Configurar o carregamento automático de logs usando o Docker local no Windows

  • Artigo

Você pode configurar o carregamento automático de logs para relatórios contínuos no Defender for Cloud Apps usando um Docker no Windows.

Pré-requisitos

  • Especificações da arquitetura:

    Especificação Description
    Sistema Operativo Um dos seguintes:
  • Windows 10 (atualização de criadores de outono)
  • Windows Server versão 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Espaço em disco 250 GB
    Núcleos de CPU 2
    Arquitetura da CPU Intel 64 e AMD 64
    Memória RAM 4 GB

    Para obter uma lista das arquiteturas do Docker suportadas, consulte a documentação de instalação do Docker.

  • Defina o firewall conforme necessário. Para obter mais informações, consulte Requisitos de rede.

  • A virtualização no sistema operacional deve ser habilitada com o Hyper-V.

Importante

  • Clientes corporativos com mais de 250 usuários ou mais de US$ 10 milhões em receita anual precisam de uma assinatura paga para usar o Docker Desktop para Windows. Para obter mais informações, consulte Visão geral da assinatura do Docker.
  • Um usuário deve estar conectado para que o Docker colete logs. Recomendamos aconselhar os usuários do Docker a se desconectarem sem sair.
  • O Docker para Windows não é oficialmente suportado em cenários de virtualização VMWare.
  • O Docker para Windows não é oficialmente suportado em cenários de virtualização aninhada. Se você ainda planeja usar a virtualização aninhada, consulte o guia oficial do Docker.
  • Para obter informações sobre considerações adicionais de configuração e implementação para o Docker para Windows, consulte Instalar o Docker Desktop no Windows.

Remover um coletor de log existente

Se você tiver um coletor de log existente e quiser removê-lo antes de implantá-lo novamente, ou se simplesmente quiser removê-lo, execute os seguintes comandos:

docker stop <collector_name>
docker rm <collector_name>

Desempenho do recoletor de registos

O coletor de log pode lidar com êxito com a capacidade de log de até 50 GB por hora. Os principais limites do processo de recolha de registos são:

  • Largura de banda da rede - A largura de banda da rede determina a velocidade de carregamento do log.

  • Desempenho de E/S da máquina virtual - Determina a velocidade com que os logs são gravados no disco do coletor de logs. O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a taxa a que os registos são recebidos e compara-a com a taxa de carregamento. Em caso de congestionamento, o recoletor começa a largar ficheiros de registo. Se a configuração normalmente exceder 50 GB por hora, é recomendável dividir o tráfego entre vários coletores de log.

Etapa 1 – Configuração do portal Web

Use as etapas a seguir para definir suas fontes de dados e vinculá-las a um coletor de log. Um único coletor de log pode lidar com várias fontes de dados.

  1. No portal do Microsoft Defender, selecione Configurações>Cloud Apps>Cloud Discovery>Carregamento>automático de log Guia Fontes de dados.

  2. Em cada firewall ou proxy a partir dos quais quer carregar registos, crie uma origem de dados correspondente:

    1. Selecione +Adicionar fonte de dados.

      Captura de tela do botão Adicionar fonte de dados.

    2. Dê um nome ao proxy ou à firewall.

      Captura de tela da caixa de diálogo Adicionar fonte de dados

    3. Selecione a aplicação na lista Origem. Se você selecionar Formato de log personalizado para trabalhar com um dispositivo de rede que não esteja listado, consulte Trabalhando com o analisador de log personalizado para obter instruções de configuração.

    4. Compare o registo com o exemplo do formato de registo esperado. Se o formato do arquivo de log não corresponder a este exemplo, você deverá adicionar sua fonte de dados como Outro.

    5. Defina o tipo de recetor como FTP, FTPS, Syslog – UDP ou Syslog – TCP ou Syslog – TLS.

      Nota

      A integração com protocolos de transferência seguros (FTPS e Syslog – TLS) geralmente requer configurações adicionais para seu firewall/proxy.

    6. Repita este processo para cada firewall e proxy cujos registos podem ser utilizados para detetar o tráfego na sua rede. Recomendamos que você configure uma fonte de dados dedicada por dispositivo de rede para permitir:

      • Monitore o status de cada dispositivo separadamente, para fins de investigação.
      • Explore o Shadow IT Discovery por dispositivo, se cada dispositivo for usado por um segmento de usuário diferente.

  3. Na parte superior da página, selecione a guia Coletores de log e, em seguida, selecione Adicionar coletor de log.

  4. Na caixa de diálogo Criar coletor de log:

    1. No campo Nome, insira um nome significativo para o coletor de logs.

    2. Dê um nome ao coletor de logs e insira o endereço IP do host (endereço IP privado) da máquina que você usará para implantar o Docker. O endereço IP do host pode ser substituído pelo nome da máquina, se houver um servidor DNS (ou equivalente) que resolverá o nome do host.

    3. Selecione todas as fontes de dados que você deseja conectar ao coletor e selecione Atualizar para salvar a configuração.

      Mais informações de implantação aparecem na seção Próximas etapas , incluindo um comando que você usará mais tarde para importar a configuração do coletor. Se você selecionou Syslog, essas informações também incluem dados sobre em qual porta o ouvinte do Syslog está escutando.

