Настройка автоматической отправки журналов с помощью локального Docker в Windows

  • Статья

Вы можете настроить автоматическую отправку журналов для непрерывных отчетов в приложениях Defender для облака с помощью Docker в Windows.

Необходимые компоненты

  • Спецификации архитектуры:

    Спецификация Description
    Операционная система Одно из следующих элементов:
  • Windows 10 (обновление fall creators)
  • Windows Server версии 1709+ (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Место на диске 250 ГБ
    Ядра ЦП 2
    Архитектура ЦП Intel 64 и AMD 64
    ОЗУ 4 ГБ

    Список поддерживаемых архитектур Docker см . в документации по установке Docker.

  • Задайте брандмауэр по мере необходимости. Подробнее см. в разделе Сетевые требования.

  • Виртуализация в операционной системе должна быть включена в Hyper-V.

Внимание

  • Корпоративные клиенты с более чем 250 пользователями или более $ 10 млн в годовой выручке требуют платной подписки для использования Docker Desktop для Windows. Дополнительные сведения см. в обзоре подписки Docker.
  • Для сбора журналов пользователь должен войти в Docker. Рекомендуется рекомендовать пользователям Docker отключиться без выхода.
  • Docker для Windows официально не поддерживается в сценариях виртуализации VMWare.
  • Docker для Windows официально не поддерживается в вложенных сценариях виртуализации. Если вы по-прежнему планируете использовать вложенную виртуализацию, обратитесь к официальному руководству Docker.
  • Дополнительные сведения о настройке и реализации Docker для Windows см. в разделе "Установка Рабочего стола Docker в Windows".

Удаление существующего сборщика журналов

Если у вас есть сборщик журналов и вы хотите удалить его перед его развертыванием еще раз или просто хотите удалить его, выполните следующие команды:

docker stop <collector_name>
docker rm <collector_name>

Производительность сборщика журналируемых данных

Сборщик журналов может успешно обрабатывать емкость журнала до 50 ГБ в час. Основными узкими местами в процессе сбора журналов являются:

  • Пропускная способность сети — определяет скорость отправки журналов.

  • Производительность ввода-вывода виртуальной машины — определяет скорость записи журналов на диск сборщика журналов. Сборщик журналируемых данных снабжен встроенным защитным механизмом, который контролирует скорость поступления журналов и сравнивает ее со скоростью передачи. В случае перегрузки сборщик начинает удалять файлы журнала. Если нагрузка обычно превышает 50 ГБ в час, рекомендуется разделить трафик между несколькими сборщиками журналируемых данных.

Шаг 1. Настройка веб-портала

Чтобы определить источники данных и связать их с сборщиком журналов, выполните следующие действия. Один сборщик журналов может обрабатывать несколько источников данных.

  1. На портале Microsoft Defender перейдите на вкладку "Параметры>Cloud Apps>Cloud Discovery>Automatic upload>Data sources".

  2. Для каждого брандмауэра или прокси-сервера, с которого вы хотите отправить журналы, создайте соответствующий источник данных:

    1. Нажмите кнопку +Добавить источник данных.

      Снимок экрана: кнопка

    2. Присвойте Имя прокси-серверу или брандмауэру.

      Снимок экрана: диалоговое окно

    3. Выберите устройство в списке Источник. Если вы выбрали пользовательский формат журнала для работы с сетевым устройством, которое не указано в списке, см. инструкции по использованию настраиваемого средства синтаксического анализа журналов.

    4. Сравните журнал с примером ожидаемого формата журнала. Если формат вашего файла журнала не соответствует этому примеру, необходимо добавить источник данных с параметром Другой.

    5. Задайте для параметра Тип приемника значение FTP, FTPS, Syslog — UDP, Syslog — TCP или Syslog — TLS.

      Примечание.

      Интеграция с протоколами безопасной передачи (FTPS и Syslog — TLS) часто требует дополнительных параметров брандмауэра или прокси-сервера.

    6. Повторите эту процедуру для каждого брандмауэра и прокси-сервера, журналы которых можно использовать для обнаружения трафика в сети. Рекомендуется настроить выделенный источник данных для каждого сетевого устройства, чтобы обеспечить следующие возможности:

      • отслеживать и анализировать состояние отдельных устройств;
      • проводить анализ Shadow IT Discovery на каждом устройстве, когда устройства принадлежат разным сегментам пользователей.

  3. В верхней части страницы выберите вкладку "Сборщики журналов" и выберите "Добавить сборщик журналов".

  4. В диалоговом окне создания сборщика журналов:

    1. В поле "Имя" введите понятное имя для сборщика журналов.

    2. Присвойте сборщику журналов имя и введите IP-адрес узла (частный IP-адрес ) компьютера, который будет использоваться для развертывания Docker. IP-адрес узла можно заменить именем компьютера, если есть DNS-сервер (или эквивалент), который будет разрешать имя узла.

    3. Выберите все источники данных, которые требуется подключить к сборщику, и нажмите кнопку "Обновить ", чтобы сохранить конфигурацию.

      Дополнительные сведения о развертывании отображаются в разделе "Дальнейшие действия ", включая команду, которую вы будете использовать позже для импорта конфигурации сборщика. Если выбран системный журнал, эти сведения также содержат данные о том, какой порт прослушиватель Syslog прослушивает.

