Aracılığıyla paylaş

Azure'da Docker kullanarak otomatik günlük yüklemeyi yapılandırma

  • Makale

Bu makalede, Ubuntu'da Docker veya Azure'da CentOS kullanarak Defender for Cloud Apps'daki sürekli raporlar için otomatik günlük yüklemelerinin nasıl yapılandırıldığı açıklanır.

Önkoşullar

Başlamadan önce ortamınızın aşağıdaki gereksinimleri karşıladığından emin olun:

Gereksinim Açıklama
İşletim sistemi Aşağıdakilerden biri:
- Ubuntu 14.04, 16.04, 18.04 ve 20.04
- CentOS 7.2 veya üzeri
Disk alanı 250 GB
CPU çekirdekleri 2
CPU mimarisi Intel 64 ve AMD 64
KOÇ 4 GB
Güvenlik duvarı yapılandırması Ağ gereksinimlerinde tanımlandığı gibi

Günlük toplayıcılarınızı performansa göre planlama

Her günlük toplayıcısı, en fazla 10 veri kaynağından oluşan saatte 50 GB'a kadar günlük kapasitesini başarıyla işleyebilir. Günlük toplama işlemindeki ana performans sorunları şunlardır:

  • Ağ bant genişliği - Ağ bant genişliğiniz günlük karşıya yükleme hızını belirler.

  • Sanal makinenin G/Ç performansı - Günlüklerin günlük toplayıcısının diskine yazıldığı hızı belirler. Günlük toplayıcı, günlüklerin ulaşma hızını izleyen ve bunu karşıya yükleme hızıyla karşılaştıran yerleşik bir güvenlik mekanizmasına sahiptir. Tıkanıklık durumunda, günlük toplayıcı günlük dosyalarını bırakmaya başlar. Kurulumunuz genellikle saatte 50 GB'ı aşıyorsa trafiği birden çok günlük toplayıcısı arasında bölmenizi öneririz.

10'dan fazla veri kaynağına ihtiyacınız varsa, veri kaynaklarını birden çok günlük toplayıcısı arasında bölmenizi öneririz.

Veri kaynaklarınızı tanımlama

  1. Microsoft Defender Portalı'nda Ayarlar > Cloud Apps > Cloud Discovery > Otomatik günlük yükleme'yi seçin.

  2. Veri kaynakları sekmesinde, günlükleri karşıya yüklemek istediğiniz her güvenlik duvarı veya ara sunucu için eşleşen bir veri kaynağı oluşturun:

    1. Veri kaynağı ekle'yi seçin.

    2. Veri kaynağı ekle iletişim kutusunda, veri kaynağınız için bir ad girin ve ardından kaynak ve alıcı türünü seçin.

      Kaynak seçmeden önce Beklenen günlük dosyasının örneğini görüntüle'yi seçin ve günlüğünüzü beklenen biçimle karşılaştırın. Günlük dosyası biçiminiz bu örnekle eşleşmiyorsa veri kaynağınızı Diğer olarak ekleyin.

      Listelenmeyen bir ağ gereci ile çalışmak için Diğer Müşteri günlük biçimi veya Diğer >(yalnızca el ile) seçeneğini belirleyin. Daha fazla bilgi için bkz . Özel günlük ayrıştırıcısıyla çalışma.

    Not

    Güvenli aktarım protokolleriyle (FTPS ve Syslog – TLS) tümleştirmek için genellikle güvenlik duvarınızda/proxy'nizde ek ayarlar gerekir. Daha fazla bilgi için bkz . Gelişmiş günlük toplayıcı yönetimi.

Günlükleri ağınızdaki trafiği algılamak için kullanılabilen her güvenlik duvarı ve ara sunucu için bu işlemi yineleyin.

Araştırma amacıyla her cihazın durumunu ayrı ayrı izlemenize ve her cihaz farklı bir kullanıcı kesimi tarafından kullanılıyorsa cihaz başına Gölge BT Keşfi'ni keşfetmenize olanak tanıyan, ağ cihazı başına ayrılmış bir veri kaynağı ayarlamanızı öneririz.

