Freigeben über

Konfigurieren des automatischen Protokolluploads mit lokalem Docker unter Windows

  • Artikel

Sie können den automatischen Protokollupload für fortlaufende Berichte in Defender for Cloud Apps mithilfe von Docker unter Windows konfigurieren.

Voraussetzungen

  • Architekturspezifikationen:

    Spezifikation Beschreibung
    Betriebssystem Eine der folgenden Varianten:
  • Windows 10 (Fall Creators Update)
  • Windows Server Version 1709 und höher (SAC)
  • Windows Server 2019 (LTSC)
    		•
    Speicherplatz 250 GB
    CPU-Kerne 2
    CPU-Architektur Intel 64 und AMD 64
    RAM 4 GB

    Eine Liste der unterstützten Docker-Architekturen finden Sie in der Dokumentation zur Docker-Installation.

  • Legen Sie Ihre Firewall nach Bedarf fest. Weitere Informationen finden Sie unter Netzwerkanforderungen.

  • Die Virtualisierung auf dem Betriebssystem muss mit Hyper-V aktiviert sein.

Wichtig

  • Unternehmenskunden mit mehr als 250 Benutzern oder einem Jahresumsatz von mehr als 10 Millionen USD benötigen ein kostenpflichtiges Abonnement, um Docker Desktop für Windows zu verwenden. Weitere Informationen finden Sie unter Übersicht über Docker-Abonnements.
  • Ein Benutzer muss angemeldet sein, damit Docker Protokolle sammeln kann. Wir empfehlen Ihren Docker-Benutzern, die Verbindung ohne Abmeldung zu trennen.
  • Docker für Windows wird in VMWare-Virtualisierungsszenarien nicht offiziell unterstützt.
  • Docker für Windows wird in geschachtelten Virtualisierungsszenarien nicht offiziell unterstützt. Wenn Sie weiterhin die geschachtelte Virtualisierung verwenden möchten, lesen Sie den offiziellen Leitfaden von Docker.
  • Informationen zu zusätzlichen Konfigurations- und Implementierungsüberlegungen für Docker für Windows finden Sie unter Installieren von Docker Desktop unter Windows.

Entfernen eines vorhandenen Protokollsammlers

Wenn Sie über einen vorhandenen Protokollsammler verfügen und ihn vor der erneuten Bereitstellung entfernen möchten, oder wenn Sie ihn einfach entfernen möchten, führen Sie die folgenden Befehle aus:

docker stop <collector_name>
docker rm <collector_name>

Protokollsammlerleistung

Der Protokollsammler kann eine Protokollkapazität von bis zu 50 GB pro Stunde erfolgreich verarbeiten. Die Standard Engpässe im Protokollsammlungsprozess sind:

  • Netzwerkbandbreite: Ihre Netzwerkbandbreite bestimmt die Geschwindigkeit des Protokolluploads.

  • E/A-Leistung des virtuellen Computers: Bestimmt die Geschwindigkeit, mit der Protokolle auf den Datenträger des Protokollsammlers geschrieben werden. Der Protokollsammler verfügt über einen integrierten Sicherheitsmechanismus, der die Rate überwacht, mit der Protokolle eingehen, und sie mit der Uploadrate vergleicht. Bei Überlastung beginnt der Protokollsammler, Protokolldateien zu löschen. Wenn Ihr Setup in der Regel 50 GB pro Stunde überschreitet, wird empfohlen, den Datenverkehr auf mehrere Protokollsammler aufzuteilen.

Schritt 1: Konfiguration des Webportals

Verwenden Sie die folgenden Schritte, um Ihre Datenquellen zu definieren und sie mit einem Protokollsammler zu verknüpfen. Ein einzelner Protokollsammler kann mehrere Datenquellen verarbeiten.

  1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Cloud Apps>Cloud Discovery>Automatischer Protokollupload>Datenquellen aus.

  2. Erstellen Sie für jede Firewall oder jeden Proxy, aus dem Sie Protokolle hochladen möchten, eine übereinstimmende Datenquelle:

    1. Wählen Sie +Datenquelle hinzufügen aus.

      Screenshot der Schaltfläche

    2. Benennen Sie Ihren Proxy oder Ihre Firewall.

      Screenshot des Dialogfelds

    3. Wählen Sie in der Liste Quelle die Anwendung aus. Wenn Sie benutzerdefiniertes Protokollformat auswählen, um mit einem Netzwerk Anwendung zu arbeiten, das nicht aufgeführt ist, finden Sie unter Arbeiten mit dem benutzerdefinierten Protokollparser Konfigurationsanweisungen.

    4. Vergleichen Sie Ihr Protokoll mit dem Beispiel des erwarteten Protokollformats. Wenn Ihr Protokolldateiformat nicht mit diesem Beispiel übereinstimmt, sollten Sie Ihre Datenquelle als Sonstige hinzufügen.

