共用方式為

在 Windows 上使用內部部署 Docker 設定自動記錄上傳

  • 發行項

您可以使用 Windows 上的 Docker,在 適用於雲端的 Defender Apps 中設定連續報告的自動記錄上傳。

必要條件

  • 架構規格

    • 作業系統:下列其中一項:

      • Windows 10 (Fall creators update)

      • Windows Sever 版本 1709+ (SAC)

      • Windows Server 2019 (LTSC)

    • 磁碟空間:250 GB

    • CPU 核心:2

    • CPU 架構:Intel 64 和 AMD 64

    • RAM:4 GB

    如需支援的 Docker 架構清單,請參閱 Docker 安裝檔

  • 如網路需求中所述設定防火牆

  • 操作系統上的虛擬化 必須使用 Hyper-V 啟用

重要

  • 擁有超過 250 位使用者或超過 1000 萬美元年收入的企業客戶,需要付費訂閱才能使用適用於 Windows 的 Docker Desktop。 如需詳細資訊,請參閱 Docker 訂用帳戶概觀
  • 用戶必須登入,Docker 才能收集記錄。 建議您建議 Docker 使用者在不註銷的情況下中斷連線。
  • VMWare 虛擬化案例中未正式支援適用於 Windows 的 Docker。
  • 巢狀虛擬化案例中不支援適用於 Windows 的 Docker。 如果您仍打算使用巢狀虛擬化,請參閱 Docker 的官方指南
  • 如需適用於 Windows 之 Docker 的其他設定和實作考慮的詳細資訊,請參閱 在 Windows 上安裝 Docker Desktop。

注意

如果您有現有的記錄收集器,而且想要在再次部署之前移除它,或者如果您只想移除它,請執行下列命令:

docker stop <collector_name>
docker rm <collector_name>

記錄收集器效能

記錄收集器可以處理的記錄檔容量,每小時最多 50 GB。 記錄收集程序的主要瓶頸是︰

  • 網路頻寬 - 您的網路頻寬會決定記錄的上傳速度。

  • 虛擬機的 I/O 效能 - 決定記錄寫入記錄收集器磁碟的速度。 記錄收集器有內建的安全機制,會監視記錄檔到達的速率,並與上傳速率相比較。 如果網路擁塞,記錄收集器就會開始卸除記錄檔。 若您的設定通常每個小時都會超過 50 GB,則建議將流量分割至多個記錄收集器。

安裝與設定

步驟 1 – Web 入口網站設定:定義資料來源並將它們連結到記錄收集器

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 在 [Cloud Discovery] 底下,選取 [自動記錄上傳]。 然後選取 [ 數據源] 索引標籤

  3. 針對每個要上傳記錄的防火牆或 Proxy,建立相符的資料來源。

    1. 選取 [+新增數據源]。
      Add a data source.
    2. 命名 Proxy 或防火牆。
      Add name for data source.
    3. 從 [來源] 清單中選取設備。 如果您選取 [自訂記錄檔格式] 來處理未列出的網路設備,請參閱使用自訂記錄檔剖析器中的設定指示。
    4. 比較您的記錄檔和預期的記錄檔格式範例。 如果您的記錄檔格式不符合此範例,您應該將資料來源新增為其他
    5. 將 [接收器類型] 設定為 [FTP]、[FTPS]、[Syslog – UDP]、[Syslog – TCP] 或 [Syslog – TLS]

    注意

    與安全傳輸通訊協定 (FTPS 及 Syslog – TLS) 整合通常需要額外的設定或防火牆/Proxy。

    f. 為記錄檔可用來偵測網路流量的每個防火牆和 Proxy 重複這個程序。 建議您為每部網路裝置設定專屬的資料來源,以讓您:

    • 分別監視每部裝置的狀態,以供調查使用。
    • 若各裝置分別供不同的使用者區段使用,則可探索每部裝置的 Shadow IT Discovery。

  4. 移至上方的 [記錄收集器] 索引標籤。

    1. 選取 [ 新增記錄收集器]。
    2. 為記錄收集器命名
    3. 輸入您將用來部署 Docker 的電腦主機 IP 位址(私人 IP 位址)。 如果 DNS 伺服器 (或對等的) 會解析主機名,則可以將主機 IP 位址取代為電腦名稱。
    4. 選取您要連線到收集器的所有 數據源 ,然後選取 [ 更新 ] 以儲存組態。 Select data source to connect.

  5. 進一步的部署資訊會出現。 從對話方塊複製執行命令。 您可以使用複製到剪貼簿圖示 copy to clipboard icon.。 您稍後會用到此程式。

  6. 匯出預期的資料來源設定。 此設定會告訴您如何在設備中設定記錄檔匯出。

    Create log collector.

