カスタム ログ パーサーを使用する

Note

Microsoft Defender for Cloud Apps (旧称 Microsoft Cloud App Security) がMicrosoft 365 Defenderの一部になりました。 セキュリティ管理者は、そのセキュリティ タスクを Microsoft 365 Defender ポータルで一元的に行うことができます。 これによってワークフローが単純化され、他の Microsoft 365 Defender サービスの機能も追加されます。 Microsoft 365 Defender は、Microsoft の ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視、管理するための拠点となります。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

Defender for Cloud Apps では、Cloud Discovery に使用できるように、ログの形式を一致させて処理するためのカスタム パーサーを構成できます。 通常、ファイアウォールまたはデバイスが Defender for Cloud Apps によって明示的にサポートされていない場合に、カスタム パーサーを使用します。 CSV パーサーまたはカスタム キー値パーサーを使用できます。

カスタム パーサーを使用すると、このプロセスに従って、サポートされていないファイアウォールからのログを使用できます。

カスタム パーサーを構成するには:

  1. Defender for Cloud Apps ポータル[探索][スナップショット レポートの作成] の順に選択します。

    新しいスナップショット レポートを作成する。

  2. [レポート名][説明] を入力します。

  3. [ソース] で、 [カスタム ログ形式] を選択します。

    新しいスナップショット レポート。

  4. 組織のユーザーがインターネット アクセスに使用するファイアウォールとプロキシからログを収集します。 組織内のすべてのユーザー アクティビティを示す、トラフィック ピーク時のログを収集するようにしてください。

  5. 処理するログをテキスト エディターで開きます。 形式を確認し、ログでの列名が [カスタム ログ形式] 画面のフィールドに対応していることを確認します。

    カスタム ログ パーサーのフィールドの確認。

  6. 次に、データに基づいてフィールドに入力し、データ内の列と Defender for Cloud Apps での特定のフィールドとの関連付けを示します。 適切に関連付けるためには、ログ ファイル内の列名を変更することが必要になる場合があります。

    注意

    フィールドは大文字と小文字が区別されます。 Defender for Cloud Apps とログ ファイルで列の名前が同じように入力されていることを確認します。 また、選択した日付形式が同じであることを確認します。

    カスタム ログ パーサーのフィールドの入力。

  7. [保存] を選択します。 構成したカスタム ログ形式は、既定のカスタム パーサーとして保存されます。 [編集] をクリックして、いつでもそれを編集できます。

  8. [トラフィック ログのアップロード] で、変更したログ ファイルを選択してアップロードします。 一度に最大 20 個のファイルをアップロードできます。 圧縮された ZIP 形式のファイルもサポートされます。

  9. [ログのアップロード] を選択します。

  10. アップロードが完了すると、ログが正常にアップロードされたことを通知するステータス メッセージが画面右上隅に表示されます。

  11. ログ ファイルのアップロード後、ファイルの解析および分析には多少時間がかかります。 ログ ファイルの処理が完了すると、終了したことを通知する電子メールを受信します。

  12. 通知バナーが、Cloud Discovery ダッシュボードの上部にあるステータス バーに表示されます。 バナーにより、ログ ファイルの最新の処理状態が通知されます。 処理中のログ ファイル メニュー バー。

  13. ログが正常にアップロードされると、ログ ファイルの処理が正常に完了したことを知らせる通知が表示されます。 この時点で、ステータス バーのリンクをクリックするか、設定の歯車アイコンに移動して [ [Cloud Discovery settings](Cloud Discovery の設定) ] を選択することで、レポートを表示できます。

    Discovery の [設定] タブ。

  14. [スナップショット レポートの管理] を選択し、スナップショット レポートを選択します。

    スナップショット レポートの管理。

次のステップ

問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。