本文說明如何在 Ubuntu 或 Azure 的 CentOS 上使用 Docker 設定 Defender for Cloud Apps 中自動上傳日誌以持續報告。
必要條件
在開始之前,請確保您的環境符合以下要求:
| 需求 | 描述 |
|---|---|
| 作業系統 | 下列其中之一: - Ubuntu 14.04、16.04、18.04 及 20.04 - CentOS 7.2 或更高版本 |
| 磁碟空間 | 250 GB |
| CPU 核心 | 2 |
| CPU 架構 | Intel 64 與 AMD 64 |
| RAM | 4 GB |
| 防火牆設定 | 依據網路需求定義 |
依效能規劃你的原木收集器
每個日誌收集器可成功處理高達每小時50 GB的日誌容量,包含多達10個資料來源。 日誌收集過程中的主要瓶頸有:
網路頻寬 - 你的網路頻寬決定日誌上傳速度。
虛擬機的 I/O 效能 - 決定日誌寫入日誌收集器磁碟的速度。 日誌收集器內建安全機制,監控日誌抵達的速度,並與上傳速率進行比較。 在塞塞情況下,日誌收集器會開始丟棄日誌檔案。 如果您的設備通常超過 50 GB 每小時,我們建議您將流量分配給多個日誌收集器。
若您需要超過 10 個資料來源,建議將資料來源分散至多個日誌收集器。
定義你的資料來源
在 Microsoft Defender 入口網站中,選擇設定>雲端應用 > 雲端發現 > 自動上傳日誌。
在 「資料來源 」標籤中,為你想上傳日誌的每個防火牆或代理建立一個匹配的資料來源:
選擇 新增資料來源。
在 「新增資料來源 」對話框中,輸入你的資料來源名稱,然後選擇來源和接收器類型。
在選擇來源前,選擇 「檢視預期日誌檔案範例 」,並將你的日誌與預期格式進行比較。 如果你的日誌檔案格式與此樣本不符,請將資料來源新增為 其他。
若要使用未列入清單的網路設備,請選擇 「其他 > 客戶日誌格式 」或「 僅 (手冊」) 。 更多資訊請參閱 「使用自訂日誌解析器」。
注意事項
整合安全傳輸協定 (FTPS和Syslog – TLS) 通常需要在防火牆/代理上額外設定。 欲了解更多資訊,請參閱 進階日誌收集器管理。
對每個能用來偵測網路流量的防火牆和代理伺服器重複這個流程。
我們建議您為每個網路裝置設置專用資料來源,讓您能分別監控每個裝置的狀態以便調查,若每個裝置被不同使用者區段使用,則可探索影子 IT 發現。
建立對數收集器
在 Microsoft Defender 入口網站中,選擇設定>雲端應用 > 雲端發現 > 自動上傳日誌。
在 「原木收集器 」標籤中,選擇 「新增原木收集器」。
在 「建立日誌收集器 」對話框中,請輸入以下細節:
- 你的記錄收集器名稱
- 主機 IP 位址,也就是你用來部署 Docker 的機器的私有 IP 位址。 如果有 DNS 伺服器或類似機構來解析主機名稱,主機 IP 位址也可以被機器名稱取代。
接著選擇 「資料來源」 () 框,選擇你想連接到收集器的資料來源,並選擇 「更新 」來儲存你的變更。 每個日誌收集器可處理多個資料來源。
建立日誌收集器對話框會顯示更多部署細節,包括匯入收集器設定的指令。 例如:
選擇
在指令旁邊複製圖示,複製到你的剪貼簿。建立日誌收集器對話框中顯示的細節會依據所選的來源與接收器類型而有所不同。 例如,如果你選擇了 Syslog,對話框會詳細說明 syslog 監聽器正在監聽哪個埠口。
複製螢幕內容並儲存在本地,因為當你設定日誌收集器與 Defender for Cloud Apps 通訊時,會需要這些資料。
選擇 匯出 ,將原始設定匯出到一個 .CSV 檔案,說明如何在你的家電中設定日誌匯出。
提示
對於首次透過 FTP 傳送日誌資料的使用者,我們建議更改該 FTP 使用者的密碼。 欲了解更多資訊,請參閱 「更改 FTP 密碼」。
在 Azure 部署你的機器
這個流程說明了如何用 Ubuntu 部署你的機器。 其他平台的部署步驟略有不同。
在你的 Azure 環境中建立一台新的 Ubuntu 機器。
機器啟動後,打開端口:
在機器檢視中,前往 網路 ,雙擊選擇相關介面。
到 網路安全群組 ,選擇相關的網路安全群組。
到「 入站安全規則 」點選 「新增」。
在 進階 模式) (新增以下規則:
