您可以使用內部部署 Ubuntu 或 CentOS 伺服器上的 Docker,在 Defender for Cloud Apps 中設定連續報告的自動記錄上傳。
重要事項
如果您使用 RHEL 7.1 版或更新版本,則必須使用 Podman 進行自動記錄收集,而不是 Docker。 如需詳細資訊, 請參閱使用Podman設定自動記錄上傳。
必要條件
| 規範 | 描述 |
|---|---|
| 作業系統 | 下列其中之一: |
| 磁碟空間 | 250 GB |
| CPU 核心 | 2 |
| CPU 架構 | Intel 64 和 AMD 64 |
| RAM | 4 GB |
請務必視需要設定防火牆。 如需詳細資訊,請參閱 網路需求。
拿掉現有的記錄收集器
如果您有現有的記錄收集器,而且想要在再次部署之前將其移除,或如果您只想要移除它,請執行下列命令:
docker stop <collector_name>
docker rm <collector_name>
記錄收集器效能
記錄收集器可以成功處理每小時最多 50 GB 的記錄容量。 記錄收集程式的主要瓶頸如下:
網路頻寬 - 您的網路頻寬會決定記錄上傳速度。
虛擬機的 I/O 效能 - 決定記錄寫入記錄收集器磁碟的速度。 記錄收集器具有內建的安全機制,可監視記錄抵達的速率,並將其與上傳速率進行比較。 發生壅塞時,記錄收集器會開始卸除記錄檔。 如果您的安裝程式通常每小時超過 50 GB,建議您在多個記錄收集器之間分割流量。
步驟 1 – 入口網站設定:定義數據源並將它們連結至記錄收集器
在 Microsoft Defender 入口網站中,選取> [設定Cloud Apps>Cloud Discovery>自動記錄上傳數據源] 索>引卷標。
針對您要上傳記錄的每個防火牆或 Proxy,建立相符的數據源。
選取 [+新增數據源]。
![[新增資料源] 按鈕的螢幕快照。](media/add-data-source.png)
為 您的 Proxy 或防火牆命名。
![[新增數據源] 對話框的螢幕快照](media/ubuntu1.png)
從 [ 來源 ] 列表中選取設備。 如果您選取 [自訂記錄格式 ] 以使用未列出的網路設備,請參閱 使用自定義記錄檔剖析器 以取得設定指示。
比較您的記錄檔與預期記錄格式的範例。 如果您的記錄檔格式不符合此範例,您應該將數據源新增為 [其他]。
將 [接收者類型 ] 設定為 [FTP]、 [FTPS]、 [Syslog – UDP] 或 [ Syslog – TCP] 或 [ Syslog – TLS]。
注意事項
與安全傳輸通訊協定整合 (FTPS 和 Syslog – TLS) 通常需要防火牆/Proxy 的其他設定。
針對記錄可用來偵測網路流量的每個防火牆和 Proxy 重複此程式。 建議您設定每個網路裝置的專用數據源,讓您可以:
- 針對調查目的,個別監視每個裝置的狀態。
- 如果每個裝置都由不同的使用者區段使用,則探索每個裝置的陰影IT探索。
在頁面頂端,選取 [ 記錄收集器] 索 引標籤,然後選取 [ 新增記錄收集器]。
在 [ 建立記錄收集器 ] 對話框中:
在 [ 名稱] 欄位 中,為記錄收集器輸入有意義的名稱。
為記錄收集器 命名 ,然後輸入您將用來部署 Docker 之電腦 (私人 IP 位址) 主機 IP 位址 。 如果有將解析主機名的 DNS 伺服器 (或對等的) ,則主機 IP 位址可以取代為計算機名稱。
選取您想要連線到收集器的所有 數據源 ,然後選取 [更新 ] 以儲存設定。
[ 後續步驟 ] 區段中會顯示進一步的部署資訊,包括您稍後將用來匯入收集器設定的命令。 如果您選取了 Syslog,此資訊也會包含 Syslog 接聽程式正在接聽哪個埠的相關數據。
使用
複製 按鈕以將命令複製到剪貼簿,並將它儲存到個別的位置。使用 [
![導出]。](media/export-icon.png)
匯 出按鈕以匯出預期的數據源組態。 此設定描述您應該如何在設備中設定記錄匯出。
對於第一次透過 FTP 傳送記錄資料的使用者,建議您變更 FTP 使用者的密碼。 如需詳細資訊,請 參閱變更 FTP 密碼。
步驟 2 – 您電腦的內部部署
