Einrichten von Cloud Discovery

Cloud Discovery analysiert Ihre Datenverkehrsprotokolle mit dem Defender for Cloud Apps-Katalog von mehr als 31.000 Cloud-Apps. Die Apps werden nach über 90 Risikofaktoren bewertet, damit Sie laufenden Einblick in die Nutzung der Cloud, die Schatten-IT und die Risiken haben, die die Schatten-IT für Ihre Organisation darstellt.

Tipp

Standardmäßig kann Defender for Cloud Apps keine Apps ermitteln, die sich nicht im Katalog befinden.

Um Defender for Cloud Apps-Daten für eine App anzuzeigen, die sich derzeit nicht im Katalog befindet, empfehlen wir, unsere Roadmap zu überprüfen, eine neue App vorzuschlagen oder eine benutzerdefinierte App zu erstellen.

Berichte zu Momentaufnahmen und kontinuierlichen Risikobewertungen

Sie können die folgenden Arten von Berichten generieren:

  • Momentaufnahmeberichte bieten Ad-Hoc-Sichtbarkeit für mehrere Datenverkehrsprotokolle, die Sie manuell von Ihren Firewalls und Proxys hochladen.

  • Fortlaufende Berichte analysieren alle Protokolle, die aus Ihrem Netzwerk mit Defender for Cloud Apps weitergeleitet werden. Sie bieten einen besseren Überblick über alle Daten und identifizieren automatisch anomale Nutzung entweder mit Hilfe der Machine Learning Engine zur Erkennung von Anomalien oder mit Hilfe von benutzerdefinierten Richtlinien, die Sie definieren. Diese Berichte können durch eine Verbindung auf folgende Weise erstellt werden:

    • Integration von Microsoft Defender for Endpoint: Defender for Cloud Apps lässt sich nativ in Microsoft Defender for Endpoint integrieren, um das Rollout von Cloud Discovery zu vereinfachen, Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus zu erweitern und maschinenbasierte Untersuchung zu ermöglichen.
    • Protokollsammler: Mit Protokollsammlern können Sie den Protokollupload aus Ihrem Netzwerk komfortabel automatisieren. Der Protokollsammler läuft auf Ihrem Netzwerk und erhält Protokolle über Syslog oder FTP.
    • Secure Web Gateway (SWG): Wenn Sie sowohl Defender for Cloud Apps als auch eines der folgenden SWGs verwenden, können Sie die Produkte integrieren, um die Sicherheitsfunktionalität von Cloud Discovery zu verbessern. Zusammen ermöglichen Defender for Cloud Apps und SWGs eine nahtlose Bereitstellung von Cloud Discovery, die automatische Blockierung nicht sanktionierter Apps sowie die Risikobewertungen direkt im SWG-Portal.
  • Cloud Discovery API – Verwenden Sie die Defender for Cloud Apps Cloud Discovery-API, um den Hochladen von Datenverkehrsprotokollen zu automatisieren und einen automatischen Cloud Discovery-Bericht und eine Risikobewertung zu erstellen. Sie können die API auch verwenden, um Blockskripte zu generieren und die Steuerung von Anwendungen direkt auf Ihrer Netzwerk-Appliance zu optimieren.

Protokollprozessfluss: Von Rohdaten zur Risikobewertung

Der Prozess der Generierung einer Risikobewertung besteht aus den folgenden Schritten. Der Vorgang dauert je nach der Menge der verarbeiteten Daten zwischen einigen Minuten und mehreren Stunden.

  • Hochladen – Webverkehrsprotokolle aus Ihrem Netzwerk werden auf das Portal hochgeladen.

  • Parsen – Defender for Cloud Apps analysiert und extrahiert Datenverkehrsdaten aus den Datenverkehrsprotokollen mit einem dedizierten Parser für jede Datenquelle.

  • Analysieren: Datenverkehrsdaten werden anhand des Cloud-App-Katalogs analysiert, um mehr als 31.000 Cloud-Apps zu identifizieren und eine Risikoeinstufung vorzunehmen. Aktive Benutzer und IP-Adressen werden auch als Teil der Analyse identifiziert.

  • Bericht erstellen – Es wird ein Risikobewertungsbericht der Daten generiert, die aus Protokolldateien extrahiert wurden.

Hinweis

Discovery-Daten werden viermal täglich analysiert und aktualisiert.

