A felhőalkalmazások felderítése – áttekintés
A felhőfelderítés több mint 31 000 felhőalkalmazás Felhőhöz készült Microsoft Defender Apps-katalógusában elemzi a forgalmi naplókat. Az alkalmazások rangsorolása és pontszáma több mint 90 kockázati tényező alapján van megosztva, hogy folyamatos betekintést biztosítson a felhőhasználatba, az árnyék informatikába és a szervezetre nézve felmerülő kockázatba.
Tipp.
Alapértelmezés szerint Felhőhöz készült Defender alkalmazások nem tudják felderíteni a katalógusban nem szereplő alkalmazásokat.
A katalógusban jelenleg nem szereplő alkalmazások Felhőhöz készült Defender Alkalmazások adatainak megtekintéséhez javasoljuk, hogy tekintse meg az ütemtervet, vagy hozzon létre egy egyéni alkalmazást.
Pillanatkép- és folyamatos kockázatbecslési jelentések
A következő típusú jelentéseket hozhatja létre:
Pillanatkép-jelentések – Alkalmi láthatóságot biztosít a tűzfalakról és proxykról manuálisan feltöltött forgalmi naplókon.
Folyamatos jelentések – Elemezheti a hálózatról a Felhőhöz készült Defender Apps használatával továbbított összes naplót. Ezek a jelentések átláthatóbb képet adnak az összes adatról, és vagy a gépi tanulást alkalmazó anomáliadetektálási motorral, vagy az Ön által meghatározott egyéni szabályzatok segítségével automatikusan azonosítják a rendellenes használatot. Ezek a jelentések a következő módokon hozhatók létre:
- Végponthoz készült Microsoft Defender integráció: a Felhőhöz készült Defender Alkalmazások natív módon integrálhatók a Defender for Endpoint szolgáltatással, így egyszerűbbé válik a felhőfelderítés bevezetése, kibővíthetőek a felhőfelderítési képességek a vállalati hálózaton túl, és lehetővé teszik a gépalapú vizsgálatot.
- Naplógyűjtő: A naplógyűjtők segítségével egyszerűen automatizálhatja a naplófeltöltést a hálózatról. A naplógyűjtő a hálózaton fut, a naplókat pedig a Syslog vagy FTP segítségével fogadja.
- Biztonságos webátjáró (SWG):Ha Felhőhöz készült Defender-alkalmazásokkal és az alábbi SWG-k egyikével is dolgozik, integrálhatja a termékeket a biztonsági felhőfelderítési élmény fokozása érdekében. Az Felhőhöz készült Defender Alkalmazások és SWG-k együttesen biztosítják a felhőfelderítés zökkenőmentes üzembe helyezését, a nem felügyelt alkalmazások automatikus blokkolását és a kockázatértékelést közvetlenül az SWG portálján.
Felhőfelderítési API – A Felhőhöz készült Defender Apps felhőfelderítési API-val automatizálhatja a forgalmi naplók feltöltését, és automatikus felhőfelderítési jelentést és kockázatértékelést kaphat. Az API-val blokkszkripteket is létrehozhat, és egyszerűsítheti az alkalmazásvezérlőket közvetlenül a hálózati berendezésen.
A naplózás folyamata: a nyers adatoktól a kockázatbecslésig
A kockázatértékelés létrehozásának folyamata a következő lépésekből áll. A folyamat a feldolgozott adatok mennyiségétől függően néhány perctől több óráig tart.
Feltöltés – A hálózatra vonatkozó webforgalomnaplók feltöltése a portálra.
Elemzés – Felhőhöz készült Defender Alkalmazások elemezik és kinyerik a forgalmi adatokat a forgalmi naplókból egy dedikált elemzővel minden adatforráshoz.
Elemzés – A forgalmi adatok elemzése a felhőalkalmazás-katalógusban történik több mint 31 000 felhőalkalmazás azonosításához és a kockázati pontszámuk felméréséhez. Az elemzés részeként a rendszer azonosítja az aktív felhasználókat és az IP-címeket is.
Jelentés létrehozása – Létrejön egy kockázatbecslési jelentés a naplófájlokból kinyert adatokkal.
Feljegyzés
A felderítési adatok naponta négyszer kerülnek elemzésre és frissítésre.
Támogatott tűzfalak és proxyk
- Barracuda – webalkalmazás-tűzfal (W3C)
- Blue Coat Proxy SG – Hozzáférési napló (W3C)
- Ellenőrzőpont
- Cisco ASA és FirePOWER
- Cisco ASA tűzfal (Cisco ASA tűzfalak esetén az információs szintet 6-ra kell állítani)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URL-napló
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto series tűzfal
- Sonicwall (korábbi nevén Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense - Web Security Solutions - internetes tevékenységnapló (CEF)
- Websense - Web Security Solutions - részletes nyomozási jelentés (CSV)
- Zscaler
Feljegyzés
A felhőfelderítés az IPv4- és az IPv6-címeket is támogatja.
