共用方式為

在 Windows 上使用內部部署 Docker 設定自動記錄上傳

  • 發行項

您可以使用 Windows 上的 Docker,在 Defender for Cloud Apps 中設定連續報表的自動記錄上傳。

必要條件

  • 架構規格

    規範 描述
    作業系統 下列其中之一:
  • Windows 10 (Fall 建立者更新)
  • Windows Server 1709 版+ (SAC)
  • Windows Server 2019 (LTSC)
    • 磁碟空間 250 GB
    CPU 核心 2
    CPU 架構 Intel 64 和 AMD 64
    RAM 4 GB

    如需支援的 Docker 架構清單,請參閱 Docker 安裝檔

  • 視需要設定防火牆 。 如需詳細資訊,請參閱 網路需求

  • 操作系統上的虛擬化必須使用 Hyper-V 來啟用。

重要事項

  • 擁有超過 250 位使用者或超過 1 千萬美元年度營收的企業客戶,需要付費訂閱才能使用適用於 Windows 的 Docker Desktop。 如需詳細資訊,請參閱 Docker 訂用帳戶概觀
  • 用戶必須登入,Docker 才能收集記錄。 建議您的 Docker 使用者在不註銷的情況下中斷連線。
  • VMWare 虛擬化案例中並未正式支援適用於 Windows 的 Docker。
  • 巢狀虛擬化案例中並未正式支援適用於 Windows 的 Docker。 如果您仍然打算使用巢狀虛擬化,請參閱 Docker 的官方指南
  • 如需 Docker for Windows 其他設定和實作考慮的相關信息,請參閱 在 Windows 上安裝 Docker Desktop

拿掉現有的記錄收集器

如果您有現有的記錄收集器,而且想要在再次部署之前將其移除,或如果您只想要移除它,請執行下列命令:

docker stop <collector_name>
docker rm <collector_name>

記錄收集器效能

記錄收集器可以成功處理每小時最多 50 GB 的記錄容量。 記錄收集程式的主要瓶頸如下:

  • 網路頻寬 - 您的網路頻寬會決定記錄上傳速度。

  • 虛擬機的 I/O 效能 - 決定記錄寫入記錄收集器磁碟的速度。 記錄收集器具有內建的安全機制,可監視記錄抵達的速率,並將其與上傳速率進行比較。 發生壅塞時,記錄收集器會開始卸除記錄檔。 如果您的安裝程式通常每小時超過 50 GB,建議您在多個記錄收集器之間分割流量。

步驟 1 – 入口網站設定

使用下列步驟來定義您的數據源,並將它們連結至記錄收集器。 單一記錄收集器可以處理多個數據源。

  1. 在 Microsoft Defender 入口網站中,選> [設定Cloud Apps>Cloud Discovery>自動記錄上傳數據源] 索>引卷標。

  2. 針對您要上傳記錄的每個防火牆或 Proxy,建立相符的數據來源:

    1. 選取 [+新增數據源]

      [新增資料源] 按鈕的螢幕快照。

    2. 您的 Proxy 或防火牆命名。

      [新增數據源] 對話框的螢幕快照

    3. 從 [ 來源 ] 列表中選取設備。 如果您選取 [自訂記錄格式 ] 以使用未列出的網路設備,請參閱 使用自定義記錄檔剖析器 以取得設定指示。

    4. 比較您的記錄檔與預期記錄格式的範例。 如果您的記錄檔格式不符合此範例,您應該將數據源新增為 [其他]

    5. [接收者類型 ] 設定為 [FTP]、 [FTPS]、 [Syslog – UDP] 或 [ Syslog – TCP] 或 [ Syslog – TLS]

      注意事項

      與安全傳輸通訊協定整合 (FTPS 和 Syslog – TLS) 通常需要防火牆/Proxy 的其他設定。

    6. 針對記錄可用來偵測網路流量的每個防火牆和 Proxy 重複此程式。 建議您設定每個網路裝置的專用數據源,讓您可以:

      • 針對調查目的,個別監視每個裝置的狀態。
      • 如果每個裝置都由不同的使用者區段使用,則探索每個裝置的陰影IT探索。

  3. 在頁面頂端,選取 [ 記錄收集器] 索 引標籤,然後選取 [ 新增記錄收集器]

  4. 在 [ 建立記錄收集器 ] 對話框中:

    1. 在 [ 名稱] 欄位 中,為記錄收集器輸入有意義的名稱。

    2. 為記錄收集器 命名 ,然後輸入您將用來部署 Docker 之電腦 (私人 IP 位址) 主機 IP 位址 。 如果有將解析主機名的 DNS 伺服器 (或對等的) ,則主機 IP 位址可以取代為計算機名稱。

    3. 選取您想要連線到收集器的所有 數據源 ,然後選取 [更新 ] 以儲存設定。

      [ 後續步驟 ] 區段中會顯示進一步的部署資訊,包括您稍後將用來匯入收集器設定的命令。 如果您選取了 Syslog,此資訊也會包含 Syslog 接聽程式正在接聽哪個埠的相關數據。

