Übersicht über Cloud App Discovery
Cloud Discovery analysiert Ihre Datenverkehrsprotokolle mit dem Defender for Cloud Apps-Katalog von mehr als 31.000 Cloud-Apps. Die Apps werden nach über 90 Risikofaktoren bewertet, damit Sie laufenden Einblick in die Nutzung der Cloud, die Schatten-IT und die Risiken haben, die die Schatten-IT für Ihre Organisation darstellt.
Tipp
Standardmäßig kann Defender for Cloud Apps keine Apps ermitteln, die sich nicht im Katalog befinden.
Um Defender for Cloud Apps-Daten für eine App anzuzeigen, die sich derzeit nicht im Katalog befindet, sehen Sie sich unsere Roadmap an) oder erstellen Sie eine benutzerdefinierte App.
Berichte zu Momentaufnahmen und kontinuierlichen Risikobewertungen
Sie können die folgenden Arten von Berichten generieren:
Momentaufnahmeberichte bieten Ad-Hoc-Sichtbarkeit für mehrere Datenverkehrsprotokolle, die Sie manuell von Ihren Firewalls und Proxys hochladen.
Fortlaufende Berichte analysieren alle Protokolle, die aus Ihrem Netzwerk mit Defender for Cloud Apps weitergeleitet werden. Sie bieten einen besseren Überblick über alle Daten und identifizieren automatisch anomale Nutzung entweder mit Hilfe der Machine Learning Engine zur Erkennung von Anomalien oder mit Hilfe von benutzerdefinierten Richtlinien, die Sie definieren. Diese Berichte können durch eine Verbindung auf folgende Weise erstellt werden:
- Integration von Microsoft Defender for Endpoint: Defender for Cloud Apps lässt sich nativ in Microsoft Defender for Endpoint integrieren, um das Rollout von Cloud Discovery zu vereinfachen, Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus zu erweitern und maschinenbasierte Untersuchung zu ermöglichen.
- Protokollsammler: Mit Protokollsammlern können Sie den Protokollupload aus Ihrem Netzwerk komfortabel automatisieren. Der Protokollsammler läuft auf Ihrem Netzwerk und erhält Protokolle über Syslog oder FTP.
- Secure Web Gateway (SWG): Wenn Sie sowohl Defender for Cloud Apps als auch eines der folgenden SWGs verwenden, können Sie die Produkte integrieren, um die Sicherheitsfunktionalität von Cloud Discovery zu verbessern. Zusammen ermöglichen Defender for Cloud Apps und SWGs eine nahtlose Bereitstellung von Cloud Discovery, die automatische Blockierung nicht sanktionierter Apps sowie die Risikobewertungen direkt im SWG-Portal.
Cloud Discovery API – Verwenden Sie die Defender for Cloud Apps Cloud Discovery-API, um den Hochladen von Datenverkehrsprotokollen zu automatisieren und einen automatischen Cloud Discovery-Bericht und eine Risikobewertung zu erstellen. Sie können die API auch verwenden, um Blockskripte zu generieren und die Steuerung von Anwendungen direkt auf Ihrer Netzwerk-Appliance zu optimieren.
Protokollprozessfluss: Von Rohdaten zur Risikobewertung
Der Prozess der Generierung einer Risikobewertung besteht aus den folgenden Schritten. Der Vorgang dauert je nach der Menge der verarbeiteten Daten zwischen einigen Minuten und mehreren Stunden.
Hochladen – Webverkehrsprotokolle aus Ihrem Netzwerk werden auf das Portal hochgeladen.
Parsen – Defender for Cloud Apps analysiert und extrahiert Datenverkehrsdaten aus den Datenverkehrsprotokollen mit einem dedizierten Parser für jede Datenquelle.
Analysieren: Datenverkehrsdaten werden anhand des Cloud-App-Katalogs analysiert, um mehr als 31.000 Cloud-Apps zu identifizieren und eine Risikoeinstufung vorzunehmen. Aktive Benutzer und IP-Adressen werden auch als Teil der Analyse identifiziert.
Bericht erstellen – Es wird ein Risikobewertungsbericht der Daten generiert, die aus Protokolldateien extrahiert wurden.
Hinweis
Discovery-Daten werden viermal täglich analysiert und aktualisiert.
Unterstützte Firewalls und Proxys
- Barracuda – Web-App-Firewall (W3C)
- Blue Coat Proxy SG – Zugriffsprotokoll (W3C)
- Check Point
- Cisco ASA mit FirePOWER
- Cisco ASA-Firewall (für Cisco ASA-Firewalls ist es erforderlich, die Informationsebene auf 6 festzulegen)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URLs log
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto series Firewall
- SonicWall (früher Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense – Web Security Solutions – Internetaktivitätsprotokoll (CEF)
- Websense – Web Security Solutions – Detailbericht (CSV)
- Zscaler
Hinweis
Cloud Discovery unterstützt IPv4- und IPv6-Adressen.
