Configuración de Cloud Discovery
Cloud Discovery analiza los registros de tráfico en el catálogo de Microsoft Defender for Cloud Apps de más de 31 000 aplicaciones en la nube. Las aplicaciones se clasifican y se puntúan en función de más de 90 factores de riesgo para proporcionar visibilidad continua al uso de la nube, Shadow IT y el riesgo que Shadow IT supone para la organización.
Sugerencia
De manera predeterminada, Defender for Cloud Apps no puede detectar aplicaciones que no están en el catálogo.
Para ver los datos de Defender for Cloud Apps en una aplicación que actualmente no está en el catálogo, le recomendamos que consulte nuestro plan de desarrollo o cree una aplicación personalizada.
Informes de instantáneas y evaluación de riesgos continuos
Puede generar los siguientes tipos de informes:
Informes de instantáneas: proporcionan visibilidad ad hoc de un conjunto de registros de tráfico que puede cargar manualmente desde los firewalls y los servidores proxy.
Informes continuos: analizan todos los registros que se reenvían desde la red mediante Defender for Cloud Apps. Proporcionan una visibilidad mejorada de todos los datos e identifican automáticamente el uso anómalo mediante el motor de detección de anomalías Machine Learning o mediante directivas personalizadas que defina. Estos informes se pueden crear mediante la conexión de las siguientes maneras:
- Integración de Microsoft Defender for Endpoint: Defender for Cloud Apps se integra con Defender para punto de conexión de forma nativa, para simplificar el lanzamiento de Cloud Discovery, ampliar las funcionalidades de Cloud Discovery más allá de la red corporativa y habilitar la investigación basada en máquinas.
- Recopilador de registros: los recopiladores de registros permiten automatizar fácilmente la carga de registros desde la red. El registro se ejecuta en su red y recibe registros a través de Syslog o FTP.
- Puerta de enlace web segura (SWG): si trabaja con Defender for Cloud Apps y una de las siguientes puertas de enlace web seguras (SWG), puede integrar los productos para mejorar la experiencia de seguridad de Cloud Discovery. Juntos, las aplicaciones de Defender for Cloud y las SWG proporcionan una implementación fluida de Cloud Discovery, bloqueo automático de aplicaciones no autorizadas y evaluación de riesgos directamente en el portal de las SWG.
API de Cloud Discovery: use la API de Cloud Discovery de Defender for Cloud Apps para automatizar la carga de registros de tráfico y generar un informe de Cloud Discovery automatizado y una evaluación de riesgos. También puede usar la API para generar scripts de bloqueo y simplificar los controles de aplicación directamente en el dispositivo de red.
Flujo de proceso de registro: de datos sin procesar a evaluación de riesgos
El proceso de generación de una evaluación de riesgos consta de los pasos siguientes. El proceso tarda entre unos minutos y varias horas en función de la cantidad de datos procesados.
Cargar: se cargan los registros de tráfico web de la red en el portal.
Analizar: Defender for Cloud Apps analiza y extrae los datos de tráfico de los registros de tráfico con un analizador dedicado para cada origen de datos.
Analizar: se analizan los datos de tráfico con el catálogo de aplicaciones en la nube para identificar más de 31 000 aplicaciones en la nube y evaluar su puntuación de riesgo. Los usuarios activos y las direcciones IP también se identifican como parte del análisis.
Generar informe: se genera un informe de evaluación de riesgos de los datos extraídos de los archivos de registro.
Nota:
Los datos de detección se analizan y actualizan cuatro veces al día.
Firewalls y servidores proxy compatibles
- Barracuda - Web App Firewall (W3C)
- Blue Coat Proxy SG - registros de acceso (W3C)
- Punto de comprobación
- Cisco ASA con FirePOWER
- Firewall de Cisco ASA (en el caso de los firewalls de Cisco ASA, es necesario establecer el nivel de información en 6)
- Puerta de enlace web en la nube de Cisco
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – Registro de direcciones URL
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Puerta de enlace web segura de Open Systems
- Firewalls de la serie Palo Alto
- Sonicwall (anteriormente Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense - soluciones de seguridad Web - registro de actividad de Internet (CEF)
- Websense - soluciones de seguridad Web - informe de detalle de investigación (CSV)
- Zscaler
Nota:
Cloud Discovery admite tanto direcciones IPv4 como IPv6.