    4. 使用 複製到剪貼簿圖示。複製 按鈕以將命令複製到剪貼簿,並將它儲存到個別的位置。

    5. 使用 [匯匯出] 按鈕來匯出預期的數據源設定。 此設定描述您應該如何在設備中設定記錄匯出。

對於第一次透過 FTP 傳送記錄資料的使用者,建議您變更 FTP 使用者的密碼。 如需詳細資訊,請 參閱變更 FTP 密碼

步驟 2 – 您電腦的內部部署

下列步驟說明 Windows 中的部署。 其他平臺的部署步驟稍有不同。

  1. 以 Windows 電腦上的系統管理員身分開啟 PowerShell 終端機。

  2. 執行下列命令以下載 Windows Docker 安裝程式 PowerShell 腳本檔案:

    Invoke-WebRequest https://adaprodconsole.blob.core.windows.net/public-files/LogCollectorInstaller.ps1 -OutFile (Join-Path $Env:Temp LogCollectorInstaller.ps1)

    若要驗證安裝程式是否已由Microsoft簽署,請參閱 驗證安裝程式簽章

  3. 若要啟用PowerShell腳本執行,請執行:

    Set-ExecutionPolicy RemoteSigned`

  4. 若要在電腦上安裝 Docker 用戶端,請執行:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

    計算機會在您執行命令之後自動重新啟動。

  5. 當電腦再次啟動並執行時,請再次執行相同的命令:

    & (Join-Path $Env:Temp LogCollectorInstaller.ps1)`

  6. 執行 Docker 安裝程式,選取以使用 WSL 2 而非 Hyper-V。

    安裝完成之後,計算機會自動重新啟動。

  7. 重新啟動完成之後,開啟 Docker 用戶端並接受 Docker 訂用帳戶合約。

  8. 如果 WSL2 安裝未完成,則會顯示訊息,指出已使用個別的 MSI 更新套件安裝 WSL 2 Linux 核心。

  9. 下載套件以完成安裝。 如需詳細資訊,請 參閱下載Linux核心更新套件

  10. 再次開啟 Docker 桌面用戶端,並確定用戶端已啟動。

  11. 以系統管理員身分開啟命令提示字元,然後輸入您稍早在 步驟 1 – 入口網站組態中從入口網站複製的執行命令。

    如果您需要設定 Proxy,請新增 Proxy IP 位址和埠號碼。 例如,如果您的 Proxy 詳細資料是 172.31.255.255:8080,則更新的執行命令為:

    (echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='10.255.255.255'" -e "PROXY=172.31.255.255:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter

  12. 若要確認收集器是否正常執行,請執行:

    docker logs <collector_name>

    您應該會看到訊息: 已成功完成! 例如:

    收集器正常執行之命令的螢幕快照。

步驟 3 - 網路設備的內部部署設定

設定您的網路防火牆和 Proxy,根據對話框中的指示,定期將記錄導出至 FTP 目錄的專用 Syslog 埠。 例如:

BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\

步驟 4 - 在入口網站中確認部署成功

檢查 記錄收集器 數據表中的收集器狀態,並確定狀態為 [已連線]。 如果已 建立,則記錄收集器連線和剖析可能尚未完成。

確認收集器狀態為 [已連線]。

您也可以移至 治理記錄 ,並確認記錄會定期上傳至入口網站。

或者,您可以使用下列命令,從 Docker 容器內檢查記錄收集器狀態:

  1. 登入容器:

    docker exec -it <Container Name> bash

  2. 確認記錄收集器狀態:

    collector_status -p

如果您在部署期間遇到問題,請參閱 針對雲端探索進行疑難解答

選擇性 - 建立自定義連續報告

確認記錄已上傳至 Defender for Cloud Apps併產生報告。 驗證之後,請建立自定義報表。 您可以根據 Microsoft Entra 使用者群組來建立自訂探索報告。 例如,如果您想要查看行銷部門的雲端使用方式,請使用匯入使用者群組功能匯入行銷群組。 然後為此群組建立自定義報表。 您也可以根據IP位址標籤或IP位址範圍來自訂報表。

  1. 在 Microsoft Defender 入口網站中,選> [設定Cloud Apps>Cloud Discovery>連續報告]

  2. 選取 [ 建立報表] 按鈕,然後填入欄位。

  3. 在 [ 篩選] 底 下,您可以依數據源、匯 入的使用者群組IP位址標籤和範圍來篩選數據。

    注意事項

    在連續報表上套用篩選時,將會包含選取範圍,而不會排除。 例如,如果您在特定使用者群組上套用篩選,報表中只會包含該使用者群組。

    自訂連續報表。

選擇性 - 驗證安裝程式簽章

若要確定 docker 安裝程式已由Microsoft簽署:

  1. 以滑鼠右鍵按下檔案,然後選取 [ 屬性]

  2. 選取 [數字簽名 ],並確定其顯示 [此數字簽名] 為 [確定]

  3. 請確定 Microsoft Corporation 列為 [ 簽署者名稱] 底下的唯一專案。

    數字簽名有效。

    如果數位簽章無效,則會顯示 此數位簽章無效

    數位簽章無效。

後續步驟

修改記錄收集器 FTP 組態

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證