Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете настроить автоматическую отправку журналов для непрерывных отчетов в Microsoft Defender for Cloud Apps с помощью контейнера Docker на локальном сервере Windows. В этой статье описывается настройка источников данных на портале Microsoft Defender, развертывание сборщика журналов на основе Docker, настройка сетевых устройств для пересылки журналов и проверка развертывания.
Предварительные условия
Переадресация журналов брандмауэра должна быть настроена для отправки журналов на компьютер узла сборщика журналов.
Спецификации архитектуры:
Спецификация Описание Операционная система Windows 10 (Обновление Fall Creators Update) Место на диске 250 ГБ Ядра ЦП 2 Архитектура ЦП Intel 64 и AMD 64 ОЗУ 4 ГБ Список поддерживаемых архитектур Docker см. в документации по установке Docker.
При необходимости настройте брандмауэр . Дополнительную информацию см. в статье Требования к сети.
Виртуализация в операционной системе должна быть включена с помощью Hyper-V.
Важно!
- Корпоративным клиентам с более чем 250 пользователями или годовой доходом более 10 миллионов долларов США требуется платная подписка для использования Docker Desktop для Windows. Дополнительные сведения см. в статье Общие сведения о подписке Docker.
- Пользователь должен войти в Docker для сбора журналов. Мы рекомендуем советовать вашим пользователям Docker отключаться, не выходя из системы.
- Docker для Windows официально не поддерживается в сценариях виртуализации VMWare.
- Docker для Windows официально не поддерживается во вложенных сценариях виртуализации. Если вы по-прежнему планируете использовать вложенную виртуализацию, обратитесь к Docker Desktop для Windows в среде виртуальной машины или VDI.
- Дополнительные сведения о настройке и реализации Docker для Windows см. в статье Установка Docker Desktop в Windows.
Удалите существующий сборщик журналов
Если у вас есть существующий сборщик журналов и вы хотите удалить его перед его развертыванием еще раз или просто хотите удалить его, выполните следующие действия.
Остановите сборщик журналов:
docker stop <collector_name>Удалите сборщик журналов:
docker rm <collector_name>
Производительность сборщика журналов
Сборщик журналов может успешно обрабатывать емкость журнала до 50 ГБ в час. Основные узкие места в процессе сбора журналов:
Пропускная способность сети. Скорость передачи журнала определяется пропускной способностью сети.
Производительность ввода-вывода виртуальной машины определяет скорость записи журналов на диск сборщика журналов. Сборщик журналов имеет встроенный механизм безопасности, который отслеживает скорость поступления журналов и сравнивает ее со скоростью отправки. В случаях перегрузки сборщик журналов начинает удалять файлы журналов. Если в вашей конфигурации объем трафика обычно превышает 50 ГБ в час, рекомендуется распределить его между несколькими сборщиками журналов.
Шаг 1. Настройка веб-портала
Чтобы определить источники данных и связать их со сборщиком журналов, выполните следующие действия. Один сборщик журналов может обрабатывать несколько источников данных.
На портале Microsoft Defender выберите: Параметры>Облачные приложения>Cloud Discovery>Автоматическая отправка журналов>вкладку «Источники данных».
Для каждого брандмауэра или прокси-сервера, из которого требуется отправить журналы, создайте соответствующий источник данных:
Выберите +Добавить источник данных.
Присвойте имя прокси-серверу или брандмауэру.
Выберите устройство из списка Источник. Если вы выбрали Пользовательский формат журнала для работы с сетевым устройством, которого нет в списке, инструкции по настройке см. в разделе Работа с настраиваемым анализатором журналов.
Сравните журнал с примером ожидаемого формата журнала. Если формат файла журнала не соответствует этому примеру, следует добавить источник данных в качестве другого.
Установите для параметра Тип получателя одно из следующих значений: FTP, FTPS, Syslog — UDP, Syslog — TCP или Syslog — TLS.
Примечание.
Для интеграции с протоколами безопасной передачи (FTPS и Syslog — TLS) часто требуются дополнительные параметры брандмауэра или прокси-сервера.
Повторите эти действия по настройке источника данных для каждого брандмауэра и прокси-сервера, журналы которых можно использовать для обнаружения трафика в сети. Рекомендуется настроить выделенный источник данных для каждого сетевого устройства, чтобы обеспечить следующие возможности:
- Отслеживайте состояние каждого устройства отдельно в целях исследования.
- Изучите обнаружение теневых ИТ-ресурсов для каждого устройства, если каждое устройство используется в разных сегментах пользователей.
В верхней части страницы выберите вкладку Сборщики журналов , а затем выберите Добавить сборщик журналов.
В диалоговом окне Создание сборщика журналов выполните следующие действия:
В поле Имя введите понятное имя для сборщика журналов.
Присвойте сборщику журналов имя и введите IP-адрес узла (частный IP-адрес) компьютера, который будет использоваться для развертывания Docker. IP-адрес узла можно заменить именем машины, если имеется DNS-сервер (или его эквивалент), который может разрешить имя узла.
Выберите все источники данных , которые нужно подключить к сборщику, и нажмите кнопку Обновить , чтобы сохранить конфигурацию.
