Configurer Cloud Discovery
Cloud Discovery analyse vos journaux de trafic par rapport au catalogue Microsoft Defender for Cloud Apps de plus de 31 000 logiciels cloud. Les applis sont classées et évaluées selon plus de 90 facteurs de risque, afin de vous offrir une visibilité en continu de l’utilisation du cloud, de l’informatique fantôme et du risque que cette dernière représente pour votre organisation.
Conseil
Par défaut, Defender for Cloud Apps ne peut pas découvrir les applications qui ne figurent pas dans le catalogue.
Pour consulter les données de Defender for Cloud Apps pour une application qui n'est pas actuellement dans le catalogue, nous vous recommandons de consulter notre feuille de route ou de créer une application personnalisée.
Rapports d’instantané et d’évaluation continue des risques
Vous pouvez générer les types de rapports suivants :
Rapports d’instantanés : ils fournissent une visibilité ad hoc sur un ensemble de journaux de trafic que vous chargez manuellement à partir de vos pare-feu et proxys.
Rapports continus : ils analysent tous les journaux transférés à partir de votre réseau à l’aide de Cloud App Security. Ils offrent une meilleure visibilité sur toutes les données et identifient automatiquement les utilisations anormales à l’aide du moteur de détection d’anomalies Machine Learning ou à l’aide de stratégies personnalisées que vous définissez. Ces rapports peuvent être créés en se connectant des manières suivantes :
- Intégration à Microsoft Defender for Endpoint : Microsoft Defender for Cloud Apps s’intègre à Microsoft Defender for Endpoint en mode natif, pour simplifier le déploiement de Cloud Discovery, étendre les capacités de Cloud Discovery au-delà de votre réseau d’entreprise et permettre l’examen basé sur les machines.
- Collecteur de journaux : les collecteurs de journaux vous permettent d’automatiser facilement le chargement manuel des journaux de votre réseau. Le collecteur de journaux fonctionne sur votre réseau et reçoit les journaux par Syslog ou FTP.
- Passerelle Web sécurisé (SWG) : Si vous utilisez Defender for Cloud Apps et l’une des passerelles web sécurisées (SWG) suivantes, vous pouvez intégrer les produits pour améliorer votre expérience Cloud Discovery de sécurité. Ensemble, Defender for Cloud Apps et les SWG offrent un déploiement fluide de Cloud Discovery, le blocage automatique des applications non approuvées et l’évaluation des risques directement dans le portail des SWG.
API Cloud Discovery : utilisez l’API Cloud Discovery de Defender for Cloud Apps pour automatiser le chargement du journal du trafic et générer un rapport Cloud Discovery automatisé et une évaluation des risques. Vous pouvez également utiliser l’API pour générer des scripts de bloc et simplifier les contrôles d’application directement sur votre appareil de réseau.
Flux de processus de journalisation : des données brutes à l’évaluation des risques
Le processus de génération d’une évaluation des risques se compose des étapes suivantes. Le processus prend entre quelques minutes et plusieurs heures en fonction de la quantité de données traitées.
Chargement : Les journaux de trafic web de votre réseau sont chargés vers le portail.
Analyse des données de trafic : Defender for Cloud Apps analyse et extrait les données de trafic des journaux de trafic avec un analyseur dédié pour chaque source de données.
Analyse par rapport au catalogue d’applications cloud : les données de trafic sont analysées par rapport au catalogue d’applications cloud dans le but d’identifier plus de 31 000 applications cloud et d’évaluer leur score de risque. Les utilisateurs actifs et les adresses IP sont également identifiés dans le cadre de l’analyse.
Générer un rapport : Un rapport d’évaluation des risques sur les données extraites des fichiers journaux est généré.
Remarque
Les données de découverte sont analysées et mises à jour quatre fois par jour.
Pare-feu et proxys pris en charge
- Barracuda - Web Application Firewall (W3C)
- Blue Coat Proxy SG - Journal d’accès (W3C)
- Check Point
- Cisco ASA avec FirePOWER
- Pare-feu Cisco ASA (pour les pare-feu Cisco ASA, il est nécessaire de définir le niveau d’informations sur 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – Journal des URL
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Pare-feu de la série Palo Alto
- SonicWall (anciennement Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (commun)
- Squid (natif)
- Stormshield
- Wandera
- WatchGuard
- Websense - Solutions de sécurité web - Journal d’activité Internet (CEF)
- Websense - Solutions de sécurité web - Rapport détaillé d’investigation (CSV)
- Zscaler
Remarque
Cloud Discovery prend en charge les adresses IPv4 et IPv6.
