Utiliser un analyseur de journal personnalisé
Defender for Cloud Apps vous permet de configurer un analyseur personnalisé pour traiter le format de vos journaux afin qu’ils soient utilisables avec Cloud Discovery. En règle générale, vous utilisez un analyseur personnalisé si le pare-feu ou l’appareil n’est pas explicitement pris en charge par Defender for Cloud Apps. Il peut s’agir d’un analyseur CSV ou d’un analyseur Clé-Valeur personnalisé.
L’analyseur personnalisé vous permet d’utiliser les journaux de pare-feu non pris en charge.
Pour configurer un analyseur personnalisé :
Sur le portail Microsoft Defender XDR, sous Applications Cloud, sélectionnez Cloud Discovery>Actions>Créer un rapport d’instantané Cloud Discovery. Par exemple :
Renseignez Nom du rapport et Description
Sous Source, faites défiler jusqu’en bas et sélectionnez Format de journal personnalisé.... Par exemple :
Collectez les journaux de votre pare-feu et de votre proxy, par le biais desquels les utilisateurs de votre organisation accèdent à Internet. Veillez à collecter les journaux pendant les pics de trafic qui sont représentatifs de toutes les activités des utilisateurs au sein de votre organisation.
Ouvrez les journaux que vous voulez traiter dans un éditeur de texte. Examinez leur format pour vérifier que les noms des colonnes dans le journal correspondent aux champs de la boîte de dialogue Format de journal personnalisé.
Les champs obligatoires sont marqués d'un astérisque (*) dans la boîte de dialogue Format de journal personnalisé et doivent être présents dans les journaux dans le même ordre que dans la boîte de dialogue Format de journal personnalisé. Les journaux ne seront traités que si les champs obligatoires sont présents dans le journal. Les champs supplémentaires, qui ne sont pas utilisés par Defender for Cloud Apps, sont ignorés.
Dans la boîte de dialogue Format de journal personnalisé, renseignez les champs en fonction de vos données pour définir les colonnes dans les données à mettre en corrélation avec des champs spécifiques dans Defender for Cloud Apps. Vous devrez peut-être modifier les noms des colonnes dans votre fichier journal pour effectuer correctement la corrélation.
Remarque
Les champs respectent la casse. Vérifiez que les noms des colonnes sont identiques dans Defender for Cloud Apps et dans le fichier journal. Veillez également à ce que le format de date choisi soit le même.
Par exemple, les images suivantes montrent un exemple de fichier journal ouvert dans un éditeur de texte et la boîte de dialogue Format de journal personnalisé correspondante, renseignée.
Cliquez sur Enregistrer. Le format de journal personnalisé que vous configurez est enregistré comme analyseur personnalisé par défaut. Vous pouvez le modifier à tout moment en sélectionnant Modifier.
Sous Charger les journaux de trafic, sélectionnez le fichier journal que vous avez modifié et sélectionnez Charger les journaux pour le charger Vous pouvez charger jusqu’à 20 fichiers à la fois. Les fichiers compressés et compressés sont également pris en charge.
Une fois le chargement terminé, un message d’état s’affiche dans le coin supérieur droit de votre écran pour vous informer que le journal a été correctement chargé.
L’analyse de vos journaux prendra un peu de temps. Une bannière de notification s’affiche dans la barre d’état en haut de l’onglet Cloud Discovery > Dashboard, indiquant l’état de traitement de vos fichiers journaux. Par exemple :
Une fois le traitement de vos fichiers journaux achevé, vous recevrez un e-mail pour vous avertir que l’opération est terminée.
Affichez le rapport en sélectionnant le lien dans la barre d’état, ou sélectionnez Paramètres>Applications cloud>Cloud Discovery>Rapports d’instantanés. Sélectionnez votre rapport d’instantané pour l’ouvrir. Par exemple :
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.