Дополнительные сведения о развертывании отображаются в разделе «Следующие шаги» диалогового окна, в том числе команду, которую вы позже используете на шаге 2 — локальное развертывание компьютера для импорта конфигурации сборщика. Если вы выбрали Syslog, эти сведения также включают данные о том, какой порт прослушивает прослушиватель syslog.
Используйте
Скопировать кнопку, чтобы скопировать команду в буфер обмена и сохранить ее в отдельном расположении.Используйте кнопку
Экспорт, чтобы экспортировать ожидаемую конфигурацию источника данных. В этой конфигурации описывается настройка экспорта журналов в устройствах.
Для пользователей, отправляющих данные журнала через FTP в первый раз, рекомендуется изменить пароль для пользователя FTP. Дополнительные сведения см. в разделе Изменение пароля FTP.
Шаг 2. Локальное развертывание компьютера
Ниже описано развертывание в Windows. Шаги развертывания для других платформ немного отличаются.
Откройте терминал PowerShell с правами администратора на компьютере с Windows.
Выполните следующую команду, чтобы скачать файл сценария PowerShell установщика Windows Docker:
Invoke-WebRequest https://discoveryresources-cdn-prod.cloudappsecurity.com/prod1/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)Сведения о том, что установщик подписан корпорацией Майкрософт, см. в статье Проверка подписи установщика.
Чтобы включить выполнение скрипта PowerShell, выполните следующую команду:
Set-ExecutionPolicy RemoteSigned`Чтобы установить клиент Docker на компьютере, выполните следующую команду:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)`Компьютер автоматически перезагружается после выполнения команды .
Когда компьютер снова будет запущен, снова выполните ту же команду:
& (Join-Path $Env:Temp LogCollectorInstaller.ps1)`Запустите установщик Docker, выбрав использовать WSL 2 вместо Hyper-V.
После завершения установки компьютер автоматически перезагружается снова.
После завершения перезапуска откройте клиент Docker и примите соглашение о подписке Docker.
Если установка WSL2 не завершена, появится сообщение о том, что ядро WSL 2 Linux устанавливается с помощью отдельного пакета обновления MSI.
Завершите установку, скачав пакет. Дополнительные сведения см . в разделе Скачивание пакета обновления ядра Linux.
Снова откройте клиент Docker Desktop и убедитесь, что он запущен.
Откройте командную строку от имени администратора и введите команду выполнения, скопированную на портале, на шаге 1 — конфигурация веб-портала.
Если необходимо настроить прокси-сервер, добавьте IP-адрес прокси-сервера и номер порта. Например, если данные прокси-сервера — 172.31.255.255:8080, ваша обновленная команда запуска:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starterЧтобы убедиться, что сборщик работает правильно, выполните следующую команду:
docker logs <collector_name>Должно появиться сообщение: Успешно завершено! Например:
Шаг 3. Локальная конфигурация сетевых устройств
Настройте сетевые брандмауэры и прокси-серверы для периодического экспорта журналов в выделенный порт Syslog каталога FTP в соответствии с инструкциями в диалоговом окне создания сборщика журналов . Например, вы можете:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Шаг 4. Проверка успешного развертывания на портале
Проверьте статус сборщика в таблице log collector и убедитесь, что статус — Connected. Если статус — Created, возможно, подключение сборщика журналов и обработка журналов ещё не завершены.
Вы также можете перейти к журналу управления и убедиться, что журналы периодически отправляются на портал.
В качестве альтернативы можно проверить состояние сборщика журналов из контейнера Docker с помощью следующих команд:
Войдите в контейнер:
docker exec -it <Container Name> bashПроверьте состояние сборщика журналов:
collector_status -p
Если во время развертывания возникли проблемы, см. статью Устранение неполадок с обнаружением облака.
Необязательно — создание пользовательских непрерывных отчетов
Убедитесь, что журналы отправляются в Defender for Cloud Apps и что создаются отчеты. После проверки создайте настраиваемые отчеты. Вы можете создавать настраиваемые отчеты об обнаружении на основе групп пользователей Microsoft Entra. Например, если вы хотите просмотреть использование облачных технологий отдела маркетинга, импортируйте маркетинговую группу с помощью функции импорта группы пользователей. Затем создайте пользовательский отчет для этой группы. Вы также можете настроить отчет на основе тега IP-адреса или диапазонов IP-адресов.
На портале Microsoft Defender выберите Параметры Облачные>приложения>Cloud Discovery>Непрерывные отчеты.
Нажмите кнопку Создать отчет и заполните поля.
В разделе Фильтры можно фильтровать данные по источнику данных, импортированной группе пользователей или по тегам и диапазонам IP-адресов.
Примечание.
При применении фильтров к непрерывным отчетам выбранное будет учитываться, а не исключаться. Например, если применить фильтр к определенной группе пользователей, в отчет будет включена только эта группа пользователей.
Необязательно. Проверка подписи установщика
Чтобы убедиться, что установщик Docker подписан корпорацией Майкрософт, сделайте следующее:
Щелкните файл правой кнопкой мыши и выберите Пункт Свойства.
Выберите Цифровые подписи и убедитесь, что там указано Эта цифровая подпись действительна.
Убедитесь, что корпорация Майкрософт указана в качестве единственной записи в разделе Имя подписывающего.
Если цифровая подпись недействительна, будет указано, что эта цифровая подпись недопустима:
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.