Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile configurare il caricamento automatico dei log per i report continui in Microsoft Defender for Cloud Apps usando un contenitore Docker in un server Windows locale. Questo articolo illustra come configurare le origini dati nel portale di Microsoft Defender, distribuire l'agente di raccolta log basato su Docker, configurare le appliance di rete per inoltrare i log e verificare la distribuzione.
Prerequisiti
L'inoltro dei log del firewall deve essere configurato per inviare i log al computer host dell'agente di raccolta log.
Specifiche dell'architettura:
Specifiche Descrizione Sistema operativo Windows 10 (aggiornamento di Fall Creators) Spazio su disco 250 GB core della CPU 2 Architettura CPU Intel 64 e AMD 64 RAM 4GB Per un elenco delle architetture Docker supportate, vedere la documentazione sull'installazione di Docker.
Impostare il firewall in base alle esigenze. Per altre informazioni, vedere Requisiti di rete.
La virtualizzazione nel sistema operativo deve essere abilitata con Hyper-V.
Importante
- I clienti aziendali con più di 250 utenti o più di 10 milioni di dollari di ricavi annuali richiedono una sottoscrizione a pagamento per usare Docker Desktop per Windows. Per altre informazioni, vedere Panoramica della sottoscrizione docker.
- Un utente deve essere connesso affinché Docker possa raccogliere i log. Ti consigliamo di invitare gli utenti di Docker a scollegarsi senza disconnettersi dall'account.
- Docker per Windows non è ufficialmente supportato negli scenari di virtualizzazione VMWare.
- Docker per Windows non è ufficialmente supportato negli scenari di virtualizzazione annidati. Se si prevede ancora di usare la virtualizzazione annidata, vedere Docker Desktop per Windows in una macchina virtuale o in un ambiente VDI.
- Per informazioni su altre considerazioni sulla configurazione e l'implementazione per Docker per Windows, vedere Installare Docker Desktop in Windows.
Rimuovere un collettore di log esistente
Se si dispone di un agente di raccolta log esistente e si vuole rimuoverlo prima di distribuirlo di nuovo o se si vuole semplicemente rimuoverlo, seguire questa procedura:
Arrestare il raccoglitore di log:
docker stop <collector_name>Rimuovi il collettore di log:
docker rm <collector_name>
Prestazioni del collettore di log
Il collettore di log è in grado di gestire con successo fino a 50 GB di log all'ora. I colli di bottiglia principali nel processo di raccolta dei log sono:
Larghezza di banda di rete: la larghezza di banda di rete determina la velocità di caricamento del log.
Prestazioni di I/O della macchina virtuale: determina la velocità con cui i log vengono scritti nel disco dell'agente di raccolta log. L'agente di raccolta log dispone di un meccanismo di sicurezza predefinito che monitora la frequenza di arrivo dei log e lo confronta con la frequenza di caricamento. In caso di congestione, l'agente di raccolta log inizia a eliminare i file di log. Se l'installazione supera in genere 50 GB all'ora, è consigliabile suddividere il traffico tra più agenti di raccolta log.
Passaggio 1: Configurazione del portale Web
Seguire questa procedura per definire le origini dati e collegarle a un agente di raccolta log. Un singolo agente di raccolta log può gestire più origini dati.
Nel portale di Microsoft Defender, seleziona Impostazioni>App cloud>Cloud Discovery>Caricamento automatico dei log>Origini dati.
Per ogni firewall o proxy da cui caricare i log, creare un'origine dati corrispondente:
Selezionare +Aggiungi origine dati.
Assegnare un nome al proxy o al firewall.
Selezionare l'appliance dall'elenco Origine . Se si seleziona Formato di log personalizzato per l'uso con un'appliance di rete non elencata, vedere Uso del parser di log personalizzato per istruzioni di configurazione.
Confronta il tuo log con l'esempio del formato di log previsto. Se il formato del file di log non corrisponde a questo esempio, è necessario aggiungere l'origine dati come Altro.
Impostare il tipo di ricevitore su FTP, FTPS, Syslog - UDP o Syslog - TCP o Syslog - TLS.
Nota
L'integrazione con i protocolli di trasferimento sicuro (FTPS e Syslog - TLS) richiede spesso impostazioni aggiuntive per il firewall/proxy.
Ripetere questi passaggi di configurazione dell'origine dati per ogni firewall e proxy i cui log possono essere usati per rilevare il traffico nella rete. È consigliabile configurare un'origine dati dedicata per ogni dispositivo di rete per consentire di:
- Monitorare lo stato di ogni dispositivo separatamente, a scopo di indagine.
- Esplorare Shadow IT Discovery per dispositivo, se ogni dispositivo viene usato da un segmento utente diverso.
Nella parte superiore della pagina selezionare la scheda Raccolta log e quindi selezionare Aggiungi agente di raccolta log.
Nella finestra di dialogo Crea agente di raccolta log :
Nel campo Nome, immetti un nome significativo per il collettore di log.
Assegnare un nome all'agente di raccolta log e immettere l'indirizzo IP host (indirizzo IP privato) del computer che verrà usato per distribuire Docker. L'indirizzo IP host può essere sostituito con il nome del computer, se è presente un server DNS (o equivalente) che risolverà il nome host.
Selezionare tutte le origini dati che si desidera connettere all'agente di raccolta e selezionare Aggiorna per salvare la configurazione.
