在 Azure 中使用 Docker 設定自動記錄上傳

發行項
11/28/2024

本文說明如何在 Azure 的 Ubuntu 或 CentOS 上使用 Docker，在 Defender for Cloud Apps 中設定連續報表的自動記錄上傳。

必要條件

開始之前，請確定您的環境符合下列需求：

需求	描述
作業系統	下列其中之一： - Ubuntu 14.04、16.04、18.04 和 20.04 - CentOS 7.2 或更高版本
磁碟空間	250 GB
CPU 核心	2
CPU 架構	Intel 64 和 AMD 64
RAM	4 GB
防火牆設定	如網路需求中所定義

依效能規劃記錄收集器

每個記錄收集器可以成功處理最多每小時 50 GB 的記錄容量，其中包含最多 10 個數據源。記錄收集程式的主要瓶頸如下：

網路頻寬 - 您的網路頻寬會決定記錄上傳速度。
虛擬機的 I/O 效能 - 決定記錄寫入記錄收集器磁碟的速度。記錄收集器具有內建的安全機制，可監視記錄抵達的速率，並將其與上傳速率進行比較。發生壅塞時，記錄收集器會開始卸除記錄檔。如果您的安裝程式通常每小時超過 50 GB，建議您在多個記錄收集器之間分割流量。

如果您需要超過10個數據源，建議您在多個記錄收集器之間分割數據源。

定義您的數據源

在 Microsoft Defender 入口網站中，選取 > [設定 Cloud Apps > Cloud Discovery > 自動記錄上傳]。
在 [ 數據源] 索引 標籤上，為您要上傳記錄的每個防火牆或 Proxy 建立相符的數據源：
1. 選 取 [新增數據源]。
2. 在 [ 新增數據源] 對話框中，輸入數據源的名稱，然後選取來源和接收者類型。
  
  選取來源之前，請選 取 [檢視預期記錄檔的範例 ]，並將您的記錄檔與預期的格式進行比較。如果您的記錄檔格式不符合此範例，請將您的數據源新增為 [其他]。
  
  若要使用未列出的網路設備，請選取 [ 其他 > 客戶記錄格式 ] 或 [ 其他 (僅) 手動 ]。如需詳細資訊，請參閱使用自定義記錄剖析器。
注意事項

與安全傳輸通訊協定整合 (FTPS 和 Syslog – TLS) 通常需要額外的設定或防火牆/Proxy。

針對記錄可用來偵測網路流量的每個防火牆和 Proxy 重複此程式。

建議您設定每個網路裝置的專用數據源，讓您個別監視每個裝置的狀態以供調查之用，並在每個裝置由不同的使用者區段使用時探索影子 IT 探索。

建立記錄收集器

在 Microsoft Defender 入口網站中，選取 > [設定 Cloud Apps > Cloud Discovery > 自動記錄上傳]。
在 [ 記錄收集器] 索引標籤上 ，選取 [ 新增記錄收集器]。
在 [ 建立記錄收集器 ] 對話框中，輸入下列詳細數據：
- 記錄收集器的名稱
- 主機 IP 位址，這是您將用來部署 Docker 之電腦的私人 IP 位址。如果有 DNS 伺服器或相當於解析主機名，則主機 IP 位址也可以取代為計算機名稱。
然後選 取 [數據源 (的 [) ] 方塊，以選取您要連線到收集器的數據源，然後選取 [ 更新 ] 以儲存變更。每個記錄收集器都可以處理多個數據源。

[ 建立記錄收集器 ] 對話框會顯示進一步的部署詳細數據，包括匯入收集器組態的命令。例如：
選取將命令旁的複製圖示複製到剪貼簿。

[ 建立記錄收集器 ] 對話框中顯示的詳細數據會根據選取的來源和接收器類型而有所不同。例如，如果您選取 [Syslog]，對話框會包含 syslog 接聽程式正在接聽哪個埠的詳細數據。

複製畫面的內容並將其儲存在本機，因為當您將記錄收集器設定為與 Defender for Cloud Apps 通訊時，將會需要這些內容。
選取 [匯出] 將來源組態匯出至描述如何在設備中設定記錄導出的 .CSV 檔案。

