Megosztás a következőn keresztül:

Automatikus naplófeltöltés konfigurálása a helyszíni Dockerrel Windows rendszeren

  • Cikk

A windowsos Docker használatával konfigurálhatja az automatikus naplófeltöltést a folyamatos jelentésekhez Defender for Cloud Apps.

Előfeltételek

  • Architektúra-specifikációk:

    Előírás Leírás
    Operációs rendszer Az alábbiak egyike:
  • Windows 10 (fall creators update)
  • Windows Server 1709-es vagy újabb verzió (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Lemezterület 250 GB
    PROCESSZORmagok 2
    CPU-architektúra Intel 64 és AMD 64
    KOS 4 GB

    A támogatott Docker-architektúrák listáját a Docker telepítési dokumentációjában találja.

  • Állítsa be a tűzfalat igény szerint. További információ: Hálózati követelmények.

  • Az operációs rendszer virtualizálását engedélyezni kell a Hyper-V-vel.

Fontos

  • A 250-nél több felhasználóval vagy több mint 10 millió USD éves bevétellel rendelkező nagyvállalati ügyfeleknek fizetős előfizetésre van szükségük a Docker Desktop for Windows használatához. További információ: A Docker-előfizetés áttekintése.
  • A naplók gyűjtéséhez be kell jelentkeznie egy felhasználónak a Dockerbe. Javasoljuk, hogy javasolja a Docker-felhasználóknak, hogy kijelentkezés nélkül válasszanak le.
  • A WindowsHoz készült Docker hivatalosan nem támogatott a VMWare virtualizálási forgatókönyveiben.
  • A WindowsHoz készült Docker hivatalosan nem támogatott beágyazott virtualizálási forgatókönyvekben. Ha továbbra is beágyazott virtualizálást tervez használni, tekintse meg a Docker hivatalos útmutatóját.
  • A WindowsHoz készült Docker további konfigurációs és implementálási szempontjairól a Docker Desktop telepítése Windows rendszeren című témakörben talál további információt.

Meglévő naplógyűjtő eltávolítása

Ha van egy meglévő naplógyűjtője, és el szeretné távolítani, mielőtt újra üzembe helyezné, vagy egyszerűen csak el szeretné távolítani, futtassa a következő parancsokat:

docker stop <collector_name>
docker rm <collector_name>

Naplógyűjtő teljesítménye

A naplógyűjtő akár 50 GB/óra naplókapacitást is képes kezelni. A naplógyűjtési folyamat fő szűk keresztmetszetei a következők:

  • Hálózati sávszélesség – A hálózati sávszélesség határozza meg a naplófeltöltés sebességét.

  • A virtuális gép I/O-teljesítménye – Meghatározza a naplók naplógyűjtő lemezre való írásának sebességét. A naplógyűjtő beépített biztonsági mechanizmussal rendelkezik, amely figyeli a naplók beérkezési sebességét, és összehasonlítja azt a feltöltési sebességgel. Torlódás esetén a naplógyűjtő elkezdi eldobni a naplófájlokat. Ha a beállítás általában meghaladja az óránkénti 50 GB-ot, javasoljuk, hogy ossza fel a forgalmat több naplógyűjtő között.

1. lépés – A webportál konfigurálása

Az alábbi lépésekkel definiálhatja az adatforrásokat, és összekapcsolhatja őket egy naplógyűjtővel. Egyetlen naplógyűjtő több adatforrást is képes kezelni.

  1. A Microsoft Defender portálon válassza a Beállítások>Cloud Apps>Cloud Discovery>Automatikus naplófeltöltés>Adatforrások lapot.

  2. Hozzon létre egy megfelelő adatforrást minden olyan tűzfalhoz vagy proxyhoz, amelyről naplókat szeretne feltölteni:

    1. Válassza az +Adatforrás hozzáadása lehetőséget.

      Képernyőkép az Adatforrás hozzáadása gombról.

    2. Nevezze el a proxyt vagy a tűzfalat.

      Képernyőkép az Adatforrás hozzáadása párbeszédpanelről

    3. Válassza ki a berendezést a Forrás listából. Ha az Egyéni naplóformátum lehetőséget választja egy olyan hálózati berendezés használatához, amely nem szerepel a listán, a konfigurációs utasításokért lásd : Az egyéni naplóelemző használata .

