Panoramica di Cloud App Discovery
Cloud Discovery analizza i log del traffico rispetto al catalogo delle app di Microsoft Defender per il cloud di oltre 31.000 app cloud. Le app vengono classificate e classificate in base a più di 90 fattori di rischio per offrire visibilità continuativa sull'uso del cloud, shadow IT e sul rischio che Shadow IT pone nell'organizzazione.
Suggerimento
Per impostazione predefinita, Defender per il cloud App non è in grado di individuare le app che non sono presenti nel catalogo.
Per visualizzare i dati delle app Defender per il cloud per un'app non attualmente presente nel catalogo, è consigliabile controllare la roadmap) o creare un'app personalizzata.
Report relativi a snapshot e alla valutazione continua dei rischi
È possibile generare i tipi di report seguenti:
Report snapshot: offrono una visibilità ad hoc su un insieme di log di traffico che vengono caricati manualmente dai firewall e dai proxy.
Report continui: analizzare tutti i log inoltrati dalla rete usando Defender per il cloud App. Offrono una maggiore visibilità su tutti i dati e identificano automaticamente l'uso anomalo mediante il motore di rilevamento anomalie di Machine Learning o usando criteri personalizzati definiti dall'utente. Questi report possono essere creati connettendosi nei modi seguenti:
- integrazione Microsoft Defender per endpoint: Defender per il cloud App si integra in modo nativo con Defender per endpoint, per semplificare l'implementazione di Cloud Discovery, estendere le funzionalità di cloud discovery oltre la rete aziendale e abilitare l'analisi basata su computer.
- Agente di raccolta log: gli agenti di raccolta log consentono di automatizzare facilmente il caricamento dei log dalla rete. La raccolta di log viene eseguita nella rete e riceve i log tramite SysLog o FTP.
- Secure Web Gateway (SWG): se si lavora con Defender per il cloud Apps e uno dei seguenti SWG, è possibile integrare i prodotti per migliorare l'esperienza di cloud discovery per la sicurezza. Insieme, Defender per il cloud app e gruppi di disponibilità offrono una distribuzione semplice di Cloud Discovery, il blocco automatico delle app non approvate e la valutazione dei rischi direttamente nel portale di SWG.
API di Cloud Discovery: usare l'API di cloud discovery delle app Defender per il cloud per automatizzare il caricamento dei log del traffico e ottenere report e valutazione dei rischi automatizzati di Cloud Discovery. È anche possibile usare l'API per generare script di blocco e semplificare i controlli delle app direttamente nell'appliance di rete.
Flusso del processo di log: dai dati non elaborati alla valutazione dei rischi
Il processo di generazione di una valutazione dei rischi è costituito dai passaggi seguenti. Il processo richiede da pochi minuti a diverse ore a seconda della quantità di dati elaborati.
Caricare: i log del traffico Web dalla rete vengono caricati nel portale.
Analizza: Defender per il cloud App analizza ed estrae i dati del traffico dai log del traffico con un parser dedicato per ogni origine dati.
Analizza : i dati sul traffico vengono analizzati nel catalogo di app cloud per identificare più di 31.000 app cloud e valutare il punteggio di rischio. Anche gli utenti attivi e gli indirizzi IP vengono identificati come parte dell'analisi.
Generare report: viene generato un report di valutazione dei rischi dei dati estratti dai file di log.
Nota
I dati di individuazione vengono analizzati e aggiornati quattro volte al giorno.
Firewall e proxy supportati
- Barracuda - Firewall dell'app Web (W3C)
- Blue Coat Proxy SG - Log di accesso (W3C)
- Punto di controllo
- Cisco ASA con FirePOWER
- Firewall ASA Cisco (per i firewall ASA Cisco è necessario impostare il livello di informazioni su 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Merkai - Log di URL
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Firewall Palo Alto
- SonicWall (noto in precedenza come Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Comune)
- Squid (Nativo)
- Stormshield
- Wandera
- WatchGuard
- Websense - Soluzioni per la sicurezza Web - Log delle attività Internet (CEF)
- Websense - Soluzioni per la sicurezza Web - Report dettagliato sulle analisi (CSV)
- Zscaler
Nota
Cloud Discovery supporta sia gli indirizzi IPv4 che IPv6.
