Microsoft Defender for Cloud Apps现在是
Microsoft 365 Defender
的一部分,它关联来自整个Microsoft Defender套件的信号,并提供事件级别的检测、调查和强大的响应功能。 有关详细信息,请参阅 Microsoft 365 Defender 中的 Microsoft Defender for Cloud Apps。
可以使用 Ubuntu 上的 Docker、Red Hat Enterprise Linux (RHEL) 或 Azure 中的 CentOS 在 Defender for Cloud Apps 中为连续报表配置自动日志上传。
Ubuntu 14.04、16.04、18.04 和 20.04
RHEL 7.2 或更高版本
CentOS 7.2 或更高版本
磁盘空间:250 GB
CPU 核心数:2
CPU 体系结构:Intel® 64 和 AMD 64
RAM:4 GB
按
网络要求
所述设置防火墙
如果你有一个现有的日志收集器,并且想要在重新部署它之前将其删除,或者如果只是想要删除它,请运行以下命令:
docker stop <collector_name>
docker rm <collector_name>
日志收集器可以成功处理每小时最多 50 GB 的日志容量,包括最多 10 个数据源。 日志收集过程中的主要瓶颈是:
网络带宽 - 网络带宽决定日志上传速度。
虚拟机的 I/O 性能 - 确定日志写入日志收集器的磁盘的速度。 日志收集器具有内置的安全机制,用于监视日志到达的速率,并将其与上载速度进行比较。 如果出现拥塞情况,日志收集器将开始删除日志文件。 如果设置通常超过每小时 50 GB,建议在多个日志收集器之间拆分流量。
如果需要超过 10 个数据源,建议在多个日志收集器之间拆分数据源。
设置和配置
步骤 1 – Web 门户配置:定义数据源,并将其链接到日志收集器
在Microsoft 365 Defender门户中,选择“设置”。 然后选择“ 云应用”。
在 “云发现”下,选择“ 自动上传日志”。 然后选择“ 数据源 ”选项卡。
对于要从中上传日志的每个防火墙或代理服务器,创建匹配的数据源。
单击“ 添加数据源”。
命名代理服务器或防火墙。
从“源”列表中选择装置。 如果选择将“自定义日志格式”用于未列出的网络设备,请参阅使用自定义日志分析程序,以了解配置说明。
将日志与预期的日志格式示例进行比较。 如果你的日志文件格式与此示例不匹配,则应将你的数据源添加为“其他”。
将“接收器类型”设置为“FTP”、“FTPS”、“Syslog – UDP”、“Syslog – TCP”或“Syslog – TLS”。
与安全传输协议(FTPS 和 Syslog – TLS)集成通常需要其他设置或防火墙/代理。
f. 对其日志可用于检测网络上流量的每个防火墙和代理服务器重复此过程。 建议按网络设备设置专用数据源,这使你能够完成以下操作:
出于调查目的,单独监视每个设备的状态。
如果每个设备由不同用户段使用,按设备浏览 Shadow IT Discovery。
转到顶部的“日志收集器”选项卡。
单击“添加日志收集器”。
为日志收集器指定名称。
输入用于部署 Docker 的计算机) 主机 IP 地址 (专用 IP 地址。 如果有解析主机名的 DNS 服务器(或等同设备),计算机名称可以替换主机 IP 地址。
选择要连接到收集器的所有 数据源 ,然后单击“ 更新 ”保存配置。
将出现进一步的部署信息。 复制对话框中的运行命令。 可以使用复制到剪贴板图标。 
导出所需的数据源配置。 此配置介绍了应如何在设备中设置日志导出。
单个日志收集器可以处理多个数据源。
复制屏幕内容,因为在将日志收集器配置为与 Defender for Cloud Apps 通信时需要这些信息。 如果选择了 Syslog,此信息将包含 Syslog 侦听器正在侦听的端口信息。
对于首次通过 FTP 发送日志数据的用户,建议更改 FTP 用户的密码。 有关详细信息,请参阅 更改 FTP 密码。
删除旧版 Docker: yum erase docker docker-engine docker.io
安装 Docker 引擎先决条件: yum install -y yum-utils
添加 Docker 存储库:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum makecache
安装 Docker 引擎: yum -y install docker-ce
启动 Docker
systemctl start docker
systemctl enable docker
测试 Docker 安装: docker run hello-world
安装 Docker 引擎先决条件:
yum install -y yum-utils
yum install -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.3.7-3.1.el7.x86_64.rpm
添加 Docker 存储库:
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum-config-manager --setopt="docker-ce-stable.baseurl=https://download.docker.com/linux/centos/7/x86_64/stable" --save
安装依赖项:
wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/slirp4netns-0.4.3-4.el7_8.x86_64.rpm