Günlük toplayıcı oluşturma

  1. Microsoft Defender Portalı'nda Ayarlar > Cloud Apps > Cloud Discovery > Otomatik günlük yükleme'yi seçin.

  2. Günlük toplayıcıları sekmesinde Günlük toplayıcı ekle'yi seçin.

  3. Günlük toplayıcı oluştur iletişim kutusunda aşağıdaki ayrıntıları girin:

    • Günlük toplayıcınız için bir ad
    • Docker'ı dağıtmak için kullanacağınız makinenin özel IP adresi olan ana bilgisayar IP adresi. Ana bilgisayar adını çözümlemek için bir DNS sunucusu veya eşdeğeri varsa, ana bilgisayar IP adresi makine adıyla da değiştirilebilir.

    Ardından Veri kaynakları kutusunu seçerek toplayıcıya bağlanmak istediğiniz veri kaynaklarını seçin ve değişikliklerinizi kaydetmek için Güncelleştir'i seçin. Her günlük toplayıcı birden çok veri kaynağını işleyebilir.

    Günlük toplayıcı oluştur iletişim kutusu, toplayıcı yapılandırmasını içeri aktarma komutu da dahil olmak üzere diğer dağıtım ayrıntılarını gösterir. Örneğin:

    Günlük toplayıcı oluştur iletişim kutusundan kopyalanacak komutun ekran görüntüsü.

  4. Panoya kopyala simgesini seçin. Panonuza kopyalamak için komutun yanındaki Kopyala simgesi.

    Günlük toplayıcısı oluştur iletişim kutusunda görüntülenen ayrıntılar, seçilen kaynak ve alıcı türlerine bağlı olarak farklılık gösterir. Örneğin, Syslog'ı seçtiyseniz, iletişim kutusu syslog dinleyicisinin hangi bağlantı noktasını dinlediğiyle ilgili ayrıntıları içerir.

    Günlük toplayıcıyı Defender for Cloud Apps ile iletişim kuracak şekilde yapılandırırken ihtiyacınız olacak şekilde ekranın içeriğini kopyalayın ve yerel olarak kaydedin.

  5. Kaynak yapılandırmayı gereçlerinizde günlük dışarı aktarmanın nasıl yapılandırıldığını açıklayan bir .CSV dosyasına aktarmak için Dışarı Aktar'ı seçin.

İpucu

FTP aracılığıyla günlük verilerini ilk kez gönderen kullanıcılar için FTP kullanıcısının parolasını değiştirmenizi öneririz. Daha fazla bilgi için bkz. FTP parolasını değiştirme.

Azure'da makinenizi dağıtma

Bu yordamda makinenizin Ubuntu ile nasıl dağıtılacağı açıklanır. Diğer platformlar için dağıtım adımları biraz farklıdır.

  1. Azure ortamınızda yeni bir Ubuntu makinesi oluşturun.

  2. Makine açıldıktan sonra bağlantı noktalarını açın:

    1. Makine görünümünde Ağ'a gidip ilgili arabirimi çift tıklayarak seçin.

    2. Ağ güvenlik grubu'na gidin ve ilgili ağ güvenlik grubunu seçin.

    3. Gelen güvenlik kuralları'na gidin ve Ekle'ye tıklayın.

    4. Aşağıdaki kuralları ekleyin ( Gelişmiş modda):

      Name Hedef bağlantı noktası aralıkları Protokol Kaynak Hedef
      caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Herhangi biri
      caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Herhangi biri
      caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Herhangi biri
      caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Herhangi biri

    Daha fazla bilgi için bkz . Güvenlik kurallarıyla çalışma.

  3. Makineye Geri dön ve bağlan'a tıklayarak makinede bir terminal açın.

  4. kullanarak sudo -ikök ayrıcalıklara geçin.