    4. Use o Copiar para o ícone da área de transferência. botão Copiar para copiar o comando para a área de transferência e salvá-lo em um local separado.

    5. Use o Exportar botão Exportar para exportar a configuração de fonte de dados esperada. Esta configuração descreve como você deve definir a exportação de log em seus dispositivos.

Para usuários que enviam dados de log via FTP pela primeira vez, recomendamos alterar a senha para o usuário FTP. Para obter mais informações, consulte Alterando a senha do FTP.

Etapa 2 – Implantação local da sua máquina

As etapas a seguir descrevem a implantação no Windows. As etapas de implantação para outras plataformas são ligeiramente diferentes.

  1. Abra um terminal do PowerShell como administrador em sua máquina Windows.

  2. Execute o seguinte comando para baixar o arquivo de script PowerShell do instalador do Windows Docker:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Para validar se o instalador está assinado pela Microsoft, consulte Validar assinatura do instalador.

  3. Para habilitar a execução de scripts do PowerShell, execute:

    Set-ExecutionPolicy RemoteSigned`

  4. Para instalar o cliente Docker em sua máquina, execute:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    A máquina é reiniciada automaticamente depois de executar o comando.

  5. Quando a máquina estiver funcionando novamente, execute o mesmo comando novamente:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Execute o instalador do Docker, selecionando usar WSL 2 em vez do Hyper-V.

    Após a conclusão da instalação, a máquina reinicia automaticamente.

  7. Após a conclusão da reinicialização, abra o cliente Docker e aceite o contrato de assinatura do Docker.

  8. Se a instalação do WSL2 não for concluída, será exibida uma mensagem indicando que o kernel Linux do WSL 2 está instalado usando um pacote de atualização MSI separado.

  9. Conclua a instalação baixando o pacote. Para obter mais informações, consulte Baixar o pacote de atualização do kernel Linux.

  10. Abra o cliente Docker Desktop novamente e verifique se ele foi iniciado.

  11. Abra um prompt de comando como administrador e insira o comando run que você copiou anteriormente do portal na Etapa 1 – Configuração do portal da Web.

    Se você precisar configurar um proxy, adicione o endereço IP do proxy e o número da porta. Por exemplo, se os detalhes do proxy forem 172.31.255.255:8080, o comando de execução atualizado será:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Para verificar se o coletor está funcionando corretamente, execute:

    docker logs <collector_name>

    Você deve ver a mensagem: Concluído com sucesso! Por exemplo:

    Captura de tela de um comando que o coletor está sendo executado corretamente.

Etapa 3 - Configuração local de seus dispositivos de rede

Configure seus firewalls e proxies de rede para exportar periodicamente logs para a porta Syslog dedicada do diretório FTP de acordo com as instruções na caixa de diálogo. Por exemplo:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Etapa 4 - Verificar a implantação bem-sucedida no portal

Verifique o status do coletor na tabela do coletor de log e verifique se o status é Conectado. Se for Criado, é possível que a conexão e a análise do coletor de logs não tenham sido concluídas.

Verifique se o status do coletor é Conectado.

Você também pode ir para o log de governança e verificar se os logs estão sendo carregados periodicamente para o portal.

Como alternativa, você pode verificar o status do coletor de log de dentro do contêiner do docker usando os seguintes comandos:

  1. Inicie sessão no contentor:

    docker exec -it <Container Name> bash

  2. Verifique o status do coletor de log:

    collector_status -p

Se você tiver problemas durante a implantação, consulte Solução de problemas de descoberta de nuvem.

Opcional - Criar relatórios contínuos personalizados

Verifique se os logs estão sendo carregados no Defender for Cloud Apps e se os relatórios são gerados. Após a verificação, crie relatórios personalizados. Você pode criar relatórios de descoberta personalizados com base em grupos de usuários do Microsoft Entra. Por exemplo, se você quiser ver o uso da nuvem do seu departamento de marketing, importe o grupo de marketing usando o recurso importar grupo de usuários. Em seguida, crie um relatório personalizado para esse grupo. Você também pode personalizar um relatório com base na marca de endereço IP ou intervalos de endereços IP.

  1. No portal do Microsoft Defender, selecione Configurações>Cloud Apps>Cloud Discovery>Relatórios contínuos.

  2. Selecione o botão Criar relatório e preencha os campos.

  3. Em Filtros, você pode filtrar os dados por fonte de dados, por grupo de usuários importados ou por tags e intervalos de endereços IP.

    Nota

    Ao aplicar filtros em relatórios contínuos, a seleção será incluída, não excluída. Por exemplo, se você aplicar um filtro em um determinado grupo de usuários, somente esse grupo de usuários será incluído no relatório.

    Relatório contínuo personalizado.

Opcional - Validar a assinatura do instalador

Para certificar-se de que o instalador do docker está assinado pela Microsoft:

  1. Clique com o botão direito do mouse no arquivo e selecione Propriedades.

  2. Selecione Assinaturas digitais e certifique-se de que diz Esta assinatura digital está OK.

  3. Certifique-se de que a Microsoft Corporation está listada como a única entrada em Nome do signatário.

    Assinatura digital válida.

    Se a assinatura digital não for válida, dirá Esta assinatura digital não é válida:

    A assinatura digital não é válida.

Próximos passos

Modificar a configuração FTP do coletor de log

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.