下列步驟說明 Ubuntu 中的部署。 其他支持平臺的部署步驟可能稍有不同。
在Ubuntu電腦上開啟終端機。
執行下列命令來變更根權限:
sudo -i若要略過網路中的 Proxy,請執行下列兩個命令:
export http_proxy='<IP>:<PORT>' (e.g. 168.192.1.1:8888) export https_proxy='<IP>:<PORT>'如果您接受軟體授權條款,請執行適合您環境的命令,以卸載舊版並安裝 Docker CE:
拿掉舊版 Docker:
yum erase docker docker-engine docker.io安裝 Docker 引擎必要條件:
yum install -y yum-utils新增 Docker 存放庫:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache安裝 Docker 引擎:
yum -y install docker-ce啟動 Docker:
systemctl start docker systemctl enable docker測試 Docker 安裝:
docker run hello-world
藉由匯入收集器組態,在主計算機上部署收集器映像。 藉由複製入口網站中產生的執行命令來匯入組態。 如果您需要設定 Proxy,請新增 Proxy IP 位址和埠號碼。 例如,如果您的 Proxy 詳細資料是 172.31.255.255:8080,則更新的執行命令為:
(echo 6f19225ea69cf5f178139551986d3d797c92a5a43bef46469fcc997aec2ccc6f) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=tenant.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter使用下列命令確認收集器是否正常執行:
docker logs <collector_name>您應該會看到訊息: 已成功完成! 例如:
步驟 3 - 網路設備的內部部署設定
設定您的網路防火牆和 Proxy,根據對話框中的指示,定期將記錄匯出至專用 Syslog 埠或 FTP 目錄。 例如:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
步驟 4 - 在入口網站中確認部署成功
檢查 記錄收集器 數據表中的收集器狀態,並確定狀態為 [已連線]。 如果已 建立,則記錄收集器連線和剖析可能尚未完成。
![確認收集器狀態為 [已連線]。](media/collector-status-connected.png#lightbox)
您也可以移至 治理記錄 ,並確認記錄會定期上傳至入口網站。
或者,您可以使用下列命令,從 Docker 容器內檢查記錄收集器狀態:
登入容器:
docker exec -it <Container Name> bash確認記錄收集器狀態:
collector_status -p
如果您在部署期間遇到問題,請參閱 針對雲端探索進行疑難解答。
選擇性 - 建立自定義連續報告
確認記錄已上傳至 Defender for Cloud Apps,且已產生報告。 驗證之後,請建立自定義報表。 您可以根據 Microsoft Entra 使用者群組來建立自訂探索報告。 例如,如果您想要查看行銷部門的雲端使用方式,請使用匯入使用者群組功能匯入行銷群組。 然後為此群組建立自定義報表。 您也可以根據IP位址標籤或IP位址範圍來自訂報表。
在 Microsoft Defender 入口網站中,選取> [設定Cloud Apps>Cloud Discovery>連續報告]。
選取 [ 建立報表] 按鈕,然後填入欄位。
在 [ 篩選] 底 下,您可以依數據源、匯 入的使用者群組或 IP位址標籤和範圍來篩選數據。
注意事項
在連續報表上套用篩選時,將會包含選取範圍,而不會排除。 例如,如果您在特定使用者群組上套用篩選,報表中只會包含該使用者群組。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。