    注意

    • 單一記錄收集器可以處理多個資料來源。
    • 複製畫面的內容,因為當您將記錄收集器設定為與 適用於雲端的 Defender Apps 通訊時,將需要此資訊。 如果您已選取 Syslog,則這些資訊會包含 Syslog 接聽程式會在哪個連接埠接聽的資訊。
    • 對於第一次透過 FTP 傳送記錄資料的使用者,建議變更 FTP 使用者的密碼。 如需詳細資訊,請參閱 變更 FTP 密碼

步驟 2 – 電腦的內部部署

下列步驟描述 Windows 中的部署。 其他平台的部署步驟有些不同。

  1. 在 Windows 電腦上以系統管理員身分開啟 PowerShell 終端機。

  2. 執行下列命令以下載 Windows Docker 安裝程式 PowerShell 腳本檔案: Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    若要驗證安裝程式是否已由 Microsoft 簽署,請參閱 驗證安裝程式簽章

  3. 若要啟用PowerShell腳本執行,請執行 Set-ExecutionPolicy RemoteSigned

  4. 執行: & (Join-Path $Env:Temp LogCollectorInstaller.ps1) 這會在您的電腦上安裝 Docker 用戶端。

    Docker is installed.

    執行命令之後,計算機將會自動重新啟動。

  5. 當機器再次啟動並執行時,請在PowerShell中執行相同的命令: & (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Run PowerShell command again.

  6. 執行 Docker 安裝程式。 選取 [使用 WSL 2],而不是 [建議]

    Installing Docker desktop.

    安裝完成之後,計算機將會自動重新啟動。

  7. 重新啟動完成後,開啟 Docker 用戶端並完成 Docker 訂用帳戶合約:

    Accept Docker service agreement.

  8. 如果未完成 WSL2 安裝,會出現下列快顯訊息:

    WSL 2 installation is incomplete.

  9. 下載套件來完成安裝,如下載 Linux 核心更新套件中所述

  10. 再次開啟 Docker Desktop 用戶端,並確定它已啟動:

    Open the Docker Desktop client.

  11. 以系統管理員身分執行 CMD,並輸入入口網站中產生的執行命令。 如果您需要設定 Proxy,請新增 Proxy IP 位址與連接埠號碼。 例如,如果您的 Proxy 詳細資料是 192.168.10.1:8080,更新的執行命令是:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

    Create log collector.

  12. 使用下列命令,確認收集器正常執行:docker logs <collector_name>

您應該會看到訊息:Finished successfully!

Verify that collector is running properly.

步驟 3 - 網路設備的內部部署設定

設定您的網路防火牆和 Proxy,定期將記錄匯出到對話方塊指示的 FTP 目錄專用 Syslog 連接埠。 例如:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

步驟 4 - 確認入口網站中的部署成功

在 [記錄收集器] 資料表中檢查收集器狀態,並確定狀態為 [已連線]。 如果是 [已建立],則記錄收集器連線和剖析可能尚未完成。

Verify that the collector status is Connected.

您也可以移至 [治理記錄] 並確認記錄檔會定期被上傳到入口網站。

或者,您可以使用下列命令,從 Docker 容器內檢查記錄收集器狀態:

  1. 使用此指令登入容器: docker exec -it <Container Name> bash
  2. 使用此指令確認記錄收集器狀態: collector_status -p

如果您在部署期間遇到問題,請參閱針對 Cloud Discovery 進行疑難排解

選擇性 - 建立自訂連續報告

確認記錄檔已上傳至 適用於雲端的 Defender Apps,併產生報表。 在確認之後,建立自訂報告。 您可以根據 Microsoft Entra 使用者群組建立自定義探索報告。 例如,如果您想要查看行銷部門的雲端使用情況,請使用 [匯入使用者群組] 功能來匯入行銷群組。 然後為此群組建立自訂報告。 您也可以自訂以 IP 位址標籤或 IP 位址範圍為基礎的報告。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 在 [Cloud Discovery] 底下,選取 [連續報告]。

  3. 選取 [ 建立報表] 按鈕並填入欄位。

  4. 在 [篩選] 下,您可以依資料來源、依匯入的使用者群組或依 IP 位址標籤和範圍來篩選資料。

    注意

    在連續報表上套用篩選時,不會排除選取範圍。 例如,如果您在特定使用者群組上套用篩選,則報表中只會包含該使用者群組。

    Custom continuous report.

選擇性 - 驗證安裝程式簽章

若要確定 Docker 安裝程式是由 Microsoft 簽署:

  1. 以滑鼠右鍵按下檔案,然後選取 [ 屬性]。

  2. 選取 [數字簽名],並確定它指出 [此數位簽名] 為 [正常]。

  3. 確認 Microsoft Corporation 為 [簽署者名稱] 下所列的唯一項目。

    Digital signature valid.

    如果數位簽章無效,表示 此數位簽章無效

    Digital signature not valid.

下一步

修改記錄收集器 FTP 組態

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證