Si votre journal n’est pas pris en charge ou si vous utilisez un format de journal nouvellement publié à partir d’une des sources de données prises en charge et que le chargement échoue, sélectionnez Autre comme source de données et spécifiez l’appliance et le journal que vous essayez de charger. Votre journal est examiné par l’équipe d’analystes du cloud de Defender for Cloud Apps et vous êtes averti si la prise en charge de votre type de journal est ajoutée. Vous pouvez également définir un analyseur personnalisé qui correspond à votre format. Pour plus d’informations, consultez Utiliser un analyseur de journaux personnalisé.
Remarque
La liste suivante des appliances prises en charge peut ne pas fonctionner avec les formats de journal nouvellement publiés. Si vous utilisez un format nouvellement publié et que le chargement échoue, utilisez un analyseur de journal personnalisé et, si nécessaire, ouvrez un cas de support. Si vous ouvrez un dossier d'assistance, assurez-vous de fournir la documentation pertinente du pare-feu avec votre dossier.
Attributs de données (selon la documentation du fournisseur) :
| Source de données | URL de l’application cible | Adresse IP de l’application cible | Nom d’utilisateur | Adresse IP d’origine | Total du trafic | Octets chargés |
|---|---|---|---|---|---|---|
| Barracuda | Oui | Oui | Oui | Oui | No | Non |
| Blue Coat | Oui | No | Oui | Oui | Oui | Oui |
| Check Point | Non | Oui | No | Oui | No | Non |
| Cisco ASA (Syslog) | Non | Oui | No | Oui | Oui | Non |
| Cisco ASA avec FirePOWER | Oui | Oui | Oui | Oui | Oui | Oui |
| Cisco Cloud Web Security | Oui | Oui | Oui | Oui | Oui | Oui |
| Cisco FWSM | Non | Oui | No | Oui | Oui | Non |
| Cisco Ironport WSA | Oui | Oui | Oui | Oui | Oui | Oui |
| Cisco Meraki | Oui | Oui | No | Oui | No | Non |
| Clavister NGFW (Syslog) | Oui | Oui | Oui | Oui | Oui | Oui |
| ContentKeeper | Oui | Oui | Oui | Oui | Oui | Oui |
| Corrata | Oui | Oui | Oui | Oui | Oui | Oui |
| Digital Arts i-FILTER | Oui | Oui | Oui | Oui | Oui | Oui |
| ForcePoint LEEF | Oui | Oui | Oui | Oui | Oui | Oui |
| ForcePoint Web Security Cloud* | Oui | Oui | Oui | Oui | Oui | Oui |
| Fortinet Fortigate | Non | Oui | Oui | Oui | Oui | Oui |
| FortiOS | Oui | Oui | No | Oui | Oui | Oui |
| iboss | Oui | Oui | Oui | Oui | Oui | Oui |
| Juniper SRX | Non | Oui | No | Oui | Oui | Oui |
| Juniper SSG | Non | Oui | Oui | Oui | Oui | Oui |
| McAfee SWG | Oui | No | Non | Oui | Oui | Oui |
| Menlo Security (CEF) | Oui | Oui | Oui | Oui | Oui | Oui |
| MS TMG | Oui | No | Oui | Oui | Oui | Oui |
| Open Systems Secure Web Gateway | Oui | Oui | Oui | Oui | Oui | Oui |
| Palo Alto Networks | Non | Oui | Oui | Oui | Oui | Oui |
| SonicWall (anciennement Dell) | Oui | Oui | No | Oui | Oui | Oui |
| Sophos | Oui | Oui | Oui | Oui | Oui | Non |
| Squid (commun) | Oui | No | Oui | Oui | Oui | Non |
| Squid (natif) | Oui | No | Oui | Oui | No | Non |
| Stormshield | Non | Oui | Oui | Oui | Oui | Oui |
| Wandera | Oui | Oui | Oui | Oui | Oui | Oui |
| WatchGuard | Oui | Oui | Oui | Oui | Oui | Oui |
| Websense - Journal d’activité Internet (CEF) | Oui | Oui | Oui | Oui | Oui | Oui |
| Websense - Rapport d’examen détaillé (CSV) | Oui | Oui | Oui | Oui | Oui | Oui |
| Zscaler | Oui | Oui | Oui | Oui | Oui | Oui |
* Les versions 8.5 et ultérieures de ForcePoint Web Security Cloud ne sont pas prises en charge
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour