在 Windows 上使用內部部署 Docker 設定自動記錄上傳
您可以使用 Windows 上的 Docker,在 適用於雲端的 Defender Apps 中設定連續報告的自動記錄上傳。
必要條件
架構規格:
作業系統:下列其中一項:
Windows 10 (Fall creators update)
Windows Sever 版本 1709+ (SAC)
Windows Server 2019 (LTSC)
磁碟空間:250 GB
CPU 核心:2
CPU 架構:Intel 64 和 AMD 64
RAM:4 GB
如需支援的 Docker 架構清單,請參閱 Docker 安裝檔。
如網路需求中所述設定防火牆
操作系統上的虛擬化 必須使用 Hyper-V 啟用
重要
- 擁有超過 250 位使用者或超過 1000 萬美元年收入的企業客戶,需要付費訂閱才能使用適用於 Windows 的 Docker Desktop。 如需詳細資訊,請參閱 Docker 訂用帳戶概觀。
- 用戶必須登入,Docker 才能收集記錄。 建議您建議 Docker 使用者在不註銷的情況下中斷連線。
- VMWare 虛擬化案例中未正式支援適用於 Windows 的 Docker。
- 巢狀虛擬化案例中不支援適用於 Windows 的 Docker。 如果您仍打算使用巢狀虛擬化,請參閱 Docker 的官方指南。
- 如需適用於 Windows 之 Docker 的其他設定和實作考慮的詳細資訊,請參閱 在 Windows 上安裝 Docker Desktop。
注意
如果您有現有的記錄收集器,而且想要在再次部署之前移除它,或者如果您只想移除它,請執行下列命令:
docker stop <collector_name>
docker rm <collector_name>
記錄收集器效能
記錄收集器可以處理的記錄檔容量,每小時最多 50 GB。 記錄收集程序的主要瓶頸是︰
網路頻寬 - 您的網路頻寬會決定記錄的上傳速度。
虛擬機的 I/O 效能 - 決定記錄寫入記錄收集器磁碟的速度。 記錄收集器有內建的安全機制,會監視記錄檔到達的速率,並與上傳速率相比較。 如果網路擁塞,記錄收集器就會開始卸除記錄檔。 若您的設定通常每個小時都會超過 50 GB,則建議將流量分割至多個記錄收集器。
安裝與設定
步驟 1 – Web 入口網站設定:定義資料來源並將它們連結到記錄收集器
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
在 [Cloud Discovery] 底下,選取 [自動記錄上傳]。 然後選取 [ 數據源] 索引標籤 。
針對每個要上傳記錄的防火牆或 Proxy,建立相符的資料來源。
- 選取 [+新增數據源]。
- 命名 Proxy 或防火牆。
- 從 [來源] 清單中選取設備。 如果您選取 [自訂記錄檔格式] 來處理未列出的網路設備,請參閱使用自訂記錄檔剖析器中的設定指示。
- 比較您的記錄檔和預期的記錄檔格式範例。 如果您的記錄檔格式不符合此範例,您應該將資料來源新增為其他。
- 將 [接收器類型] 設定為 [FTP]、[FTPS]、[Syslog – UDP]、[Syslog – TCP] 或 [Syslog – TLS]。
注意
與安全傳輸通訊協定 (FTPS 及 Syslog – TLS) 整合通常需要額外的設定或防火牆/Proxy。
f. 為記錄檔可用來偵測網路流量的每個防火牆和 Proxy 重複這個程序。 建議您為每部網路裝置設定專屬的資料來源,以讓您:
- 分別監視每部裝置的狀態,以供調查使用。
- 若各裝置分別供不同的使用者區段使用,則可探索每部裝置的 Shadow IT Discovery。
- 選取 [+新增數據源]。
移至上方的 [記錄收集器] 索引標籤。
- 選取 [ 新增記錄收集器]。
- 為記錄收集器命名。
- 輸入您將用來部署 Docker 的電腦主機 IP 位址(私人 IP 位址)。 如果 DNS 伺服器 (或對等的) 會解析主機名,則可以將主機 IP 位址取代為電腦名稱。
- 選取您要連線到收集器的所有 數據源 ,然後選取 [ 更新 ] 以儲存組態。
進一步的部署資訊會出現。 從對話方塊複製執行命令。 您可以使用複製到剪貼簿圖示
。 您稍後會用到此程式。
匯出預期的資料來源設定。 此設定會告訴您如何在設備中設定記錄檔匯出。
注意
- 單一記錄收集器可以處理多個資料來源。
- 複製畫面的內容,因為當您將記錄收集器設定為與 適用於雲端的 Defender Apps 通訊時,將需要此資訊。 如果您已選取 Syslog,則這些資訊會包含 Syslog 接聽程式會在哪個連接埠接聽的資訊。
