io

2. Ubuntu 14.04'e yüklüyorsanız linux-image-extra paketini yükleyin.

   apt-get update -y
   apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
   

3. Docker altyapısı önkoşullarını yükleme:

   apt-get update -y
   (apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
   

4. apt-key parmak izi UID'sinin olduğunu docker@docker.comdoğrulayın: apt-key fingerprint | grep uid

5. Docker altyapısını yükleyin:

   add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
   apt-get update -y
   apt-get install -y docker-ce
   

6. Docker yüklemesini test edin: docker run hello-world

5. Toplayıcı yapılandırmasını içeri aktararak toplayıcı görüntüsünü barındırma makinesine dağıtın. Portalda oluşturulan çalıştırma komutunu kopyalayarak yapılandırmayı içeri aktarın. Ara sunucu yapılandırmanız gerekiyorsa, ara sunucu IP adresini ve bağlantı noktası numarasını ekleyin. Örneğin, proxy ayrıntılarınız 192.168.10.1:8080 ise, güncelleştirilmiş çalıştırma komutunuz şöyledir:

   (echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.2.2.2'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=tenant2.eu1.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
   

   

6. Aşağıdaki komutla toplayıcının düzgün çalıştığını doğrulayın: docker logs <collector_name>

Şu iletiyi görmeniz gerekir: Başarıyla tamamlandı!

3. Adım : Ağ gereçlerinizin şirket içi yapılandırması

Ağ güvenlik duvarlarınızı ve proxy'lerinizi, günlükleri iletişim kutusundaki yönergelere göre ayrılmış Syslog bağlantı noktasına veya FTP dizinine düzenli aralıklarla dışarı aktaracak şekilde yapılandırın. Örneğin:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. Adım - Portalda başarılı dağıtımı doğrulama

Günlük toplayıcı tablosunda toplayıcı durumunu denetleyin ve durumun Bağlan emin olun. Oluşturulduysa, günlük toplayıcı bağlantısı ve ayrıştırma tamamlanmamış olabilir.

Ayrıca İdare günlüğüne gidebilir ve günlüklerin düzenli aralıklarla portala yüklendiğini doğrulayabilirsiniz.

Alternatif olarak, aşağıdaki komutları kullanarak docker kapsayıcısının içinden günlük toplayıcı durumunu de kontrol edebilirsiniz:

1. Şu komutu kullanarak kapsayıcıda oturum açın: docker exec -it <Container Name> bash
2. Şu komutu kullanarak günlük toplayıcı durumunu doğrulayın: collector_status -p

Dağıtım sırasında sorun yaşıyorsanız bkz . Cloud Discovery Sorunlarını Giderme.

İsteğe bağlı - Özel sürekli raporlar oluşturma

Günlüklerin Bulut için Defender Uygulamalarına yüklendiğini ve raporların oluşturulduğunu doğrulayın. Doğrulamadan sonra özel raporlar oluşturun. Microsoft Entra kullanıcı gruplarını temel alan özel bulma raporları oluşturabilirsiniz. Örneğin, pazarlama departmanınızın bulut kullanımını görmek istiyorsanız, kullanıcı grubunu içeri aktar özelliğini kullanarak pazarlama grubunu içeri aktarın. Ardından bu grup için özel bir rapor oluşturun. Ayrıca bir raporu IP adresi etiketine veya IP adresi aralıklarına göre özelleştirebilirsiniz.

1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

2. Cloud Discovery'nin altında Sürekli raporlar'ı seçin.

3. Rapor oluştur düğmesine tıklayın ve alanları doldurun.

4. Filtreler altında verileri veri kaynağına, içeri aktarılan kullanıcı grubuna veya IP adresi etiketlerine ve aralıklarına göre filtreleyebilirsiniz.

   Dekont

   Sürekli raporlara filtre uygulanırken, seçim dahil edilir, dışlanmaz. Örneğin, belirli bir kullanıcı grubuna filtre uygularsanız rapora yalnızca o kullanıcı grubu eklenir.

   

Sonraki adımlar

Günlük toplayıcı FTP yapılandırmasını değiştirme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.