Configurare Cloud Discovery

Cloud Discovery analizza i log del traffico rispetto al catalogo delle app di Microsoft Defender per il cloud di oltre 31.000 app cloud. Le app vengono classificate e classificate in base a più di 90 fattori di rischio per offrire visibilità continuativa sull'uso del cloud, shadow IT e sul rischio che Shadow IT pone nell'organizzazione.

Suggerimento

Per impostazione predefinita, Defender per il cloud App non è in grado di individuare le app che non sono presenti nel catalogo.

Per visualizzare i dati delle app Defender per il cloud per un'app attualmente non presente nel catalogo, è consigliabile controllare la roadmap o creare un'app personalizzata.

Report relativi a snapshot e alla valutazione continua dei rischi

È possibile generare i tipi di report seguenti:

  • Report snapshot: offrono una visibilità ad hoc su un insieme di log di traffico che vengono caricati manualmente dai firewall e dai proxy.

  • Report continui: analizzare tutti i log inoltrati dalla rete usando Defender per il cloud App. Offrono una maggiore visibilità su tutti i dati e identificano automaticamente l'uso anomalo mediante il motore di rilevamento anomalie di Machine Learning o usando criteri personalizzati definiti dall'utente. Questi report possono essere creati connettendosi nei modi seguenti:

  • API di Cloud Discovery: usare l'API cloud Discovery per le app Defender per il cloud per automatizzare il caricamento dei log del traffico e ottenere report e valutazione dei rischi automatizzati di Cloud Discovery. È anche possibile usare l'API per generare script di blocco e semplificare i controlli delle app direttamente nell'appliance di rete.

Flusso del processo di log: dai dati non elaborati alla valutazione dei rischi

Il processo di generazione di una valutazione dei rischi è costituito dai passaggi seguenti. Il processo richiede da pochi minuti a diverse ore a seconda della quantità di dati elaborati.

  • Caricare: i log del traffico Web dalla rete vengono caricati nel portale.

  • Analizza: Defender per il cloud App analizza ed estrae i dati del traffico dai log del traffico con un parser dedicato per ogni origine dati.

  • Analizza : i dati sul traffico vengono analizzati in base al Catalogo app cloud per identificare più di 31.000 app cloud e valutare il punteggio di rischio. Anche gli utenti attivi e gli indirizzi IP vengono identificati come parte dell'analisi.

  • Generare report: viene generato un report di valutazione dei rischi dei dati estratti dai file di log.

Nota

I dati di individuazione vengono analizzati e aggiornati quattro volte al giorno.

Firewall e proxy supportati

  • Barracuda - Firewall dell'app Web (W3C)
  • Blue Coat Proxy SG - Log di accesso (W3C)
  • Punto di controllo
  • Cisco ASA con FirePOWER
  • Firewall ASA Cisco (per i firewall ASA Cisco è necessario impostare il livello di informazioni su 6)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Merkai - Log di URL
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Firewall Palo Alto
  • SonicWall (noto in precedenza come Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (Comune)
  • Squid (Nativo)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense - Soluzioni per la sicurezza Web - Log delle attività Internet (CEF)
  • Websense - Soluzioni per la sicurezza Web - Report dettagliato sulle analisi (CSV)
  • Zscaler

Nota

Cloud Discovery supporta sia gli indirizzi IPv4 sia IPv6.

Se il log non è supportato o se si usa un formato di log appena rilasciato da una delle origini dati supportate e il caricamento ha esito negativo, selezionare Altro come origine dati e specificare l'appliance e il log da caricare. Il log verrà esaminato dal team di analista cloud di Defender per il cloud app e si riceverà una notifica se viene aggiunto il supporto per il tipo di log. In alternativa, è possibile definire un parser personalizzato corrispondente al formato in uso. Per altre informazioni, vedere Uso del parser di log personalizzato.

Nota

L'elenco seguente di appliance supportate potrebbe non funzionare con i nuovi formati di log rilasciati. Se si usa un formato appena rilasciato e il caricamento non riesce, usare un parser di log personalizzato e, se necessario, aprire un caso di supporto. Se si apre un caso di supporto, assicurarsi di fornire la documentazione del firewall pertinente nel caso in uso.

Attributi dei dati (in base alla documentazione del fornitore):

Origine dati URL di destinazione dell'app IP di destinazione dell'app Username ID di origine Traffico totale Byte caricati
Barracuda No No
Blue Coat No
Punto di controllo No No No No
Cisco ASA (Syslog) No No No
Cisco ASA con FirePOWER
Cisco Cloud Web Security
Cisco FWSM No No No
Cisco Ironport WSA
Cisco Meraki No No No
Clavister NGFW (Syslog)
ContentKeeper
Corrata
Digital Arts i-FILTER
ForcePoint L edizione Enterprise F
ForcePoint Web Security Cloud*
Fortinet Fortigate No
FortiOS No
iboss
Juniper SRX No No
Juniper SSG No
McAfee SWG No No
Menlo Security (CEF)
MS TMG No
Open Systems Secure Web Gateway
Palo Alto Networks No
SonicWall (noto in precedenza come Dell) No
Sophos No
Squid (Comune) No No
Squid (Nativo) No No No
Stormshield No
Wandera
WatchGuard
Websense - Log attività Internet (CEF)
Websense - Report di dettaglio indagine (CSV)
Zscaler

* Le versioni 8.5 e successive di ForcePoint Web Security Cloud non sono supportate

Passaggi successivi