    5. Legen Sie den Empfängertyp entweder auf FTP, FTPS, Syslog – UDP oder Syslog – TCP oder Syslog – TLS fest.

      Hinweis

      Die Integration in sichere Übertragungsprotokolle (FTPS und Syslog – TLS) erfordert häufig zusätzliche Einstellungen für Ihre Firewall/Ihren Proxy.

    6. Wiederholen Sie diesen Vorgang für jede Firewall und jeden Proxy, deren Protokolle verwendet werden können, um Datenverkehr in Ihrem Netzwerk zu erkennen. Es wird empfohlen, eine dedizierte Datenquelle pro Netzwerkgerät einzurichten, um Folgendes zu ermöglichen:

      • Überwachen Sie die status jedes Geräts zu Untersuchungszwecken separat.
      • Erkunden Sie die Schatten-IT-Ermittlung pro Gerät, wenn jedes Gerät von einem anderen Benutzersegment verwendet wird.

  3. Wählen Sie oben auf der Seite die Registerkarte Protokollsammler und dann Protokollsammler hinzufügen aus.

  4. Im Dialogfeld Protokollsammler erstellen :

    1. Geben Sie im Feld Name einen aussagekräftigen Namen für Ihren Protokollsammler ein.

    2. Geben Sie dem Protokollsammler einen Namen , und geben Sie die Host-IP-Adresse (private IP-Adresse) des Computers ein, den Sie zum Bereitstellen von Docker verwenden. Die Host-IP-Adresse kann durch den Computernamen ersetzt werden, wenn ein DNS-Server (oder ein entsprechender Server) vorhanden ist, der den Hostnamen auflöst.

    3. Wählen Sie alle Datenquellen aus, die Sie mit dem Collector verbinden möchten, und wählen Sie Aktualisieren aus, um die Konfiguration zu speichern.

      Weitere Bereitstellungsinformationen werden im Abschnitt Nächste Schritte angezeigt, einschließlich eines Befehls, den Sie später zum Importieren der Collectorkonfiguration verwenden werden. Wenn Sie Syslog ausgewählt haben, enthalten diese Informationen auch Daten darüber, an welchem Port der Syslog-Listener lauscht.

    4. Verwenden Sie das Symbol zum Kopieren in die Zwischenablage.Schaltfläche "Kopieren ", um den Befehl in die Zwischenablage zu kopieren und an einem separaten Speicherort zu speichern.

    5. Verwenden Sie die Schaltfläche Export Export, um die erwartete Datenquellenkonfiguration zu exportieren. Diese Konfiguration beschreibt, wie Sie den Protokollexport in Ihren Appliances festlegen sollten.

Für Benutzer, die erstmals Protokolldaten über FTP senden, empfehlen wir, das Kennwort für den FTP-Benutzer zu ändern. Weitere Informationen finden Sie unter Ändern des FTP-Kennworts.

Schritt 2: Lokale Bereitstellung Ihres Computers

Die folgenden Schritte beschreiben die Bereitstellung in Windows. Die Bereitstellungsschritte für andere Plattformen unterscheiden sich geringfügig.

  1. Öffnen Sie ein PowerShell-Terminal als Administrator auf Ihrem Windows-Computer.

  2. Führen Sie den folgenden Befehl aus, um die PowerShell-Skriptdatei für den Windows Docker-Installer herunterzuladen:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    Informationen zum Überprüfen, ob das Installationsprogramm von Microsoft signiert wurde, finden Sie unter Überprüfen der Installationsprogrammsignatur.

  3. Um die Ausführung von PowerShell-Skripts zu aktivieren, führen Sie Folgendes aus:

    Set-ExecutionPolicy RemoteSigned`

  4. Um den Docker-Client auf Ihrem Computer zu installieren, führen Sie Folgendes aus:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    Der Computer wird automatisch neu gestartet, nachdem Sie den Befehl ausgeführt haben.

  5. Wenn der Computer wieder ausgeführt wird, führen Sie denselben Befehl erneut aus:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. Führen Sie das Docker-Installationsprogramm aus, und wählen Sie aus, dass WSL 2 anstelle von Hyper-V verwendet werden soll.

    Nach Abschluss der Installation wird der Computer automatisch erneut neu gestartet.

  7. Öffnen Sie nach Abschluss des Neustarts den Docker-Client, und akzeptieren Sie den Docker-Abonnementvertrag.

  8. Wenn die WSL2-Installation nicht abgeschlossen ist, wird eine Meldung angezeigt, die darauf hinweist, dass der WSL 2-Linux-Kernel mithilfe eines separaten MSI-Updatepakets installiert wurde.

  9. Schließen Sie die Installation ab, indem Sie das Paket herunterladen. Weitere Informationen finden Sie unter Herunterladen des Linux-Kernelupdatepakets.