    4. Hasonlítsa össze a naplót a várt naplóformátum mintával. Ha a naplófájl formátuma nem egyezik meg ezzel a mintával, vegye fel az adatforrást Másként.

    5. Állítsa a Fogadó típusátFTP, FTPS, Syslog – UDP vagy Syslog – TCP vagy Syslog – TLS értékre.

      Megjegyzés:

      A biztonságos átviteli protokollokkal (FTPS és Syslog – TLS) való integrációhoz gyakran további beállításokra van szükség a tűzfalhoz/proxyhoz.

    6. Ismételje meg ezt a folyamatot minden olyan tűzfal és proxy esetében, amelynek naplói a hálózat forgalmának észlelésére használhatók. Javasoljuk, hogy állítson be egy dedikált adatforrást hálózati eszközönként, hogy a következőket tegye lehetővé:

      • Vizsgálat céljából külön monitorozza az egyes eszközök állapotát.
      • Ha az egyes eszközöket egy másik felhasználói szegmens használja, tekintse át az árnyék-informatikai felderítést eszközönként.

  3. A lap tetején válassza a Naplógyűjtők lapot, majd a Naplógyűjtő hozzáadása lehetőséget.

  4. A Naplógyűjtő létrehozása párbeszédpanelen:

    1. A Név mezőbe írjon be egy kifejező nevet a naplógyűjtőnek.

    2. Adjon nevet a naplógyűjtőnek, és adja meg a Docker üzembe helyezéséhez használni kívánt gép állomás IP-címét (magánhálózati IP-címét). A gazdagép IP-címe lecserélhető a gép nevére, ha van olyan DNS-kiszolgáló (vagy ezzel egyenértékű), amely feloldja a gazdagép nevét.

    3. Jelölje ki az összes adatforrást , amelyet a gyűjtőhöz szeretne csatlakoztatni, majd válassza a Frissítés lehetőséget a konfiguráció mentéséhez.

      A további üzembe helyezési információk a Következő lépések szakaszban jelennek meg, beleértve a gyűjtő konfigurációjának importálásához később használt parancsot is. Ha a Syslog lehetőséget választotta, ezek az információk azt is tartalmazzák, hogy a Syslog-figyelő melyik porton figyel.

    4. Használja a vágólapra másolás ikont.A Másolás gombra kattintva másolja a parancsot a vágólapra, és mentse egy másik helyre.

    5. Az Exportálás exportálása gombbal exportálhatja a várt adatforrás-konfigurációt. Ez a konfiguráció azt ismerteti, hogyan kell beállítani a naplóexportálást a berendezésekben.

Az FTP-en keresztül első alkalommal naplóadatokat küldő felhasználók esetében javasoljuk, hogy módosítsa az FTP-felhasználó jelszavát. További információ: Az FTP-jelszó módosítása.

2. lépés – A gép helyszíni üzembe helyezése

Az alábbi lépések a Windowsban történő üzembe helyezést írják le. A többi platform üzembe helyezési lépései kissé eltérnek.

  1. Nyisson meg egy PowerShell-terminált rendszergazdaként a Windows-gépen.

  2. Futtassa a következő parancsot a Windows Docker-telepítő PowerShell-szkriptfájljának letöltéséhez:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Annak ellenőrzéséhez, hogy a telepítőt a Microsoft írta-e alá, olvassa el a Telepítő aláírásának ellenőrzése című cikket.

  3. A PowerShell-szkript végrehajtásának engedélyezéséhez futtassa a következőt:

    Set-ExecutionPolicy RemoteSigned`

  4. A Docker-ügyfél telepítéséhez futtassa a következőt:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    A gép a parancs futtatása után automatikusan újraindul.

  5. Amikor a gép újra fut, futtassa újra ugyanazt a parancsot:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Futtassa a Docker-telepítőt, és válassza a WSL 2 használatát a Hyper-V helyett.

    A telepítés befejezése után a gép automatikusan újraindul.

  7. Az újraindítás befejezése után nyissa meg a Docker-ügyfelet, és fogadja el a Docker-előfizetési szerződést.

  8. Ha a WSL2 telepítése nem fejeződött be, egy üzenet jelzi, hogy a WSL 2 Linux-kernel egy külön MSI-frissítési csomag használatával van telepítve.