    4. Нажмите кнопку "Копировать", значок копирования в буфер обмена чтобы скопировать команду в буфер обмена и сохранить ее в отдельном расположении.

    5. Используйте кнопку "Экспорт", Экспорт (Export) чтобы экспортировать ожидаемую конфигурацию источника данных. В этой конфигурации описано, как необходимо настроить экспорт журналов на устройствах.

Для пользователей, отправляющих данные журнала через FTP в первый раз, рекомендуется изменить пароль для пользователя FTP. Дополнительные сведения см. в разделе "Изменение пароля FTP".

Шаг 2. Локальное развертывание виртуальной машины

Ниже описывается развертывание в Windows. Действия по развертыванию на других платформах немного отличаются.

  1. От имени администратора откройте терминал PowerShell на компьютере под управлением Windows.

  2. Выполните следующую команду, чтобы скачать файл скрипта Установщика Windows Docker PowerShell:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Чтобы убедиться, что установщик подписан корпорацией Майкрософт, см . раздел "Проверка подписи установщика".

  3. Чтобы включить выполнение скрипта PowerShell, выполните следующую команду:

    Set-ExecutionPolicy RemoteSigned`

  4. Чтобы установить клиент Docker на компьютере, выполните следующую команду:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Компьютер автоматически перезапускается после выполнения команды.

  5. Когда компьютер запущен и запущен снова, выполните ту же команду еще раз:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Запустите установщик Docker, выбрав использовать WSL 2 вместо Hyper-V.

    После завершения установки компьютер автоматически перезапускается.

  7. После завершения перезапуска откройте клиент Docker и примите соглашение о подписке Docker.

  8. Если установка WSL2 не завершена, отображается сообщение, указывающее, что ядро WSL 2 Linux установлено с помощью отдельного пакета обновления MSI.

  9. Завершите установку, скачав пакет. Дополнительные сведения см. в разделе "Скачать пакет обновления ядра Linux".

  10. Снова откройте клиент Docker Desktop и убедитесь, что он запущен.

  11. Откройте командную строку от имени администратора и введите команду выполнения, скопированную ранее на портале, на шаге 1 — конфигурация веб-портала.

    Если необходимо настроить прокси-сервер, добавьте его IP-адрес и номер порта. Например, если сведения о прокси-сервере имеют значение 172.31.255.255:8080, обновленная команда выполнения:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Чтобы убедиться, что сборщик работает правильно, выполните следующую команду:

    docker logs <collector_name>

    Должно появиться сообщение: успешно завершено! Например:

    Снимок экрана: команда, выполняемая сборщиком должным образом.

Шаг 3. Локальная конфигурация сетевых устройств

Настройте сетевые брандмауэры и прокси-серверы для периодического экспорта журналов на выделенный порт Syslog каталога FTP согласно указаниям в диалоговом окне. Например:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Шаг 4. Проверка успешного развертывания на портале

Проверьте состояние сборщика в таблице сборщика журналов и убедитесь, что состояние подключено. Если состояние — Создан, возможно, подключение и анализ сборщика журналируемых данных не завершены.

Убедитесь, что состояние сборщика подключено.

Вы также можете убедиться, что журналы периодически отправляются на портал, воспользовавшись журналом управления.

Кроме того, можно проверить состояние сборщика журналов из контейнера Docker с помощью следующих команд:

  1. Войдите в контейнер:

    docker exec -it <Container Name> bash

  2. Проверьте состояние сборщика журналов:

    collector_status -p

Если у вас возникли проблемы во время развертывания, ознакомьтесь с разделом "Устранение неполадок в облаке".

Дополнительно — создание настраиваемых непрерывных отчетов

Убедитесь, что журналы отправляются в приложения Defender для облака и создаются отчеты. После этого вы можете создать настраиваемые отчеты. Пользовательские отчеты обнаружения можно создавать на основе групп пользователей Microsoft Entra. Например, если нужно просмотреть сведения об использовании облачных приложений отделом маркетинга, импортируйте соответствующую группу с помощью функции импорта группы пользователей. Затем создайте для нее пользовательский отчет. Можно также настроить отчет на основе тега IP-адреса или диапазонов IP-адресов.

  1. На портале Microsoft Defender выберите "Параметры облачных>приложений>Cloud Discovery>Непрерывные отчеты".

  2. Нажмите кнопку "Создать отчет " и заполните поля.

  3. В разделе Фильтры можно выполнить фильтрацию по источнику данных, импортированной группе пользователей либо тегам и диапазонам IP-адресов.

    Примечание.

    При применении фильтров к непрерывным отчетам выбор будет включен, а не исключен. Например, если применить фильтр к определенной группе пользователей, в отчет будет включена только эта группа пользователей.

    Пользовательский непрерывный отчет.

Необязательно. Проверка подписи установщика

Чтобы проверить наличие подписи корпорации Майкрософт у установщика Docker, выполните следующие действия.

  1. Щелкните файл правой кнопкой мыши и выберите пункт "Свойства".

  2. Выберите цифровые подписи и убедитесь, что эта цифровая подпись является нормальной.

  3. Убедитесь, что в качестве единственной записи в разделе с именем подписавшего указана корпорация Майкрософт.

    Допустимая цифровая подпись.

    Если цифровая подпись недопустима, она скажет, что эта цифровая подпись недопустима:

    Недопустимая цифровая подпись.

Следующие шаги

Изменение конфигурации FTP сборщика журналов

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.