Altre informazioni sulla distribuzione vengono visualizzate nella sezione Passaggi successivi della finestra di dialogo, incluso un comando che verrà usato più avanti nel passaggio 2 : distribuzione locale del computer per importare la configurazione dell'agente di raccolta. Se è stato selezionato Syslog, queste informazioni includono anche i dati sulla porta su cui è in ascolto il listener Syslog.
Usare
Copiare il pulsante per copiare il comando negli Appunti e salvarlo in una posizione separata.Usare
Pulsante Esporta per esportare la configurazione prevista dell'origine dati. Questa configurazione descrive come impostare l'esportazione del log nelle appliance.
Per gli utenti che inviano i dati di log tramite FTP per la prima volta, è consigliabile modificare la password per l'utente FTP. Per altre informazioni, vedere Modifica della password FTP.
Passaggio 2: Distribuzione locale del computer
I passaggi seguenti descrivono la distribuzione in Windows. I passaggi di distribuzione per altre piattaforme sono leggermente diversi.
Aprire un terminale PowerShell come amministratore nel computer Windows.
Eseguire il comando seguente per scaricare il file di script di PowerShell del programma di installazione di Windows Docker:
Invoke-WebRequest https://discoveryresources-cdn-prod.cloudappsecurity.com/prod1/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)Per verificare che il programma di installazione sia firmato da Microsoft, vedere Convalidare la firma del programma di installazione.
Per abilitare l'esecuzione di script di PowerShell, eseguire:
Set-ExecutionPolicy RemoteSigned`Per installare il client Docker nel computer, eseguire:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)`Il computer viene riavviato automaticamente dopo l'esecuzione del comando.
Quando il computer è nuovamente in esecuzione, eseguire di nuovo lo stesso comando:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)`Eseguire il programma di installazione di Docker, selezionando per usare WSL 2 anziché Hyper-V.
Al termine dell'installazione, il computer viene riavviato automaticamente.
Al termine del riavvio, aprire il client Docker e accettare il contratto di sottoscrizione Docker.
Se l'installazione di WSL2 non è stata completata, viene visualizzato un messaggio per indicare che il kernel Linux WSL 2 è installato usando un pacchetto di aggiornamento MSI separato.
Completare l'installazione scaricando il pacchetto. Per altre informazioni, vedere Scaricare il pacchetto di aggiornamento del kernel Linux.
Aprire di nuovo il client Docker Desktop e assicurarsi che sia stato avviato.
Aprire un prompt dei comandi come amministratore e immettere il comando di esecuzione copiato dal portale nel passaggio 1 - Configurazione del portale Web.
Se è necessario configurare un proxy, aggiungere l'indirizzo IP del proxy e il numero di porta. Ad esempio, se i dettagli del proxy sono 172.31.255.255:8080, il comando di esecuzione aggiornato è:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterPer verificare che il collettore sia in esecuzione correttamente, eseguire:
docker logs <collector_name>Verrà visualizzato il messaggio: Completato correttamente. Per esempio:
Passaggio 3: Configurazione locale delle appliance di rete
Configurare i firewall e i proxy di rete per esportare periodicamente i log nella porta Syslog dedicata della directory FTP in base alle indicazioni riportate nella finestra di dialogo Crea agente di raccolta log . Ad esempio:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Passaggio 4: Verificare la corretta distribuzione nel portale
Controlla lo stato del collettore nella tabella collettore di log e assicurati che lo stato sia Connesso. Se è Creato, è possibile che la connessione al log collector e il parsing non siano ancora stati completati.
Puoi anche andare al registro di governance e verificare che i log vengano caricati periodicamente sul portale.
In alternativa, è possibile controllare lo stato dell'agente di raccolta log dal contenitore docker usando i comandi seguenti:
Accedi al contenitore:
docker exec -it <Container Name> bashVerifica lo stato del collettore di log:
collector_status -p
In caso di problemi durante la distribuzione, vedere Risoluzione dei problemi di individuazione del cloud.
Facoltativo: creare report continui personalizzati
Verificare che i log vengano caricati in Defender for Cloud Apps e che vengano generati report. Dopo la verifica, creare report personalizzati. È possibile creare report di individuazione personalizzati basati su gruppi di utenti Microsoft Entra. Ad esempio, se si vuole visualizzare l'uso cloud del reparto marketing, importare il gruppo di marketing usando la funzionalità importa gruppo di utenti. Creare quindi un report personalizzato per questo gruppo. È anche possibile personalizzare un report in base al tag di indirizzo IP o agli intervalli di indirizzi IP.
Nel portale di Microsoft Defender, seleziona Impostazioni>App cloud>Cloud Discovery>Report continui.
Selezionare il pulsante Crea report e compilare i campi.
In Filtri è possibile filtrare i dati in base all'origine dati, al gruppo di utenti importato o ai tag e agli intervalli di indirizzi IP.
Nota
Quando si applicano filtri ai report continui, la selezione verrà inclusa, non esclusa. Ad esempio, se si applica un filtro a un determinato gruppo di utenti, solo tale gruppo utente verrà incluso nel report.
Facoltativo - Convalidare la firma del programma di installazione
Per assicurarsi che il programma di installazione docker sia firmato da Microsoft:
Fare clic con il pulsante destro del mouse sul file e scegliere Proprietà.
Selezionare Firme digitali e assicurarsi che questa firma digitale sia ok.
Assicurarsi che Microsoft Corporation sia elencata come unica voce in Nome del firmatario.
Se la firma digitale non è valida, si dirà che questa firma digitale non è valida:
Passaggi successivi
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.