sudo yum localinstall slirp4netns-0.4.3-4.el7_8.x86_64.rpm
wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/f/fuse3-libs-3.6.1-2.el7.x86_64.rpm
sudo yum localinstall fuse3-libs-3.6.1-2.el7.x86_64.rpm
wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
sudo yum localinstall fuse-overlayfs-0.7.2-6.el7_8.x86_64.rpm
wget http://mirror.centos.org/centos/7/extras/x86_64/Packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
sudo yum localinstall container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
安装 Docker 引擎: sudo yum install docker-ce
启动 Docker
systemctl start docker
systemctl enable docker
测试 Docker 安装: docker run hello-world
删除 container-tools 模块: yum module remove container-tools
添加 Docker CE 存储库: yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
修改 yum 存储库文件以使用 CentOS 8/RHEL 8 包: sed -i s/7/8/g /etc/yum.repos.d/docker-ce.repo
安装 Docker CE: yum install docker-ce
启动 Docker
systemctl start docker
systemctl enable docker
测试 Docker 安装: docker run hello-world
删除旧版 Docker: apt-get remove docker docker-engine docker.io
如果要在 Ubuntu 14.04 上安装,请安装 linux-image-extra 包。
apt-get update -y
apt-get install -y linux-image-extra-$(uname -r) linux-image-extra-virtual
安装 Docker 引擎先决条件:
apt-get update -y
(apt-get install -y apt-transport-https ca-certificates curl software-properties-common && curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - )
验证 apt-密钥指纹 UID 是否为 docker@docker.com:apt-key fingerprint | grep uid
安装 Docker 引擎:
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get update -y
apt-get install -y docker-ce
测试 Docker 安装: docker run hello-world
运行命令以部署日志收集器。
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
运行以下命令验证日志收集器是否正常工作:Docker logs <collector_name>。 应获得的结果是:成功完成!
步骤 3 - 网络设备的本地配置
配置网络防火墙和代理,根据对话框指示定期将日志导出到 FTP 目录的专用 Syslog 端口。 例如:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
步骤 4 - 在 Defender for Cloud Apps 门户中验证成功部署
检查日志收集器表中的收集器状态,确保状态为“已连接”。 如果状态为“已创建”,则可能表示未完成日志收集器的连接和分析。
也可以转到“治理日志”并验证日志是否会定期上传到门户。
或者,可以使用以下命令从 docker 容器中检查日志收集器状态:
使用以下命令登录到容器: docker exec -it <Container Name> bash
使用以下命令验证日志收集器状态: collector_status -p
如果在部署期间遇到问题,请参阅 Cloud Discovery 疑难解答。
可选 - 创建自定义连续报表
验证日志是否已上传到 Defender for Cloud Apps 以及是否已生成报告。 验证之后,创建自定义报表。 可以基于 Azure Active Directory 用户组创建自定义发现报表。 例如,如果要查看市场营销部门的云使用情况,则使用导入用户组功能导入市场营销组。 然后创建此组的自定义报表。 还可以基于 IP 地址标记或 IP 地址范围自定义报表。
在Microsoft 365 Defender门户中,选择“设置”。 然后选择“ 云应用”。
在“ 云发现”下,选择“ 连续报表”。
单击“创建报表”按钮,然后填写各字段。
在“筛选器”下,可以按数据源、导入的用户组或 IP 地址标记和范围筛选数据。
对连续报表应用筛选器时,将包括所选内容,但不排除。 例如,如果对某个用户组应用筛选器,则报表中只会包含该用户组。