提示

對於第一次透過 FTP 傳送記錄資料的使用者，建議您變更 FTP 使用者的密碼。如需詳細資訊，請參閱變更 FTP 密碼。

在 Azure 中部署您的機器

此程式描述如何使用Ubuntu部署您的電腦。其他平臺的部署步驟稍有不同。

在 Azure 環境中建立新的 Ubuntu 機器。

計算機啟動之後，開啟埠：

在計算機檢視中，按兩下 [ 網络 ] 以選取相關的介面。
移至 網路安全組 ，然後選取相關的網路安全組。
移至 [ 輸入安全性規則] ，然後按兩下 [ 新增]。

在進 階模式中 新增下列規則 () ：

名稱	目的地埠範圍	Protocol (通訊協定)	來源	Destination
caslogcollector_ftp	21	TCP	`Your appliance's IP address's subnet`	任何
caslogcollector_ftp_passive	20000-20099	TCP	`Your appliance's IP address's subnet`	任何
caslogcollector_syslogs_tcp	601-700	TCP	`Your appliance's IP address's subnet`	任何
caslogcollector_syslogs_udp	514-600	UDP	`Your appliance's IP address's subnet`	任何

如需詳細資訊，請參閱使用安全性規則。

返回到計算機，然後按兩下 [連線] 以在電腦上開啟終端機。
使用 sudo -i變更為根許可權。
如果您接受軟體授權條款，請執行適合您環境的命令，以卸載舊版並安裝 Docker CE：
- CentOS
- Ubuntu
1. 拿掉舊版 Docker： yum erase docker docker-engine docker.io
2. 安裝 Docker 引擎必要條件： yum install -y yum-utils
3. 新增 Docker 存放庫：
```
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache
```
4. 安裝 Docker 引擎： yum -y install docker-ce
5. 啟動 Docker
```
systemctl start docker
systemctl enable docker
```
6. 測試 Docker 安裝： docker run hello-world
1. 拿掉舊版 Docker： apt-get remove docker docker-engine docker.io
2. 如果您要在Ubuntu 14.04上安裝，請安裝linux-image-extra 套件。
```
apt-get update -y
apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
```
3. 安裝 Docker 引擎必要條件：
```
apt-get update -y
(apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
```
4. 確認 apt-key 指紋 UID 為 docker@docker.com： apt-key fingerprint | grep uid
5. 安裝 Docker 引擎：
```
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get update -y
apt-get install -y docker-ce
```
6. 測試 Docker 安裝： docker run hello-world

執行您稍早從 [ 建立記錄收集器 ] 對話框複製的命令。例如：

(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

若要確認記錄收集器是否正常執行，請執行下列命令： Docker logs <collector_name>。您應該會得到結果： 已順利完成！

設定網路設備內部部署設定

設定您的網路防火牆和 Proxy，根據對話框中的指示，定期將記錄導出至 FTP 目錄的專用 Syslog 埠。例如：

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

在 Defender for Cloud Apps 中確認您的部署

檢查 記錄收集器 數據表中的收集器狀態，並確定狀態為 [已連線]。如果已建立，則記錄收集器連線和剖析可能尚未完成。

例如：

您也可以移至 治理記錄 ，並確認記錄會定期上傳至入口網站。

或者，您可以使用下列命令，從 Docker 容器內檢查記錄收集器狀態：

使用下列命令登入容器： docker exec -it <Container Name> bash
使用此指令確認記錄收集器狀態： collector_status -p

如果您在部署期間遇到問題，請參閱針對雲端探索進行疑難解答。

選擇性 - 建立自定義連續報告

確認記錄已上傳至 Defender for Cloud Apps，且已產生報告。驗證之後，請建立自定義報表。您可以根據 Microsoft Entra 使用者群組來建立自訂探索報告。例如，如果您想要查看行銷部門的雲端使用方式，請使用匯入使用者群組功能匯入行銷群組。然後為此群組建立自定義報表。您也可以根據IP位址標籤或IP位址範圍來自訂報表。

在 Microsoft Defender 入口網站中，選取 [設定]。然後選擇 [雲端應用程式]。
在 [Cloud Discovery] 底下，選取 [ 連續報告]。
按兩下 [ 建立報表] 按鈕並填入欄位。
在 [ 篩選] 底 下，您可以依數據源、匯入的使用者群組或 IP位址標籤和範圍來篩選數據。

注意事項

在連續報表上套用篩選時，將會包含選取範圍，而不會排除。例如，如果您在特定使用者群組上套用篩選，報表中只會包含該使用者群組。

拿掉記錄收集器

如果您有現有的記錄收集器，而且想要在再次部署之前將其移除，或如果您只想要移除它，請執行下列命令：

docker stop <collector_name>
docker rm <collector_name>

後續步驟

修改記錄收集器 FTP 組態

如果您遇到任何問題，我們在這裡提供協助。若要取得產品問題的協助或支援，請開啟支援票證。

共用方式為