Partage via


Vue d’ensemble de la découverte d’applications cloud

Cloud Discovery analyse vos journaux de trafic par rapport au catalogue Microsoft Defender for Cloud Apps de plus de 31 000 applications cloud. Les applications sont classées et notées en fonction de plus de 90 facteurs de risque afin de vous offrir une visibilité continue de l’utilisation du cloud, de l’informatique fantôme et du risque que représente l’informatique fantôme dans votre organization.

Conseil

Par défaut, Defender for Cloud Apps ne peuvent pas découvrir les applications qui ne figurent pas dans le catalogue.

Pour afficher Defender for Cloud Apps données d’une application qui ne figure pas actuellement dans le catalogue, nous vous recommandons d’case activée notre feuille de route) ou de créer une application personnalisée.

Rapports d’instantané et d’évaluation continue des risques

Vous pouvez générer les types de rapports suivants :

  • Rapports d’instantané : fournit une visibilité ad hoc sur un ensemble sur les journaux de trafic que vous chargez manuellement à partir de vos pare-feu et proxys.

  • Rapports continus : analysez tous les journaux qui sont transférés à partir de votre réseau à l’aide de Defender for Cloud Apps. Ils offrent une meilleure visibilité sur toutes les données et identifient automatiquement les utilisations anormales à l’aide du moteur de détection d’anomalies Machine Learning ou à l’aide de stratégies personnalisées que vous définissez. Ces rapports peuvent être créés en se connectant des manières suivantes :

    • intégration Microsoft Defender pour point de terminaison : Defender for Cloud Apps s’intègre à Defender pour point de terminaison en mode natif, afin de simplifier le déploiement de la découverte du cloud, d’étendre les fonctionnalités de découverte du cloud au-delà de votre réseau d’entreprise et d’activer l’investigation basée sur l’ordinateur.
    • Collecteur de journaux : les collecteurs de journaux vous permettent d’automatiser facilement le chargement des journaux à partir de votre réseau. Le collecteur de journaux fonctionne sur votre réseau et reçoit les journaux par Syslog ou FTP.
    • Passerelle web sécurisée (SWG) : si vous utilisez à la fois Defender for Cloud Apps et l’un des groupes de sécurité suivants, vous pouvez intégrer les produits pour améliorer votre expérience de découverte cloud de sécurité. Ensemble, les Defender for Cloud Apps et les groupes de sécurité fournissent un déploiement transparent de la découverte du cloud, le blocage automatique des applications non approuvées et l’évaluation des risques directement dans le portail du SWG.
  • API de découverte du cloud : utilisez l’API de découverte cloud Defender for Cloud Apps pour automatiser le chargement du journal du trafic et obtenir un rapport de découverte du cloud automatisé et une évaluation des risques. Vous pouvez également utiliser l’API pour générer des scripts de bloc et simplifier les contrôles d’application directement sur votre appareil de réseau.

Flux de processus de journalisation : des données brutes à l’évaluation des risques

Le processus de génération d’une évaluation des risques se compose des étapes suivantes. Le processus prend entre quelques minutes et plusieurs heures en fonction de la quantité de données traitées.

  • Chargement : les journaux du trafic web à partir de votre réseau sont chargés sur le portail.

  • Analyser : Defender for Cloud Apps analyse et extrait les données de trafic des journaux de trafic avec un analyseur dédié pour chaque source de données.

  • Analyser : les données de trafic sont analysées par rapport au catalogue d’applications cloud pour identifier plus de 31 000 applications cloud et évaluer leur score de risque. Les utilisateurs actifs et les adresses IP sont également identifiés dans le cadre de l’analyse.

  • Générer un rapport : un rapport d’évaluation des risques des données extraites des fichiers journaux est généré.

Remarque

Les données de découverte sont analysées et mises à jour quatre fois par jour.

