Configurar o carregamento automático de logs usando o Docker no Azure

Este artigo descreve como configurar carregamentos automáticos de log para relatórios contínuos no Defender for Cloud Apps usando um Docker no Ubuntu ou CentOS no Azure.

Pré-requisitos

Antes de começar, verifique se o ambiente atende aos seguintes requisitos:

Requisito Description
SO Um dos seguintes:
- Ubuntu 14.04, 16.04, 18.04 e 20.04
- CentOS 7.2 ou superior
Espaço em disco 250 GB
Núcleos de CPU 2
Arquitetura da CPU Intel 64 e AMD 64
Memória RAM 4 GB
Configuração da firewall Conforme definido em Requisitos de rede

Planeje seus coletores de log por desempenho

Cada coletor de log pode lidar com sucesso com capacidade de log de até 50 GB por hora, composta por até 10 fontes de dados. Os principais limites do processo de recolha de registos são:

  • Largura de banda da rede - A largura de banda da rede determina a velocidade de carregamento do log.

  • Desempenho de E/S da máquina virtual - Determina a velocidade com que os logs são gravados no disco do coletor de logs. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a taxa a que os registos são recebidos e compara-a com a taxa de carregamento. Em caso de congestionamento, o recoletor começa a largar ficheiros de registo. Se a configuração normalmente exceder 50 GB por hora, recomendamos que você divida o tráfego entre vários coletores de log.

Se você precisar de mais de 10 fontes de dados, recomendamos dividir as fontes de dados entre vários coletores de log.

Defina suas fontes de dados

  1. No Portal do Microsoft Defender, selecione Configurações > Cloud Apps > Cloud Discovery > Carregamento automático de logs.

  2. Na guia Fontes de dados, crie uma fonte de dados correspondente para cada firewall ou proxy do qual você deseja carregar logs:

    1. Selecione Adicionar origem de dados.

    2. Na caixa de diálogo Adicionar fonte de dados, insira um nome para a fonte de dados e selecione o tipo de fonte e o tipo de recetor.

      Antes de selecionar uma fonte, selecione Exibir amostra do arquivo de log esperado e compare seu log com o formato esperado. Se o formato do arquivo de log não corresponder a este exemplo, adicione sua fonte de dados como Outro.

      Para trabalhar com um dispositivo de rede que não esteja listado, selecione Outro > formato de log do cliente ou Outro (somente manual). Para obter mais informações, consulte Trabalhando com o analisador de log personalizado.

    Nota

    A integração com protocolos de transferência seguros (FTPS e Syslog – TLS) geralmente requer configurações adicionais ou seu firewall/proxy.

Repita este processo para cada firewall e proxy cujos registos podem ser utilizados para detetar o tráfego na sua rede.

Recomendamos que você configure uma fonte de dados dedicada por dispositivo de rede, permitindo que você monitore o status de cada dispositivo separadamente para fins de investigação e explore o Shadow IT Discovery por dispositivo se cada dispositivo for usado por um segmento de usuário diferente.

Criar um coletor de log

  1. No Portal do Microsoft Defender, selecione Configurações > Cloud Apps > Cloud Discovery > Carregamento automático de logs.

  2. Na guia Coletores de log, selecione Adicionar coletor de log.

  3. Na caixa de diálogo Criar coletor de log, insira os seguintes detalhes:

    • Um nome para seu coletor de log
    • O endereço IP do host, que é o endereço IP privado da máquina que você usará para implantar o Docker. O endereço IP do host também pode ser substituído pelo nome da máquina, se houver um servidor DNS ou equivalente para resolver o nome do host.

    Em seguida, selecione a caixa Fonte(s) de dados para selecionar as fontes de dados que deseja conectar ao coletor e selecione Atualizar para salvar as alterações. Cada coletor de log pode lidar com várias fontes de dados.

    A caixa de diálogo Criar coletor de log mostra mais detalhes de implantação, incluindo um comando para importar a configuração do coletor. Por exemplo:

    Captura de tela do comando a ser copiado da caixa de diálogo Criar coletor de log.

  4. Selecione o Copiar para o ícone da área de transferência. ícone Copiar ao lado do comando para copiá-lo para a área de transferência.

    Os detalhes exibidos na caixa de diálogo Criar coletor de log diferem, dependendo dos tipos de fonte e recetor selecionados. Por exemplo, se você selecionou Syslog, a caixa de diálogo inclui detalhes sobre em qual porta o ouvinte syslog está escutando.

    Copie o conteúdo da tela e salve-o localmente, pois você precisará deles ao configurar o coletor de logs para se comunicar com o Defender for Cloud Apps.