名稱 目的地港口範圍 Protocol (通訊協定) 來源 Destination caslogcollector_ftp 21 TCP Your appliance's IP address's subnet任何 caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet任何 caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet任何 caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet任何
欲了解更多資訊,請參閱 「使用安全規則」。
返回機器,點擊連接以開啟機器上的終端機。
使用
sudo -i. 來更改根權限。如果您接受軟體授權條款,請卸載舊版本並執行適合您環境的指令安裝 Docker CE:
移除舊版 Docker:
yum erase docker docker-engine docker.io安裝 Docker 引擎的前置條件:
yum install -y yum-utils新增 Docker 儲存庫:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache安裝 Docker 引擎:
yum -y install docker-ce啟動 Docker
systemctl start docker systemctl enable docker測試 Docker 安裝:
docker run hello-world
執行你之前從 建立日誌收集 器對話框複製的指令。 例如:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter為了驗證日誌收集器是否正常運作,請執行以下指令:
docker logs <collector_name>。 你應該會得到成果: 成功完成!
配置網路設備的本地設定
請依對話框指示,設定你的網路防火牆和代理伺服器,定期將日誌匯出到 FTP 目錄的專用 Syslog 埠。 例如:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
在 Defender for Cloud Apps 中驗證你的部署
請檢查 Log 收集 器表中的收集器狀態,並確保狀態為 已連接。 如果是 已建立,可能是日誌收集器連接和解析還沒完成。
例如:
你也可以進入 治理日誌 ,確認日誌是否定期上傳到入口網站。
或者,你也可以在 docker 容器內使用以下指令檢查日誌收集器的狀態:
- 請使用以下指令登入容器:
docker exec -it <Container Name> bash - 請使用此指令驗證日誌收集器的狀態:
collector_status -p
如果您在部署過程中遇到問題,請參閱 「雲端發現故障排除」。
可選 - 建立自訂連續報告
確認日誌有上傳到 Defender for Cloud Apps,並且有產生報告。 驗證後,建立自訂報告。 你可以根據 Microsoft Entra 使用者群組建立自訂的發現報告。 舉例來說,如果你想看到行銷部門的雲端使用情況,可以用匯入使用者群組功能匯入行銷群組。 接著為這個群組建立自訂報告。 你也可以根據 IP 位址標籤或 IP 位址範圍自訂報告。
在 Microsoft Defender 入口網站中,選擇設定。 然後選擇 雲端應用程式。
在 雲端發現中,選擇 持續報告。
點擊 「建立報告 」按鈕並填寫欄位。
在 篩選 器中,你可以依資料來源、 匯入使用者群組,或 IP 位址標籤和範圍來篩選資料。
注意事項
在連續報告中套用篩選器時,選擇會被包含在內,而非排除。 例如,如果你對某個使用者群組套用篩選器,報告中只會包含該使用者群組。
把你的原木收集器拆下來
如果你已有日誌收集器,想在再次部署前先移除它,或只是想移除它,請執行以下指令:
docker stop <collector_name>
docker rm <collector_name>
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。