Megosztás a következőn keresztül:


A felhőalkalmazások felderítése – áttekintés

A felhőfelderítés több mint 31 000 felhőalkalmazás Felhőhöz készült Microsoft Defender Apps-katalógusában elemzi a forgalmi naplókat. Az alkalmazások rangsorolása és pontszáma több mint 90 kockázati tényező alapján van megosztva, hogy folyamatos betekintést biztosítson a felhőhasználatba, az árnyék informatikába és a szervezetre nézve felmerülő kockázatba.

Tipp.

Alapértelmezés szerint Felhőhöz készült Defender alkalmazások nem tudják felderíteni a katalógusban nem szereplő alkalmazásokat.

A katalógusban jelenleg nem szereplő alkalmazások Felhőhöz készült Defender Alkalmazások adatainak megtekintéséhez javasoljuk, hogy tekintse meg az ütemtervet, vagy hozzon létre egy egyéni alkalmazást.

Pillanatkép- és folyamatos kockázatbecslési jelentések

A következő típusú jelentéseket hozhatja létre:

  • Pillanatkép-jelentések – Alkalmi láthatóságot biztosít a tűzfalakról és proxykról manuálisan feltöltött forgalmi naplókon.

  • Folyamatos jelentések – Elemezheti a hálózatról a Felhőhöz készült Defender Apps használatával továbbított összes naplót. Ezek a jelentések átláthatóbb képet adnak az összes adatról, és vagy a gépi tanulást alkalmazó anomáliadetektálási motorral, vagy az Ön által meghatározott egyéni szabályzatok segítségével automatikusan azonosítják a rendellenes használatot. Ezek a jelentések a következő módokon hozhatók létre:

    • Végponthoz készült Microsoft Defender integráció: a Felhőhöz készült Defender Alkalmazások natív módon integrálhatók a Defender for Endpoint szolgáltatással, így egyszerűbbé válik a felhőfelderítés bevezetése, kibővíthetőek a felhőfelderítési képességek a vállalati hálózaton túl, és lehetővé teszik a gépalapú vizsgálatot.
    • Naplógyűjtő: A naplógyűjtők segítségével egyszerűen automatizálhatja a naplófeltöltést a hálózatról. A naplógyűjtő a hálózaton fut, a naplókat pedig a Syslog vagy FTP segítségével fogadja.
    • Biztonságos webátjáró (SWG):Ha Felhőhöz készült Defender-alkalmazásokkal és az alábbi SWG-k egyikével is dolgozik, integrálhatja a termékeket a biztonsági felhőfelderítési élmény fokozása érdekében. Az Felhőhöz készült Defender Alkalmazások és SWG-k együttesen biztosítják a felhőfelderítés zökkenőmentes üzembe helyezését, a nem felügyelt alkalmazások automatikus blokkolását és a kockázatértékelést közvetlenül az SWG portálján.
  • Felhőfelderítési API – A Felhőhöz készült Defender Apps felhőfelderítési API-val automatizálhatja a forgalmi naplók feltöltését, és automatikus felhőfelderítési jelentést és kockázatértékelést kaphat. Az API-val blokkszkripteket is létrehozhat, és egyszerűsítheti az alkalmazásvezérlőket közvetlenül a hálózati berendezésen.

A naplózás folyamata: a nyers adatoktól a kockázatbecslésig

A kockázatértékelés létrehozásának folyamata a következő lépésekből áll. A folyamat a feldolgozott adatok mennyiségétől függően néhány perctől több óráig tart.

  • Feltöltés – A hálózatra vonatkozó webforgalomnaplók feltöltése a portálra.

  • Elemzés – Felhőhöz készült Defender Alkalmazások elemezik és kinyerik a forgalmi adatokat a forgalmi naplókból egy dedikált elemzővel minden adatforráshoz.

  • Elemzés – A forgalmi adatok elemzése a felhőalkalmazás-katalógusban történik több mint 31 000 felhőalkalmazás azonosításához és a kockázati pontszámuk felméréséhez. Az elemzés részeként a rendszer azonosítja az aktív felhasználókat és az IP-címeket is.

  • Jelentés létrehozása – Létrejön egy kockázatbecslési jelentés a naplófájlokból kinyert adatokkal.

Feljegyzés

A felderítési adatok naponta négyszer kerülnek elemzésre és frissítésre.