Si no se admite el registro o si usa un formato de registro recién publicado de uno de los orígenes de datos admitidos y se produce un error en la carga, seleccione Otro como Origen de datos y especifique el dispositivo y el registro que intenta cargar. El equipo de analistas de la nube de Defender for Cloud Apps examinará el registro y se le notificará si se ha agregado compatibilidad con el tipo de registro. También puede definir un analizador personalizado que coincida con el formato. Para obtener más información, vea Uso del analizador de registros personalizado.
Nota:
Es posible que la siguiente lista de dispositivos compatibles no funcione con formatos de registro recién lanzados. Si usa un formato recién lanzado y se produce un error en la carga, use un analizador de registros personalizado y, si es necesario, abra un caso de soporte técnico. Si abre una incidencia de soporte técnico, facilite la documentación de firewall correspondiente.
Atributos de datos (según la documentación del proveedor):
| Origen de datos | Dirección URL de la aplicación de destino | IP de la aplicación de destino | Nombre de usuario | IP de origen | Tráfico total | Bytes cargados |
|---|---|---|---|---|---|---|
| Barracuda | Sí | Sí | Sí | Sí | No | No |
| Blue Coat | Sí | No | Sí | Sí | Sí | Sí |
| Punto de comprobación | No | Sí | No | Sí | No | No |
| Cisco ASA (Syslog) | No | Sí | No | Sí | Sí | No |
| Cisco ASA con FirePOWER | Sí | Sí | Sí | Sí | Sí | Sí |
| Puerta de enlace web en la nube de Cisco | Sí | Sí | Sí | Sí | Sí | Sí |
| Cisco FWSM | No | Sí | No | Sí | Sí | No |
| Cisco Ironport WSA | Sí | Sí | Sí | Sí | Sí | Sí |
| Cisco Meraki | Sí | Sí | No | Sí | No | No |
| Clavister NGFW (Syslog) | Sí | Sí | Sí | Sí | Sí | Sí |
| ContentKeeper | Sí | Sí | Sí | Sí | Sí | Sí |
| Corrata | Sí | Sí | Sí | Sí | Sí | Sí |
| Digital Arts i-FILTER | Sí | Sí | Sí | Sí | Sí | Sí |
| ForcePoint LEEF | Sí | Sí | Sí | Sí | Sí | Sí |
| Nube de seguridad web de ForcePoint* | Sí | Sí | Sí | Sí | Sí | Sí |
| Fortinet Fortigate | No | Sí | Sí | Sí | Sí | Sí |
| FortiOS | Sí | Sí | No | Sí | Sí | Sí |
| iboss | Sí | Sí | Sí | Sí | Sí | Sí |
| Juniper SRX | No | Sí | No | Sí | Sí | Sí |
| Juniper SSG | No | Sí | Sí | Sí | Sí | Sí |
| McAfee SWG | Sí | No | No | Sí | Sí | Sí |
| Menlo Security (CEF) | Sí | Sí | Sí | Sí | Sí | Sí |
| MS TMG | Sí | No | Sí | Sí | Sí | Sí |
| Puerta de enlace web segura de Open Systems | Sí | Sí | Sí | Sí | Sí | Sí |
| Palo Alto Networks | No | Sí | Sí | Sí | Sí | Sí |
| SonicWall (anteriormente Dell) | Sí | Sí | No | Sí | Sí | Sí |
| Sophos | Sí | Sí | Sí | Sí | Sí | No |
| Squid (Common) | Sí | No | Sí | Sí | Sí | No |
| Squid (Native) | Sí | No | Sí | Sí | No | No |
| Stormshield | No | Sí | Sí | Sí | Sí | Sí |
| Wandera | Sí | Sí | Sí | Sí | Sí | Sí |
| WatchGuard | Sí | Sí | Sí | Sí | Sí | Sí |
| Websense: registro de actividad de Internet (CEF) | Sí | Sí | Sí | Sí | Sí | Sí |
| Websense: informe de detalle de investigación (CSV) | Sí | Sí | Sí | Sí | Sí | Sí |
| Zscaler | Sí | Sí | Sí | Sí | Sí | Sí |
*No se admiten las versiones 8.5 y posteriores de la nube de seguridad web de ForcePoint.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de