Unterstützte Firewalls und Proxys

  • Barracuda – Web-App-Firewall (W3C)
  • Blue Coat Proxy SG – Zugriffsprotokoll (W3C)
  • Check Point
  • Cisco ASA mit FirePOWER
  • Cisco ASA-Firewall (für Cisco ASA-Firewalls ist es erforderlich, die Informationsebene auf 6 festzulegen)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URLs log
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto series Firewall
  • SonicWall (früher Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (Common)
  • Squid (Native)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense – Web Security Solutions – Internetaktivitätsprotokoll (CEF)
  • Websense – Web Security Solutions – Detailbericht (CSV)
  • Zscaler

Hinweis

Cloud Discovery unterstützt IPv4- und IPv6-Adressen.

Wenn Ihr Protokoll nicht unterstützt wird oder Sie ein neu veröffentlichtes Protokollformat aus einer der unterstützten Datenquellen verwenden und der Hochladen fehlschlägt, wählen Sie Sonstige als Datenquelle aus und geben Sie die Anwendung und das Protokoll an, das Sie hochladen möchten. Ihr Protokoll wird vom Cloudanalystenteam von Defender for Cloud Apps überprüft, und Sie werden benachrichtigt, wenn die Unterstützung für Ihren Protokolltyp hinzugefügt wird. Alternativ können Sie einen benutzerdefinierten Parser definieren, der mit Ihrem Format übereinstimmt. Weitere Informationen finden Sie unter Use a custom log parser (Verwenden eines benutzerdefinierten Protokollparsers).

Hinweis

Die folgende Liste der unterstützten Anwendung funktioniert möglicherweise nicht mit neu veröffentlichten Protokollformaten. Wenn Sie ein neu veröffentlichtes Format verwenden und der Hochladen fehlschlägt, verwenden Sie einen benutzerdefinierten Protokollparserund öffnen Sie bei Bedarf einen Supportfall. Wenn Sie einen Supportfall öffnen, stellen Sie sicher, dass Sie die entsprechende Firewalldokumentation für Ihren Fall bereitstellen.

Datenattribute (gemäß der Dokumentation des Anbieters):

Datenquelle Ziel-App-URL Ziel-App-IP-Adresse Username Ursprungs-IP-Adresse Gesamter Datenverkehr Hochgeladene Bytes
Barracuda Ja Ja Ja Ja Nein Nein
Blue Coat Ja Keine Ja Ja Ja Ja
Check Point Nein Ja Keine Ja Nein Nein
Cisco ASA (Syslog) Nein Ja Keine Ja Ja Nein
Cisco ASA mit FirePOWER Ja Ja Ja Ja Ja Ja
Cisco Cloud Web Security Ja Ja Ja Ja Ja Ja
Cisco FWSM Nein Ja Keine Ja Ja Nein
Cisco Ironport WSA Ja Ja Ja Ja Ja Ja
Cisco Meraki Ja Ja Keine Ja Nein Nein
Clavister NGFW (Syslog) Ja Ja Ja Ja Ja Ja
ContentKeeper Ja Ja Ja Ja Ja Ja
Corrata Ja Ja Ja Ja Ja Ja
Digital Arts i-FILTER Ja Ja Ja Ja Ja Ja
ForcePoint LEEF Ja Ja Ja Ja Ja Ja
ForcePoint Web Security Cloud* Ja Ja Ja Ja Ja Ja
Fortinet Fortigate Nein Ja Ja Ja Ja Ja
FortiOS Ja Ja Keine Ja Ja Ja
iboss Ja Ja Ja Ja Ja Ja
Juniper SRX Nein Ja Keine Ja Ja Ja
Juniper SSG Nein Ja Ja Ja Ja Ja
McAfee SWG Ja Nein Nein Ja Ja Ja
Menlo Security (CEF) Ja Ja Ja Ja Ja Ja
MS TMG Ja Keine Ja Ja Ja Ja
Open Systems Secure Web Gateway Ja Ja Ja Ja Ja Ja
Palo Alto Networks Nein Ja Ja Ja Ja Ja
SonicWall (früher Dell) Ja Ja Keine Ja Ja Ja
Sophos Ja Ja Ja Ja Ja Nein
Squid (Common) Ja Keine Ja Ja Ja Nein
Squid (Native) Ja Keine Ja Ja Nein Nein
Stormshield Nein Ja Ja Ja Ja Ja
Wandera Ja Ja Ja Ja Ja Ja
WatchGuard Ja Ja Ja Ja Ja Ja
Websense – Internetaktivitätsprotokoll (CEF) Ja Ja Ja Ja Ja Ja
Websense – investigativer detaillierter Bericht (CSV) Ja Ja Ja Ja Ja Ja
Zscaler Ja Ja Ja Ja Ja Ja

* Versionen 8.5 und höher von ForcePoint Web Security Cloud werden nicht unterstützt

Nächste Schritte