Pare-feu et proxys pris en charge

  • Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG - Journal d’accès (W3C)
  • Check Point
  • Cisco ASA avec FirePOWER
  • Pare-feu Cisco ASA (pour les pare-feu Cisco ASA, il est nécessaire de définir le niveau d’informations sur 6)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – Journal des URL
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Point de force
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Pare-feu de la série Palo Alto
  • Sonicwall (anciennement Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Calmar (commun)
  • Calmar (natif)
  • Stormshield
  • Wandera
  • WatchGuard
  • WebSense - Web Security Solutions - Journal d’activité Internet (CEF)
  • WebSense - Solutions de sécurité web - Rapport détaillé d’investigation (CSV)
  • Zscaler

Remarque

Cloud Discovery prend en charge les adresses IPv4 et IPv6.

Si votre journal n’est pas pris en charge, ou si vous utilisez un format de journal nouvellement publié à partir de l’une des sources de données prises en charge et que le chargement échoue, sélectionnez Autrecomme source de données et spécifiez les Appliance et le journal que vous essayez de charger. Votre journal sera examiné par l’équipe d’analystes cloud Defender for Cloud Apps et vous serez averti si la prise en charge de votre type de journal est ajoutée. Vous pouvez également définir un analyseur personnalisé qui correspond à votre format. Pour plus d’informations, consultez Utiliser un analyseur de journal personnalisé.

Remarque

La liste suivante des appliances prises en charge peut ne pas fonctionner avec les formats de journal nouvellement publiés. Si vous utilisez un format nouvellement publié et que le chargement échoue, utilisez un analyseur de journal personnalisé et, si nécessaire, ouvrez un cas de support. Si vous ouvrez un cas de support, veillez à fournir la documentation de pare-feu appropriée avec votre cas.

Attributs de données (selon la documentation du fournisseur) :

Source de données URL de l’application cible Adresse IP de l’application cible Nom d’utilisateur Adresse IP d’origine Trafic total Octets chargés
Barracuda Oui Oui Oui Oui Non Non
Manteau bleu Oui Non Oui Oui Oui Oui
Check Point Non Oui Non Oui Non Non
Cisco ASA (Syslog) Non Oui Non Oui Oui Non
Cisco ASA avec FirePOWER Oui Oui Oui Oui Oui Oui
Cisco Cloud Web Security Oui Oui Oui Oui Oui Oui
Cisco FWSM Non Oui Non Oui Oui Non
Cisco Ironport WSA Oui Oui Oui Oui Oui Oui
Cisco Meraki Oui Oui Non Oui Non Non
Clavister NGFW (Syslog) Oui Oui Oui Oui Oui Oui
ContentKeeper Oui Oui Oui Oui Oui Oui
Corrata Oui Oui Oui Oui Oui Oui
Digital Arts i-FILTER Oui Oui Oui Oui Oui Oui
ForcePoint LEEF Oui Oui Oui Oui Oui Oui
ForcePoint Web Security Cloud* Oui Oui Oui Oui Oui Oui
Fortinet Fortigate Non Oui Oui Oui Oui Oui
FortiOS Oui Oui Non Oui Oui Oui
iboss Oui Oui Oui Oui Oui Oui
Juniper SRX Non Oui Non Oui Oui Oui
Juniper SSG Non Oui Oui Oui Oui Oui
McAfee SWG Oui Non Non Oui Oui Oui
Menlo Security (CEF) Oui Oui Oui Oui Oui Oui
MS TMG Oui Non Oui Oui Oui Oui
Open Systems Secure Web Gateway Oui Oui Oui Oui Oui Oui
Réseaux Palo Alto Non Oui Oui Oui Oui Oui
SonicWall (anciennement Dell) Oui Oui Non Oui Oui Oui
Sophos Oui Oui Oui Oui Oui Non
Calmar (commun) Oui Non Oui Oui Oui Non
Calmar (natif) Oui Non Oui Oui Non Non
Stormshield Non Oui Oui Oui Oui Oui
Wandera Oui Oui Oui Oui Oui Oui
WatchGuard Oui Oui Oui Oui Oui Oui
WebSense - Journal d’activité Internet (CEF) Oui Oui Oui Oui Oui Oui
WebSense - Rapport de détails d’investigation (CSV) Oui Oui Oui Oui Oui Oui
Zscaler Oui Oui Oui Oui Oui Oui

* Les versions 8.5 et ultérieures de ForcePoint Web Security Cloud ne sont pas prises en charge

Étapes suivantes