Cloud Discovery 설정

  • 아티클

Cloud Discovery는 31,000개가 넘는 클라우드 앱의 클라우드용 Microsoft Defender 앱 카탈로그에 대해 트래픽 로그를 분석합니다. 앱은 90개 이상의 위험 요소를 기반으로 순위가 매겨지고 점수를 매겨 클라우드 사용, 섀도 IT 및 섀도 IT가 조직에 미치는 위험에 대한 지속적인 가시성을 제공합니다.

기본적으로 클라우드용 Defender 앱은 카탈로그에 없는 앱을 검색할 수 없습니다.

현재 카탈로그에 없는 앱의 클라우드용 Defender 앱 데이터를 보려면 로드맵을 검사) 사용자 지정 앱을 만드는 것이 좋습니다.

스냅샷 및 지속적인 위험 평가 보고서

다음과 같은 보고서를 생성할 수 있습니다.

  • 스냅샷 보고서 - 방화벽 및 프록시에서 수동으로 업로드하는 트래픽 로그 집합에 대한 임시 가시성을 제공합니다.

  • 연속 보고서 - 클라우드용 Defender 앱을 사용하여 네트워크에서 전달되는 모든 로그를 분석합니다. 모든 데이터에 대한 가시성을 향상시키고, 기계 학습 변칙 검색 엔진을 사용하거나 사용자가 정의한 사용자 지정 정책을 사용하여 비정상적인 사용을 자동으로 식별합니다. 이러한 보고서는 다음과 같은 방법으로 연결하여 만들 수 있습니다.

    • 엔드포인트용 Microsoft Defender 통합: 클라우드용 Defender 앱은 기본적으로 엔드포인트용 Defender와 통합되어 Cloud Discovery의 출시를 간소화하고, 회사 네트워크를 넘어 Cloud Discovery 기능을 확장하고, 머신 기반 조사를 사용하도록 설정합니다.
    • 로그 수집기: 로그 수집기를 사용하여 네트워크에서 로그 업로드를 쉽게 자동화할 수 있습니다. 로그 수집기는 네트워크에서 실행하고 Syslog 또는 FTP를 통해 로그를 수신합니다.
    • SWG(보안 웹 게이트웨이): 클라우드용 Defender 앱과 다음 SWG 중 하나를 모두 사용하는 경우 제품을 통합하여 보안 Cloud Discovery 환경을 향상시킬 수 있습니다. 클라우드용 Defender 앱 및 SWG는 함께 SWG 포털에서 Cloud Discovery의 원활한 배포, 비사용 권한 앱의 자동 차단 및 위험 평가를 직접 제공합니다.

  • Cloud Discovery API – 클라우드용 Defender Apps Cloud Discovery API를 사용하여 트래픽 로그 업로드를 자동화하고 자동화된 Cloud Discovery 보고서 및 위험 평가를 가져옵니다. 또한 API를 사용하여 블록 스크립트를 생성하고 네트워크 어플라이언스에 직접 앱 제어를 간소화할 있습니다.

로그 프로세스 흐름: 원시 데이터에서 위험 평가로

위험 평가를 생성하는 프로세스는 다음 단계로 구성됩니다. 프로세스는 처리되는 데이터의 양에 따라 몇 분에서 몇 시간 사이가 걸립니다.

  • 업로드 - 네트워크의 웹 트래픽 로그가 포털에 업로드됩니다.

  • 구문 분석 – 클라우드용 Defender 앱은 각 데이터 원본에 대한 전용 파서로 트래픽 로그에서 트래픽 데이터를 구문 분석하고 추출합니다.

  • 분석 – 트래픽 데이터는 31,000개 이상의 클라우드 앱을 식별하고 위험 점수를 평가하기 위해 클라우드 앱 카탈로그에 대해 분석됩니다. 활성 사용자 및 IP 주소도 분석의 일부로 식별됩니다.

  • 보고서 생성 - 로그 파일에서 추출된 데이터의 위험 평가 보고서가 생성됩니다.

참고 항목

검색 데이터는 하루에 네 번 분석 및 업데이트됩니다.

지원되는 방화벽 및 프록시

  • Barracuda - Web App Firewall(W3C)
  • Blue Coat Proxy SG - Access log(W3C)
  • Check Point
  • Cisco ASA with FirePOWER
  • Cisco ASA Firewall(Cisco ASA Firewall의 경우 정보 수준을 6으로 설정해야 함)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URL 로그
  • Clavister NGFW(Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security(CEF)
  • Microsoft Forefront Threat Management Gateway(W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto series Firewall
  • Sonicwall(이전의 Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid(Common)
  • Squid(Native)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense-Web Security Solutions-인터넷 활동 로그 (CEF)
  • Websense-Web Security Solutions-조 사용 상세 보고서 (CSV)
  • Zscaler

참고 항목

Cloud Discovery는 IPv4 및 IPv6 주소를 모두 지원합니다.

로그가 지원되지 않거나 지원되는 데이터 원본 중 하나에서 새로 릴리스된 로그 형식을 사용하고 업로드가 실패하는 경우 기타를 데이터 원본으로 선택하고 업로드하려는 어플라이언스 지정하고 로그를 지정합니다. 로그는 클라우드용 Defender Apps 클라우드 분석가 팀에서 검토하며 로그 유형에 대한 지원이 추가되면 알림을 받게 됩니다. 또는 형식과 일치하는 사용자 지정 파서를 정의할 수 있습니다. 자세한 내용은 사용자 지정 로그 파서 사용을 참조하세요.

참고 항목

지원되는 어플라이언스 다음 목록은 새로 릴리스된 로그 형식에서 작동하지 않을 수 있습니다. 새로 릴리스된 형식을 사용하고 업로드에 실패 하는 경우 사용자 지정 로그 파서 (필요한 경우)를 사용하여 지원 사례를 엽니다. 지원 사례를 여는 경우 관련 방화벽 설명서에 사례를 제공해야 합니다.

데이터 특성(공급업체 설명서 참조):

데이터 원본 대상 앱 URL 대상 앱 IP 사용자 이름 원본 IP 총 트래픽 업로드된 바이트
Barracuda 없음 아니요
Blue Coat 없음
Check Point 없음 없음 아니요
Cisco ASA(Syslog) 없음 아니요
Cisco ASA with FirePOWER
Cisco Cloud Web Security
Cisco FWSM 없음 아니요
Cisco Ironport WSA
Cisco Meraki 없음 없음 아니요
Clavister NGFW(Syslog)
ContentKeeper
Corrata
Digital Arts i-FILTER
ForcePoint LEEF
ForcePoint Web Security Cloud*
Fortinet Fortigate
FortiOS 없음
iboss
Juniper SRX 없음
Juniper SSG
McAfee SWG 없음 없음
Menlo Security(CEF)
MS TMG 없음
Open Systems Secure Web Gateway
Palo Alto Networks
SonicWall(이전의 Dell) 없음
Sophos 아니요
Squid(Common) 없음 아니요
Squid(Native) 없음 없음 아니요
Stormshield
Wandera
WatchGuard
Websense - Internet activity log(CEF)
Websense - Investigative detail report(CSV)
Zscaler

* ForcePoint Web Security Cloud 버전 8.5 이상은 지원되지 않습니다.

다음 단계

Cloud Discovery 스냅샷 보고서 만들기

연속 보고서에 대한 자동 로그 업로드 구성

Cloud Discovery 데이터 작업