Einrichten von Cloud Discovery
Hinweis
Microsoft Defender for Cloud Apps (früher als Microsoft Cloud App Security bezeichnet) ist jetzt Teil von Microsoft 365 Defender. Über das Microsoft 365 Defender-Portal können Sicherheitsadministratoren ihre Sicherheitsaufgaben an einem Ort ausführen. Dies vereinfacht Workflows und fügt die Funktionalität der anderen Microsoft 365 Defender-Dienste hinzu. Microsoft 365 Defender dient zum Überwachen und Verwalten der Sicherheit für Ihre Microsoft-Identitäten, Daten, Geräte, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.
Cloud Discovery analysiert Ihre Datenverkehrsprotokolle anhand des Microsoft Defender for Cloud Apps Katalogs von über 31.000 Cloud-Apps. Die Apps werden basierend auf mehr als 90 Risikofaktoren bewertet und bewertet, um Ihnen einen kontinuierlichen Einblick in die Cloudnutzung, Schatten-IT und das Risiko zu bieten, das Schatten-IT für Ihre Organisation darstellt.
Momentaufnahmeberichte und kontinuierliche Berichte zur Risikobewertung
Sie können die folgenden Berichtstypen generieren:
Momentaufnahmeberichte enthalten Ad-Hoc-Sichtbarkeit für mehrere Datenverkehrsprotokolle, die Sie manuell von Ihren Firewalls und Proxys hochladen.
Fortlaufende Berichte : Analysieren Sie alle Protokolle, die von Ihrem Netzwerk weitergeleitet werden, mithilfe von Defender for Cloud Apps. Sie bieten verbesserte Sichtbarkeit aller Daten, und identifizieren anormale Verwendungen automatisch, indem sie entweder die Machine Learning-Anomalieerkennungs-Engine oder benutzerdefinierte Richtlinien verwenden, die Sie definieren. Diese Berichte können durch eine auf folgende Weise hergestellte Verbindung generiert werden:
- Microsoft Defender for Endpoint Integration: Defender for Cloud Apps wird nativ in Defender für Endpunkt integriert, um den Rollout von Cloud Discovery zu vereinfachen, die Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus zu erweitern und eine computerbasierte Untersuchung zu ermöglichen.
- Protokollsammler: Mit Protokollsammlern können Sie den Protokollupload aus Ihrem Netzwerk einfach automatisieren. Der Protokollsammler wird in Ihrem Netzwerk ausgeführt und empfängt Protokolle über Syslog oder FTP.
- Secure Web Gateway (SWG): Wenn Sie sowohl mit Defender for Cloud Apps als auch mit einem der folgenden SWGs arbeiten, können Sie die Produkte integrieren, um Ihre Cloud Discovery-Sicherheitsumgebung zu verbessern. Zusammen ermöglichen Defender für Cloud Apps und SWGs eine nahtlose Bereitstellung von Cloud Discovery, die automatische Blockierung nicht sanktionierter Apps sowie die Risikobewertungen direkt im SWG-Portal.
Cloud Discovery-API : Verwenden Sie die Cloud Discovery-API von Defender for Cloud Apps, um das Hochladen von Datenverkehrsprotokollen zu automatisieren und einen automatisierten Cloud Discovery-Bericht und eine Risikobewertung zu erhalten. Sie können die API auch verwenden, um Blockskripts zu generieren und App-Steuerelemente direkt für Ihre Netzwerkappliance zu optimieren.
Prozessablaufprotokollierung: von Rohdaten zur Risikobewertung
Der Prozess zum Generieren einer Risikobewertung besteht aus den folgenden Schritten. Der Vorgang kann nur wenige Minuten aber auch mehrere Stunden in Anspruch nehmen. Dies ist von der Datenmenge abhängig, die verarbeitet wird.
Hochladen – Webverkehrsprotokolle aus Ihrem Netzwerk werden auf das Portal hochgeladen.
Analysieren : Defender for Cloud Apps analysiert und extrahiert Datenverkehrsdaten aus den Datenverkehrsprotokollen mit einem dedizierten Parser für jede Datenquelle.
Analysieren : Datenverkehrsdaten werden anhand des Cloud-App-Katalogs analysiert, um mehr als 31.000 Cloud-Apps zu identifizieren und deren Risikobewertung zu bewerten. Auch aktive Benutzer und IP-Adressen werden im Rahmen der Analyse ermittelt.
Bericht erstellen – Es wird ein Risikobewertungsbericht der Daten generiert, die aus Protokolldateien extrahiert wurden.
Hinweis
Ermittlungsdaten werden viermal täglich analysiert und aktualisiert.