  9. Fejezze be a telepítést a csomag letöltésével. További információ: A Linux kernelfrissítési csomagjának letöltése.

  10. Nyissa meg újra a Docker Desktop-ügyfelet, és győződjön meg arról, hogy elindult.

  11. Nyisson meg egy parancssort rendszergazdaként, és adja meg a portálról korábban kimásolt futtatási parancsot az 1. lépés – Webportál konfigurációjában.

    Ha proxyt kell konfigurálnia, adja hozzá a proxy IP-címét és portszámát. Ha például a proxy adatai 172.31.255.255:8080, a frissített futtatási parancs a következő:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. A gyűjtő megfelelő működésének ellenőrzéséhez futtassa a következőt:

    docker logs <collector_name>

    A következő üzenetnek kell megjelennie: Sikeresen befejeződött! Például:

    Képernyőkép egy parancsról, amelyen a gyűjtő megfelelően fut.

3. lépés – A hálózati berendezések helyszíni konfigurációja

Konfigurálja a hálózati tűzfalakat és proxykat úgy, hogy rendszeres időközönként exportálják a naplókat az FTP-könyvtár dedikált Syslog-portjára a párbeszédpanel útmutatásai szerint. Például:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

4. lépés – A sikeres üzembe helyezés ellenőrzése a portálon

Ellenőrizze a gyűjtő állapotát a naplógyűjtő táblában, és győződjön meg arról, hogy az állapot Csatlakoztatva. Ha létrejött, lehetséges, hogy a naplógyűjtő kapcsolata és elemzése még nem fejeződött be.

Ellenőrizze, hogy a gyűjtő állapota Csatlakoztatva.

A cégirányítási naplóban ellenőrizheti, hogy a naplók rendszeres időközönként fel vannak-e töltve a portálra.

Másik lehetőségként a következő parancsokkal ellenőrizheti a naplógyűjtő állapotát a Docker-tárolóból:

  1. Jelentkezzen be a tárolóba:

    docker exec -it <Container Name> bash

  2. Ellenőrizze a naplógyűjtő állapotát:

    collector_status -p

Ha problémákat tapasztal az üzembe helyezés során, tekintse meg a felhőfelderítés hibaelhárításával foglalkozó cikket.

Nem kötelező – Egyéni folyamatos jelentések létrehozása

Ellenőrizze, hogy a naplók fel vannak-e töltve Defender for Cloud Apps, és hogy a jelentések létrejönnek-e. Az ellenőrzés után hozzon létre egyéni jelentéseket. Egyéni felderítési jelentéseket hozhat létre Microsoft Entra felhasználói csoportok alapján. Ha például látni szeretné a marketingosztály felhőbeli használatát, importálja a marketingcsoportot a felhasználói csoport importálása funkcióval. Ezután hozzon létre egy egyéni jelentést ehhez a csoporthoz. A jelentéseket az IP-címcímke vagy AZ IP-címtartományok alapján is testre szabhatja.

  1. A Microsoft Defender portálon válassza a BeállításokCloud Apps CloudDiscovery Continuous reports (Felhőalkalmazások>>felhőfelderítési>folyamatos jelentései) lehetőséget.

  2. Válassza a Jelentés létrehozása gombot, és töltse ki a mezőket.

  3. A Szűrők területen adatforrás, importált felhasználói csoport vagy IP-címcímkék és -tartományok alapján szűrheti az adatokat.

    Megjegyzés:

    Ha szűrőket alkalmaz a folyamatos jelentésekre, a kijelölés nem lesz kizárva. Ha például szűrőt alkalmaz egy adott felhasználói csoportra, akkor csak az adott felhasználói csoport fog szerepelni a jelentésben.

    Egyéni folyamatos jelentés.

Nem kötelező – A telepítő aláírásának ellenőrzése

Annak ellenőrzése, hogy a Docker-telepítőt a Microsoft aláírta-e:

  1. Kattintson a jobb gombbal a fájlra, és válassza a Tulajdonságok parancsot.

  2. Válassza a Digitális aláírások lehetőséget, és győződjön meg arról, hogy a következő felirat jelenik meg: Ez a digitális aláírás rendben van.

  3. Győződjön meg arról, hogy a Microsoft Corporation szerepel egyedüli bejegyzésként az aláíró neve alatt.

    A digitális aláírás érvényes.

    Ha a digitális aláírás érvénytelen, a következőt fogja mondani: Ez a digitális aláírás nem érvényes:

    Érvénytelen digitális aláírás.

Következő lépések

A naplógyűjtő FTP-konfigurációjának módosítása

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.