Támogatott tűzfalak és proxyk

  • Barracuda – webalkalmazás-tűzfal (W3C)
  • Blue Coat Proxy SG – Hozzáférési napló (W3C)
  • Ellenőrzőpont
  • Cisco ASA és FirePOWER
  • Cisco ASA tűzfal (Cisco ASA tűzfalak esetén az információs szintet 6-ra kell állítani)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URL-napló
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto series tűzfal
  • Sonicwall (korábbi nevén Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (Common)
  • Squid (Native)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense - Web Security Solutions - internetes tevékenységnapló (CEF)
  • Websense - Web Security Solutions - részletes nyomozási jelentés (CSV)
  • Zscaler

Feljegyzés

A felhőfelderítés az IPv4- és az IPv6-címeket is támogatja.

Ha a napló nem támogatott, vagy ha az egyik támogatott adatforrásból származó, újonnan kiadott naplóformátumot használ, és a feltöltés sikertelen, válassza az Egyéb lehetőséget adatforrásként, és adja meg a feltölteni kívánt berendezést és naplót. A naplót a Felhőhöz készült Defender Apps felhőelemző csapata fogja áttekinteni, és értesítést kap arról, hogy a naplótípus támogatása fel van-e véve. Ezen kívül definiálhat a formátumnak megfelelő egyéni elemzőt is. További információ: Egyéni naplóelemző használata.

Feljegyzés

Előfordulhat, hogy a támogatott berendezések alábbi listája nem működik az újonnan kiadott naplóformátumokkal. Ha újonnan kiadott formátumot használ, és a feltöltés sikertelen, használjon egyéni naplóelemzőt , és szükség esetén nyisson meg egy támogatási esetet. Ha támogatási esetet nyit meg, mindenképpen adja meg a megfelelő tűzfaldokumentációt az esethez.

Adatattribútumok (a gyártó dokumentációja alapján):

Adatforrás Célalkalmazás URL-címe Célalkalmazás IP-címe Felhasználónév Forrás IP-cím Teljes forgalom Feltöltött bájtok
Barracuda Igen Igen Igen Igen Nem Nem
Blue Coat Igen Nem Igen Igen Igen Igen
Ellenőrzőpont Nem Igen Nem Igen Nem Nem
Cisco ASA (Syslog) Nem Igen Nem Igen Igen Nem
Cisco ASA és FirePOWER Igen Igen Igen Igen Igen Igen
Cisco Cloud Web Security Igen Igen Igen Igen Igen Igen
Cisco FWSM Nem Igen Nem Igen Igen Nem
Cisco IronPort WSA Igen Igen Igen Igen Igen Igen
Cisco Meraki Igen Igen Nem Igen Nem Nem
Clavister NGFW (Syslog) Igen Igen Igen Igen Igen Igen
ContentKeeper Igen Igen Igen Igen Igen Igen
Corrata Igen Igen Igen Igen Igen Igen
Digital Arts i-FILTER Igen Igen Igen Igen Igen Igen
ForcePoint LEEF Igen Igen Igen Igen Igen Igen
ForcePoint Web Security Cloud* Igen Igen Igen Igen Igen Igen
Fortinet Fortigate Nem Igen Igen Igen Igen Igen
FortiOS Igen Igen Nem Igen Igen Igen
iboss Igen Igen Igen Igen Igen Igen
Juniper SRX Nem Igen Nem Igen Igen Igen
Juniper SSG Nem Igen Igen Igen Igen Igen
McAfee SWG Igen Nem Nem Igen Igen Igen
Menlo Security (CEF) Igen Igen Igen Igen Igen Igen
MS TMG Igen Nem Igen Igen Igen Igen
Open Systems Secure Web Gateway Igen Igen Igen Igen Igen Igen
Palo Alto Hálózatok Nem Igen Igen Igen Igen Igen
SonicWall (korábbi nevén Dell) Igen Igen Nem Igen Igen Igen
Sophos Igen Igen Igen Igen Igen Nem
Squid (Common) Igen Nem Igen Igen Igen Nem
Squid (Native) Igen Nem Igen Igen Nem Nem
Stormshield Nem Igen Igen Igen Igen Igen
Wandera Igen Igen Igen Igen Igen Igen
WatchGuard Igen Igen Igen Igen Igen Igen
Websense – internetes tevékenységnapló (CEF) Igen Igen Igen Igen Igen Igen
Websense – részletes nyomozási jelentés (CSV) Igen Igen Igen Igen Igen Igen
Zscaler Igen Igen Igen Igen Igen Igen

* A ForcePoint Web Security Cloud 8.5-ös és újabb verziói nem támogatottak

Következő lépések