  5. Yazılım lisans koşullarını kabul ediyorsanız, ortamınıza uygun komutları çalıştırarak eski sürümleri kaldırın ve Docker CE'yi yükleyin:

    1. Docker'ın eski sürümlerini kaldırma: yum erase docker docker-engine docker.io

    2. Docker altyapısı önkoşullarını yükleme: yum install -y yum-utils

    3. Docker deposu ekleme:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache

    4. Docker altyapısını yükleyin: yum -y install docker-ce

    5. Docker'ı başlatma

      systemctl start docker
systemctl enable docker

    6. Docker yüklemesini test edin: docker run hello-world

  6. Daha önce günlük toplayıcısı oluştur iletişim kutusundan kopyaladığınız komutu çalıştırın. Örneğin:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  7. Günlük toplayıcısının düzgün çalıştığını doğrulamak için aşağıdaki komutu çalıştırın: Docker logs <collector_name>. Sonuçları almanız gerekir: Başarıyla tamamlandı!

Ağ gereci şirket içi ayarlarını yapılandırma

Ağ güvenlik duvarlarınızı ve proxy'lerinizi, günlükleri iletişim kutusundaki yönergelere göre düzenli aralıklarla FTP dizininin ayrılmış Syslog bağlantı noktasına aktaracak şekilde yapılandırın. Örneğin:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Defender for Cloud Apps'de dağıtımınızı doğrulama

Günlük toplayıcı tablosunda toplayıcı durumunu denetleyin ve durumun Bağlı olduğundan emin olun. Oluşturulduysa, günlük toplayıcı bağlantısı ve ayrıştırma tamamlanmamış olabilir.

Örneğin:

Bağlı toplayıcı durumunun ekran görüntüsü.

Ayrıca İdare günlüğüne gidebilir ve günlüklerin düzenli aralıklarla portala yüklendiğini doğrulayabilirsiniz.

Alternatif olarak, aşağıdaki komutları kullanarak günlük toplayıcı durumunu docker kapsayıcısının içinden de kontrol edebilirsiniz:

  1. Şu komutu kullanarak kapsayıcıda oturum açın: docker exec -it <Container Name> bash
  2. Şu komutu kullanarak günlük toplayıcı durumunu doğrulayın: collector_status -p

Dağıtım sırasında sorun yaşıyorsanız bkz. Bulut bulma sorunlarını giderme.

İsteğe bağlı - Özel sürekli raporlar oluşturma

Günlüklerin Defender for Cloud Apps yüklendiğini ve raporların oluşturulduğunu doğrulayın. Doğrulamadan sonra özel raporlar oluşturun. Microsoft Entra kullanıcı gruplarını temel alan özel bulma raporları oluşturabilirsiniz. Örneğin, pazarlama departmanınızın bulut kullanımını görmek istiyorsanız, içeri aktarma kullanıcı grubu özelliğini kullanarak pazarlama grubunu içeri aktarın. Ardından bu grup için özel bir rapor oluşturun. Ayrıca bir raporu IP adresi etiketine veya IP adresi aralıklarına göre özelleştirebilirsiniz.

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Cloud Discovery'nin altında Sürekli raporlar'ı seçin.

  3. Rapor oluştur düğmesine tıklayın ve alanları doldurun.

  4. Filtreler'in altında verileri veri kaynağına, içeri aktarılan kullanıcı grubuna veya IP adresi etiketlerine ve aralıklarına göre filtreleyebilirsiniz.

    Not

    Sürekli raporlara filtre uygulanırken, seçim dahil edilir, dışlanmaz. Örneğin, belirli bir kullanıcı grubuna filtre uygularsanız rapora yalnızca o kullanıcı grubu eklenir.

    Özel bir sürekli raporun ekran görüntüsü.

Günlük toplayıcınızı kaldırma

Mevcut bir günlük toplayıcınız varsa ve yeniden dağıtmadan önce kaldırmak istiyorsanız veya yalnızca kaldırmak istiyorsanız aşağıdaki komutları çalıştırın:

docker stop <collector_name>
docker rm <collector_name>

Sonraki adımlar

Günlük toplayıcı FTP yapılandırmasını değiştirme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.