Ha a napló nem támogatott, vagy ha az egyik támogatott adatforrásból származó, újonnan kiadott naplóformátumot használ, és a feltöltés sikertelen, válassza az Egyéb lehetőséget adatforrásként, és adja meg a feltölteni kívánt berendezést és naplót. A naplót a Felhőhöz készült Defender Apps felhőelemző csapata fogja áttekinteni, és értesítést kap arról, hogy a naplótípus támogatása fel van-e véve. Ezen kívül definiálhat a formátumnak megfelelő egyéni elemzőt is. További információ: Egyéni naplóelemző használata.
Feljegyzés
Előfordulhat, hogy a támogatott berendezések alábbi listája nem működik az újonnan kiadott naplóformátumokkal. Ha újonnan kiadott formátumot használ, és a feltöltés sikertelen, használjon egyéni naplóelemzőt , és szükség esetén nyisson meg egy támogatási esetet. Ha támogatási esetet nyit meg, mindenképpen adja meg a megfelelő tűzfaldokumentációt az esethez.
Adatattribútumok (a gyártó dokumentációja alapján):
| Adatforrás | Célalkalmazás URL-címe | Célalkalmazás IP-címe | Felhasználónév | Forrás IP-cím | Teljes forgalom | Feltöltött bájtok |
|---|---|---|---|---|---|---|
| Barracuda | Igen | Igen | Igen | Igen | Nem | Nem |
| Blue Coat | Igen | Nem | Igen | Igen | Igen | Igen |
| Ellenőrzőpont | Nem | Igen | Nem | Igen | Nem | Nem |
| Cisco ASA (Syslog) | Nem | Igen | Nem | Igen | Igen | Nem |
| Cisco ASA és FirePOWER | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco Cloud Web Security | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco FWSM | Nem | Igen | Nem | Igen | Igen | Nem |
| Cisco IronPort WSA | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco Meraki | Igen | Igen | Nem | Igen | Nem | Nem |
| Clavister NGFW (Syslog) | Igen | Igen | Igen | Igen | Igen | Igen |
| ContentKeeper | Igen | Igen | Igen | Igen | Igen | Igen |
| Corrata | Igen | Igen | Igen | Igen | Igen | Igen |
| Digital Arts i-FILTER | Igen | Igen | Igen | Igen | Igen | Igen |
| ForcePoint LEEF | Igen | Igen | Igen | Igen | Igen | Igen |
| ForcePoint Web Security Cloud* | Igen | Igen | Igen | Igen | Igen | Igen |
| Fortinet Fortigate | Nem | Igen | Igen | Igen | Igen | Igen |
| FortiOS | Igen | Igen | Nem | Igen | Igen | Igen |
| iboss | Igen | Igen | Igen | Igen | Igen | Igen |
| Juniper SRX | Nem | Igen | Nem | Igen | Igen | Igen |
| Juniper SSG | Nem | Igen | Igen | Igen | Igen | Igen |
| McAfee SWG | Igen | Nem | Nem | Igen | Igen | Igen |
| Menlo Security (CEF) | Igen | Igen | Igen | Igen | Igen | Igen |
| MS TMG | Igen | Nem | Igen | Igen | Igen | Igen |
| Open Systems Secure Web Gateway | Igen | Igen | Igen | Igen | Igen | Igen |
| Palo Alto Hálózatok | Nem | Igen | Igen | Igen | Igen | Igen |
| SonicWall (korábbi nevén Dell) | Igen | Igen | Nem | Igen | Igen | Igen |
| Sophos | Igen | Igen | Igen | Igen | Igen | Nem |
| Squid (Common) | Igen | Nem | Igen | Igen | Igen | Nem |
| Squid (Native) | Igen | Nem | Igen | Igen | Nem | Nem |
| Stormshield | Nem | Igen | Igen | Igen | Igen | Igen |
| Wandera | Igen | Igen | Igen | Igen | Igen | Igen |
| WatchGuard | Igen | Igen | Igen | Igen | Igen | Igen |
| Websense – internetes tevékenységnapló (CEF) | Igen | Igen | Igen | Igen | Igen | Igen |
| Websense – részletes nyomozási jelentés (CSV) | Igen | Igen | Igen | Igen | Igen | Igen |
| Zscaler | Igen | Igen | Igen | Igen | Igen | Igen |
* A ForcePoint Web Security Cloud 8.5-ös és újabb verziói nem támogatottak