Se il log non è supportato o se si usa un formato di log appena rilasciato da una delle origini dati supportate e il caricamento ha esito negativo, selezionare Altro come origine dati e specificare l'appliance e il log da caricare. Il log verrà esaminato dal team di analista cloud di Defender per il cloud app e si riceverà una notifica se viene aggiunto il supporto per il tipo di log. In alternativa, è possibile definire un parser personalizzato corrispondente al formato in uso. Per altre informazioni, vedere Uso del parser di log personalizzato.
Nota
L'elenco seguente di appliance supportate potrebbe non funzionare con i nuovi formati di log rilasciati. Se si usa un formato appena rilasciato e il caricamento non riesce, usare un parser di log personalizzato e, se necessario, aprire un caso di supporto. Se si apre un caso di supporto, assicurarsi di fornire la documentazione del firewall pertinente nel caso in uso.
Attributi dei dati (in base alla documentazione del fornitore):
Origine dati | URL di destinazione dell'app | IP di destinazione dell'app | Username | ID di origine | Traffico totale | Byte caricati |
---|---|---|---|---|---|---|
Barracuda | Sì | Sì | Sì | Sì | No | No |
Blue Coat | Sì | No | Sì | Sì | Sì | Sì |
Punto di controllo | No | Sì | No | Sì | No | No |
Cisco ASA (Syslog) | No | Sì | No | Sì | Sì | No |
Cisco ASA con FirePOWER | Sì | Sì | Sì | Sì | Sì | Sì |
Cisco Cloud Web Security | Sì | Sì | Sì | Sì | Sì | Sì |
Cisco FWSM | No | Sì | No | Sì | Sì | No |
Cisco Ironport WSA | Sì | Sì | Sì | Sì | Sì | Sì |
Cisco Meraki | Sì | Sì | No | Sì | No | No |
Clavister NGFW (Syslog) | Sì | Sì | Sì | Sì | Sì | Sì |
ContentKeeper | Sì | Sì | Sì | Sì | Sì | Sì |
Corrata | Sì | Sì | Sì | Sì | Sì | Sì |
Digital Arts i-FILTER | Sì | Sì | Sì | Sì | Sì | Sì |
ForcePoint LEEF | Sì | Sì | Sì | Sì | Sì | Sì |
ForcePoint Web Security Cloud* | Sì | Sì | Sì | Sì | Sì | Sì |
Fortinet Fortigate | No | Sì | Sì | Sì | Sì | Sì |
FortiOS | Sì | Sì | No | Sì | Sì | Sì |
iboss | Sì | Sì | Sì | Sì | Sì | Sì |
Juniper SRX | No | Sì | No | Sì | Sì | Sì |
Juniper SSG | No | Sì | Sì | Sì | Sì | Sì |
McAfee SWG | Sì | No | No | Sì | Sì | Sì |
Menlo Security (CEF) | Sì | Sì | Sì | Sì | Sì | Sì |
MS TMG | Sì | No | Sì | Sì | Sì | Sì |
Open Systems Secure Web Gateway | Sì | Sì | Sì | Sì | Sì | Sì |
Palo Alto Networks | No | Sì | Sì | Sì | Sì | Sì |
SonicWall (noto in precedenza come Dell) | Sì | Sì | No | Sì | Sì | Sì |
Sophos | Sì | Sì | Sì | Sì | Sì | No |
Squid (Comune) | Sì | No | Sì | Sì | Sì | No |
Squid (Nativo) | Sì | No | Sì | Sì | No | No |
Stormshield | No | Sì | Sì | Sì | Sì | Sì |
Wandera | Sì | Sì | Sì | Sì | Sì | Sì |
WatchGuard | Sì | Sì | Sì | Sì | Sì | Sì |
Websense - Log attività Internet (CEF) | Sì | Sì | Sì | Sì | Sì | Sì |
Websense - Report di dettaglio indagine (CSV) | Sì | Sì | Sì | Sì | Sì | Sì |
Zscaler | Sì | Sì | Sì | Sì | Sì | Sì |
* Le versioni 8.5 e successive di ForcePoint Web Security Cloud non sono supportate