Unterstützte Firewalls und Proxys
- Barracuda – Web-App-Firewall (W3C)
- Blue Coat Proxy SG – Zugriffsprotokoll (W3C)
- Check Point
- Cisco ASA mit FirePOWER
- Cisco ASA-Firewall (für Cisco ASA-Firewalls ist es erforderlich, die Informationsebene auf 6 festzulegen)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URLs log
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto series Firewall
- SonicWall (früher Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense – Web Security Solutions – Internetaktivitätsprotokoll (CEF)
- Websense – Web Security Solutions – Detailbericht (CSV)
- Zscaler
Hinweis
Cloud Discovery unterstützt IPv4- und IPv6-Adressen.
Wenn Ihr Protokoll nicht unterstützt wird oder Sie ein neu veröffentlichtes Protokollformat aus einer der unterstützten Datenquellen verwenden und der Upload fehlschlägt, wählen Sie Andere als Datenquelle aus, und geben Sie die Appliance und das Protokoll an, das Sie hochladen möchten. Ihr Protokoll wird vom Cloudanalystenteam von Defender for Cloud Apps überprüft, und Sie werden benachrichtigt, wenn Unterstützung für Ihren Protokolltyp hinzugefügt wird. Alternativ können Sie einen benutzerdefinierten Parser definieren, der mit Ihrem Format übereinstimmt. Weitere Informationen finden Sie unter Use a custom log parser (Verwenden eines benutzerdefinierten Protokollparsers).
Hinweis
Die folgende Liste der unterstützten Appliances funktioniert möglicherweise nicht mit neu veröffentlichten Protokollformaten. Wenn Sie ein neu veröffentlichtes Format verwenden und der Upload fehlschlägt, verwenden Sie einen benutzerdefinierten Protokollparser , und öffnen Sie bei Bedarf eine Supportanfrage.
Datenattribute (gemäß der Dokumentation des Anbieters):
| Datenquelle | Ziel-App-URL | Ziel-App-IP-Adresse | Username | Ursprungs-IP-Adresse | Gesamter Datenverkehr | Hochgeladene Bytes |
|---|---|---|---|---|---|---|
| Barracuda | Ja | Ja | Ja | Ja | Nein | Nein |
| Blue Coat | Ja | Nein | Ja | Ja | Ja | Ja |
| Check Point | Nein | Ja | Nein | Ja | Nein | Nein |
| Cisco ASA (Syslog) | Nein | Ja | Nein | Ja | Ja | Nein |
| Cisco ASA mit FirePOWER | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Cloud Web Security | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco FWSM | Nein | Ja | Nein | Ja | Ja | Nein |
| Cisco Ironport WSA | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Meraki | Ja | Ja | Nein | Ja | Nein | Nein |
| Clavister NGFW (Syslog) | Ja | Ja | Ja | Ja | Ja | Ja |
| ContentKeeper | Ja | Ja | Ja | Ja | Ja | Ja |
| Corrata | Ja | Ja | Ja | Ja | Ja | Ja |
| Digital Arts i-FILTER | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint LEEF | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint Web Security Cloud* | Ja | Ja | Ja | Ja | Ja | Ja |
| Fortinet Fortigate | Nein | Ja | Ja | Ja | Ja | Ja |
| FortiOS | Ja | Ja | Nein | Ja | Ja | Ja |
| iboss | Ja | Ja | Ja | Ja | Ja | Ja |
| Juniper SRX | Nein | Ja | Nein | Ja | Ja | Ja |
| Juniper SSG | Nein | Ja | Ja | Ja | Ja | Ja |
| McAfee SWG | Ja | Nein | Nein | Ja | Ja | Ja |
| Menlo Security (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| MS TMG | Ja | Nein | Ja | Ja | Ja | Ja |
| Open Systems Secure Web Gateway | Ja | Ja | Ja | Ja | Ja | Ja |
| Palo Alto Networks | Nein | Ja | Ja | Ja | Ja | Ja |
| SonicWall (früher Dell) | Ja | Ja | Nein | Ja | Ja | Ja |
| Sophos | Ja | Ja | Ja | Ja | Ja | Nein |
| Squid (Common) | Ja | Nein | Ja | Ja | Ja | Nein |
| Squid (Native) | Ja | Nein | Ja | Ja | Nein | Nein |
| Stormshield | Nein | Ja | Ja | Ja | Ja | Ja |
| Wandera | Ja | Ja | Ja | Ja | Ja | Ja |
| WatchGuard | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense – Internetaktivitätsprotokoll (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense – investigativer detaillierter Bericht (CSV) | Ja | Ja | Ja | Ja | Ja | Ja |
| Zscaler | Ja | Ja | Ja | Ja | Ja | Ja |
* Versionen 8.5 und höher von ForcePoint Web Security Cloud werden nicht unterstützt.