Wenn Ihr Protokoll nicht unterstützt wird oder Sie ein neu veröffentlichtes Protokollformat aus einer der unterstützten Datenquellen verwenden und der Hochladen fehlschlägt, wählen Sie Sonstige als Datenquelle aus und geben Sie die Anwendung und das Protokoll an, das Sie hochladen möchten. Ihr Protokoll wird vom Cloudanalystenteam von Defender for Cloud Apps überprüft, und Sie werden benachrichtigt, wenn die Unterstützung für Ihren Protokolltyp hinzugefügt wird. Alternativ können Sie einen benutzerdefinierten Parser definieren, der mit Ihrem Format übereinstimmt. Weitere Informationen finden Sie unter Use a custom log parser (Verwenden eines benutzerdefinierten Protokollparsers).
Hinweis
Die folgende Liste der unterstützten Anwendung funktioniert möglicherweise nicht mit neu veröffentlichten Protokollformaten. Wenn Sie ein neu veröffentlichtes Format verwenden und der Hochladen fehlschlägt, verwenden Sie einen benutzerdefinierten Protokollparserund öffnen Sie bei Bedarf einen Supportfall. Wenn Sie einen Supportfall öffnen, stellen Sie sicher, dass Sie für den Fall die entsprechende Firewalldokumentation bereitstellen.
Datenattribute (gemäß der Dokumentation des Anbieters):
Datenquelle | Ziel-App-URL | Ziel-App-IP-Adresse | Benutzername | Ursprungs-IP-Adresse | Gesamter Datenverkehr | Hochgeladene Bytes |
---|---|---|---|---|---|---|
Barracuda | Ja | Ja | Ja | Ja | Nr. | No |
Blue Coat | Ja | Keine | Ja | Ja | Ja | Ja |
Check Point | No | Ja | Keine | Ja | Nr. | No |
Cisco ASA (Syslog) | No | Ja | Keine | Ja | Ja | No |
Cisco ASA mit FirePOWER | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco Cloud Web Security | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco FWSM | No | Ja | Keine | Ja | Ja | No |
Cisco Ironport WSA | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco Meraki | Ja | Ja | Keine | Ja | Nr. | No |
Clavister NGFW (Syslog) | Ja | Ja | Ja | Ja | Ja | Ja |
ContentKeeper | Ja | Ja | Ja | Ja | Ja | Ja |
Corrata | Ja | Ja | Ja | Ja | Ja | Ja |
Digital Arts i-FILTER | Ja | Ja | Ja | Ja | Ja | Ja |
ForcePoint LEEF | Ja | Ja | Ja | Ja | Ja | Ja |
ForcePoint Web Security Cloud* | Ja | Ja | Ja | Ja | Ja | Ja |
Fortinet Fortigate | No | Ja | Ja | Ja | Ja | Ja |
FortiOS | Ja | Ja | Keine | Ja | Ja | Ja |
iboss | Ja | Ja | Ja | Ja | Ja | Ja |
Juniper SRX | No | Ja | Keine | Ja | Ja | Ja |
Juniper SSG | No | Ja | Ja | Ja | Ja | Ja |
McAfee SWG | Ja | Nr. | Nein | Ja | Ja | Ja |
Menlo Security (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
MS TMG | Ja | Keine | Ja | Ja | Ja | Ja |
Open Systems Secure Web Gateway | Ja | Ja | Ja | Ja | Ja | Ja |
Palo Alto Networks | No | Ja | Ja | Ja | Ja | Ja |
SonicWall (früher Dell) | Ja | Ja | Keine | Ja | Ja | Ja |
Sophos | Ja | Ja | Ja | Ja | Ja | No |
Squid (Common) | Ja | Keine | Ja | Ja | Ja | No |
Squid (Native) | Ja | Keine | Ja | Ja | Nr. | No |
Stormshield | No | Ja | Ja | Ja | Ja | Ja |
Wandera | Ja | Ja | Ja | Ja | Ja | Ja |
WatchGuard | Ja | Ja | Ja | Ja | Ja | Ja |
Websense – Internetaktivitätsprotokoll (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
Websense – investigativer detaillierter Bericht (CSV) | Ja | Ja | Ja | Ja | Ja | Ja |
Zscaler | Ja | Ja | Ja | Ja | Ja | Ja |
* Versionen 8.5 und höher von ForcePoint Web Security Cloud werden nicht unterstützt