- 對於第一次透過 FTP 傳送記錄資料的使用者,建議變更 FTP 使用者的密碼。 如需詳細資訊,請參閱 變更 FTP 密碼。
步驟 2 – 電腦的內部部署
下列步驟描述 Windows 中的部署。 其他平台的部署步驟有些不同。
在 Windows 電腦上以系統管理員身分開啟 PowerShell 終端機。
執行下列命令以下載 Windows Docker 安裝程式 PowerShell 腳本檔案:
Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)
若要驗證安裝程式是否已由 Microsoft 簽署,請參閱 驗證安裝程式簽章。
若要啟用PowerShell腳本執行,請執行
Set-ExecutionPolicy RemoteSigned
執行:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)
這會在您的電腦上安裝 Docker 用戶端。執行命令之後,計算機將會自動重新啟動。
當機器再次啟動並執行時,請在PowerShell中執行相同的命令:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)
執行 Docker 安裝程式。 選取 [使用 WSL 2],而不是 [建議]:
安裝完成之後,計算機將會自動重新啟動。
重新啟動完成後,開啟 Docker 用戶端並完成 Docker 訂用帳戶合約:
如果未完成 WSL2 安裝,會出現下列快顯訊息:
下載套件來完成安裝,如下載 Linux 核心更新套件中所述 。
再次開啟 Docker Desktop 用戶端,並確定它已啟動:
以系統管理員身分執行 CMD,並輸入入口網站中產生的執行命令。 如果您需要設定 Proxy,請新增 Proxy IP 位址與連接埠號碼。 例如,如果您的 Proxy 詳細資料是 192.168.10.1:8080,更新的執行命令是:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
使用下列命令,確認收集器正常執行:
docker logs <collector_name>
您應該會看到訊息:Finished successfully!
步驟 3 - 網路設備的內部部署設定
設定您的網路防火牆和 Proxy,定期將記錄匯出到對話方塊指示的 FTP 目錄專用 Syslog 連接埠。 例如:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
步驟 4 - 確認入口網站中的部署成功
在 [記錄收集器] 資料表中檢查收集器狀態,並確定狀態為 [已連線]。 如果是 [已建立],則記錄收集器連線和剖析可能尚未完成。
您也可以移至 [治理記錄] 並確認記錄檔會定期被上傳到入口網站。
或者,您可以使用下列命令,從 Docker 容器內檢查記錄收集器狀態:
- 使用此指令登入容器:
docker exec -it <Container Name> bash
- 使用此指令確認記錄收集器狀態:
collector_status -p
如果您在部署期間遇到問題,請參閱針對 Cloud Discovery 進行疑難排解。
選擇性 - 建立自訂連續報告
確認記錄檔已上傳至 適用於雲端的 Defender Apps,併產生報表。 在確認之後,建立自訂報告。 您可以根據 Microsoft Entra 使用者群組建立自定義探索報告。 例如,如果您想要查看行銷部門的雲端使用情況,請使用 [匯入使用者群組] 功能來匯入行銷群組。 然後為此群組建立自訂報告。 您也可以自訂以 IP 位址標籤或 IP 位址範圍為基礎的報告。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
在 [Cloud Discovery] 底下,選取 [連續報告]。
選取 [ 建立報表] 按鈕並填入欄位。
在 [篩選] 下,您可以依資料來源、依匯入的使用者群組或依 IP 位址標籤和範圍來篩選資料。
注意
在連續報表上套用篩選時,不會排除選取範圍。 例如,如果您在特定使用者群組上套用篩選,則報表中只會包含該使用者群組。
選擇性 - 驗證安裝程式簽章
若要確定 Docker 安裝程式是由 Microsoft 簽署:
以滑鼠右鍵按下檔案,然後選取 [ 屬性]。
選取 [數字簽名],並確定它指出 [此數位簽名] 為 [正常]。
確認 Microsoft Corporation 為 [簽署者名稱] 下所列的唯一項目。
如果數位簽章無效,表示 此數位簽章無效:
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。