  5. Selecione Exportar para exportar a configuração de origem para um arquivo . CSV que descreve como configurar a exportação de log em seus dispositivos.

Gorjeta

Para usuários que enviam dados de log via FTP pela primeira vez, recomendamos alterar a senha para o usuário FTP. Para obter mais informações, consulte Alterando a senha do FTP.

Implantar sua máquina no Azure

Este procedimento descreve como implantar sua máquina com o Ubuntu. As etapas de implantação para outras plataformas são ligeiramente diferentes.

  1. Crie uma nova máquina Ubuntu em seu ambiente do Azure.

  2. Depois que a máquina estiver ativa, abra as portas:

    1. Na visualização da máquina, vá para Rede , selecione a interface relevante clicando duas vezes nela.

    2. Vá para Grupo de segurança de rede e selecione o grupo de segurança de rede relevante.

    3. Vá para Regras de segurança de entrada e clique em Adicionar.

    4. Adicione as seguintes regras (no modo Avançado ):

      Nome Intervalos de portas de destino Protocolo Origem Destino
      caslogcollector_ftp 21 TCP Your appliance's IP address's subnet Qualquer
      caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet Qualquer
      caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet Qualquer
      caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet Qualquer

    Para obter mais informações, consulte Trabalhar com regras de segurança.

  3. Volte para a máquina e clique em Conectar para abrir um terminal na máquina.

  4. Mude para privilégios de raiz usando sudo -i.

  5. Se você aceitar os termos de licença de software, desinstale versões antigas e instale o Docker CE executando os comandos apropriados para seu ambiente:

    1. Remova as versões antigas do Docker: yum erase docker docker-engine docker.io

    2. Pré-requisitos de instalação do mecanismo Docker: yum install -y yum-utils

    3. Adicionar repositório do Docker:

      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
      yum makecache
      
    4. Instale o mecanismo Docker: yum -y install docker-ce

    5. Iniciar o Docker

      systemctl start docker
      systemctl enable docker
      
    6. Teste a instalação do Docker: docker run hello-world

  6. Execute o comando que você copiou anteriormente da caixa de diálogo Criar coletor de log. Por exemplo:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
    
  7. Para verificar se o coletor de log está sendo executado corretamente, execute o seguinte comando: Docker logs <collector_name>. Você deve obter os resultados: Concluído com sucesso!

Definir configurações locais do dispositivo de rede

Configure seus firewalls e proxies de rede para exportar periodicamente logs para a porta Syslog dedicada do diretório FTP de acordo com as instruções na caixa de diálogo. Por exemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Verificar sua implantação no Defender for Cloud Apps

Verifique o status do coletor na tabela Coletor de log e verifique se o status é Conectado. Se for Criado, é possível que a conexão e a análise do coletor de logs não tenham sido concluídas.

Por exemplo:

Captura de tela do status de um coletor conectado.

Você também pode ir para o log de governança e verificar se os logs estão sendo carregados periodicamente para o portal.

Como alternativa, você pode verificar o status do coletor de log de dentro do contêiner do docker usando os seguintes comandos:

  1. Faça login no contêiner usando este comando: docker exec -it <Container Name> bash
  2. Verifique o status do coletor de log usando este comando: collector_status -p

Se você tiver problemas durante a implantação, consulte Solução de problemas de descoberta de nuvem.

Opcional - Criar relatórios contínuos personalizados

Verifique se os logs estão sendo carregados no Defender for Cloud Apps e se os relatórios são gerados. Após a verificação, crie relatórios personalizados. Você pode criar relatórios de descoberta personalizados com base em grupos de usuários do Microsoft Entra. Por exemplo, se você quiser ver o uso da nuvem do seu departamento de marketing, importe o grupo de marketing usando o recurso importar grupo de usuários. Em seguida, crie um relatório personalizado para esse grupo. Você também pode personalizar um relatório com base na marca de endereço IP ou intervalos de endereços IP.

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.

  2. Em Cloud Discovery, selecione Relatórios contínuos.

  3. Clique no botão Criar relatório e preencha os campos.

  4. Em Filtros, você pode filtrar os dados por fonte de dados, por grupo de usuários importados ou por tags e intervalos de endereços IP.

    Nota

    Ao aplicar filtros em relatórios contínuos, a seleção será incluída, não excluída. Por exemplo, se você aplicar um filtro em um determinado grupo de usuários, somente esse grupo de usuários será incluído no relatório.

    Captura de ecrã de um relatório contínuo personalizado.

Remover o coletor de log

Se você tiver um coletor de log existente e quiser removê-lo antes de implantá-lo novamente, ou se simplesmente quiser removê-lo, execute os seguintes comandos:

docker stop <collector_name>
docker rm <collector_name>

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.