  10. Öffnen Sie den Docker Desktop-Client erneut, und stellen Sie sicher, dass er gestartet wurde.

  11. Öffnen Sie eine Eingabeaufforderung als Administrator, und geben Sie den Ausführungsbefehl ein, den Sie zuvor in Schritt 1 – Webportalkonfiguration aus dem Portal kopiert haben.

    Wenn Sie einen Proxy konfigurieren müssen, fügen Sie die Proxy-IP-Adresse und die Portnummer hinzu. Wenn Ihre Proxydetails beispielsweise 172.31.255.255:8080 sind, lautet Ihr aktualisierter Ausführungsbefehl:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. Führen Sie Folgendes aus, um zu überprüfen, ob der Collector ordnungsgemäß ausgeführt wird:

    docker logs <collector_name>

    Die Meldung sollte angezeigt werden: Erfolgreich abgeschlossen! Zum Beispiel:

    Screenshot eines Befehls, der zeigt, dass der Collector ordnungsgemäß ausgeführt wird.

Schritt 3: Lokale Konfiguration Ihrer Netzwerkgeräte

Konfigurieren Sie Ihre Netzwerkfirewalls und Proxys so, dass protokolle in regelmäßigen Abständen in den dedizierten Syslog-Port des FTP-Verzeichnisses gemäß den Anweisungen im Dialogfeld exportiert werden. Zum Beispiel:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

Schritt 4: Überprüfen der erfolgreichen Bereitstellung im Portal

Überprüfen Sie die status in der Protokollsammlertabelle, und stellen Sie sicher, dass die status Verbunden ist. Wenn es erstellt ist, ist es möglich, dass die Protokollsammlerverbindung und die Analyse noch nicht abgeschlossen wurden.

Vergewissern Sie sich, dass der Collector status Verbunden ist.

Sie können auch zum Governanceprotokoll wechseln und überprüfen, ob Protokolle regelmäßig in das Portal hochgeladen werden.

Alternativ können Sie den Protokollsammler status aus dem Docker-Container mithilfe der folgenden Befehle überprüfen:

  1. Melden Sie sich beim Container an:

    docker exec -it <Container Name> bash

  2. Überprüfen Sie, ob der Protokollsammler status:

    collector_status -p

Wenn während der Bereitstellung Probleme auftreten, finden Sie weitere Informationen unter Problembehandlung bei der Cloudermittlung.

Optional: Erstellen benutzerdefinierter fortlaufender Berichte

Vergewissern Sie sich, dass die Protokolle in Defender for Cloud Apps hochgeladen werden und dass Berichte generiert werden. Erstellen Sie nach der Überprüfung benutzerdefinierte Berichte. Sie können benutzerdefinierte Ermittlungsberichte basierend auf Microsoft Entra Benutzergruppen erstellen. Wenn Sie beispielsweise die Cloudnutzung Ihrer Marketingabteilung anzeigen möchten, importieren Sie die Marketinggruppe mithilfe der Funktion Benutzergruppe importieren. Erstellen Sie dann einen benutzerdefinierten Bericht für diese Gruppe. Sie können einen Bericht auch basierend auf IP-Adresstags oder IP-Adressbereichen anpassen.

  1. Wählen Sie im Microsoft Defender-Portal Einstellungen>Cloud-Apps>Cloud Discovery>Fortlaufende Berichte aus.

  2. Wählen Sie die Schaltfläche Bericht erstellen aus, und füllen Sie die Felder aus.

  3. Unter Filter können Sie die Daten nach Datenquelle, nach importierter Benutzergruppe oder nach IP-Adresstags und -bereichen filtern.

    Hinweis

    Beim Anwenden von Filtern auf fortlaufende Berichte wird die Auswahl eingeschlossen, nicht ausgeschlossen. Wenn Sie beispielsweise einen Filter auf eine bestimmte Benutzergruppe anwenden, wird nur diese Benutzergruppe in den Bericht aufgenommen.

    Benutzerdefinierter fortlaufender Bericht.

Optional: Überprüfen der Installersignatur

So stellen Sie sicher, dass das Docker-Installationsprogramm von Microsoft signiert ist:

  1. Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie Eigenschaften aus.

  2. Wählen Sie Digitale Signaturen aus, und stellen Sie sicher, dass diese digitale Signatur ok angezeigt wird.

  3. Stellen Sie sicher, dass die Microsoft Corporation als einziger Eintrag unter Name des Unterzeichners aufgeführt ist.

    Digitale Signatur gültig.

    Wenn die digitale Signatur ungültig ist, lautet dies Diese digitale Signatur ist ungültig:

    Digitale Signatur ungültig.

Nächste Schritte

Ändern der FTP-Konfiguration des Protokollsammlers

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.