Momentopnamerapporten maken van Cloud Discovery

  • Artikel

Het is belangrijk om een logboek handmatig te uploaden en Microsoft Defender voor Cloud Apps deze te parseren voordat u de automatische logboekverzamelaar probeert te gebruiken. Zie Verkeerslogboeken gebruiken voor Cloud Discovery voor informatie over de werking van de logboekverzamelaar en de verwachte logboekindeling.

Als u nog geen logboek hebt en u een voorbeeld wilt zien van hoe uw logboek eruit moet zien, downloadt u een voorbeeldlogboekbestand. Volg de onderstaande procedure om te zien hoe uw logboek eruit moet zien.

Ga als volgt te werk om een momentopnamerapport te maken:

  1. Verzamel de logboekbestanden van uw firewall en proxy, via welke gebruikers in uw organisatie toegang tot het Internet krijgen. Zorg dat u logboeken verzamelt tijdens piekverkeer die representatief zijn voor alle gebruikersactiviteit in uw organisatie.

  2. Selecteer clouddetectie in de Microsoft Defender-portal onder Cloud Apps.

  3. Selecteer in de rechterbovenhoek acties en selecteer Momentopnamerapport voor Cloud Discovery maken.

    Create new snapshot report.

  4. Selecteer Volgende.

  5. Voer een rapportnaam en een beschrijving in.

    New snapshot report.

  6. Selecteer de bron waaruit u de logboekbestanden wilt uploaden. Als uw bron niet wordt ondersteund (zie Ondersteunde firewalls en proxy's voor de volledige lijst), kunt u een aangepaste parser maken. Zie Een aangepaste logboekparser gebruiken voor meer informatie.

  7. Controleer de logboekindeling om ervoor te zorgen dat deze correct is opgemaakt volgens het voorbeeldlogboek dat u kunt downloaden. Selecteer onder Uw logboekindeling verifiëren de optie Logboekindeling weergeven en selecteer vervolgens Voorbeeldlogboek downloaden. Vergelijk uw logboek met het opgegeven voorbeeld om ervoor te zorgen dat het compatibel is.

    Verify your log format.

    Notitie

    De FTP-voorbeeldindeling wordt ondersteund in momentopnamen en automatisch uploaden, terwijl syslog alleen wordt ondersteund bij geautomatiseerd uploaden. Als u een voorbeeldlogboek downloadt, wordt een FTP-voorbeeldlogboek gedownload.

  8. Upload verkeerslogboeken die u wilt uploaden. U kunt maximaal 20 bestanden tegelijk uploaden. Gecomprimeerde en gezipte bestanden worden ook ondersteund.

    Upload traffic logs.

  9. Selecteer Logboeken uploaden.

  10. Nadat het uploaden is voltooid, wordt het statusbericht weergegeven in de rechterbovenhoek van het scherm, zodat u weet dat uw logboek is geüpload.

  11. Na het uploaden van uw logboekbestanden duurt het even voordat ze zijn geparseerd en geanalyseerd. Nadat de verwerking van uw logboekbestanden is voltooid, ontvangt u een e-mailbericht om u te laten weten dat deze is voltooid.

  12. Boven aan het Cloud Discovery-dashboard wordt een meldingsbanner weergegeven op de statusbalk. De banner werkt u bij met de verwerkingsstatus van uw logboekbestanden. processing log file menu bar.

  13. Nadat de logboeken zijn geüpload, krijgt u een melding te zien waarin wordt aangegeven dat de verwerking van de logboekbestanden is voltooid. Op dit moment kunt u het rapport bekijken door de koppeling in de statusbalk te selecteren. Of selecteer Instellingen in de Microsoft Defender-portal.

  14. Selecteer vervolgens onder Cloud Discovery momentopnamerapporten en selecteer uw momentopnamerapport.

    snapshot report management.

Verkeerslogboeken gebruiken voor Cloud Discovery

Cloud Discovery gebruikt de gegevens in uw verkeerslogboeken. Hoe gedetailleerder uw logboeken, hoe meer inzicht u krijgt. Voor Cloud Discovery zijn webverkeersgegevens met de volgende kenmerken vereist:

  • Datum van de transactie
  • Bron-IP
  • Brongebruiker - sterk aanbevolen
  • IP-adres van doel
  • Doel-URL aanbevolen (URL's bieden meer nauwkeurigheid voor de detectie van cloud-apps dan IP-adressen)
  • Totale hoeveelheid gegevens (informatie over gegevens is zeer waardevol)
  • Hoeveelheid geüploade of gedownloade gegevens (biedt inzicht in de gebruikspatronen van de cloud-apps)
  • Ondernomen actie (toegestaan/geblokkeerd)

Cloud Discovery kan geen kenmerken weergeven of analyseren die niet zijn opgenomen in uw logboeken. De standaardlogboekindeling van Cisco ASA Firewall heeft bijvoorbeeld niet het aantal geüploade bytes per transactie, gebruikersnaam en doel-URL (alleen doel-IP). Daarom worden deze kenmerken niet weergegeven in Cloud Discovery-gegevens voor deze logboeken en is de zichtbaarheid van de cloud-apps beperkt. Voor Cisco ASA-firewalls is het nodig om het informatieniveau in te stellen op 6.

Als u een Cloud Discovery-rapport wilt genereren, moeten uw verkeerslogboeken voldoen aan de volgende voorwaarden:

  1. Gegevensbron wordt ondersteund.
  2. De logboekindeling komt overeen met de verwachte standaardindeling (de indeling is gecontroleerd bij het uploaden door het hulpprogramma Logboek).
  3. Gebeurtenissen zijn niet meer dan 90 dagen oud.
  4. Het logboekbestand is geldig en bevat gegevens over uitgaand verkeer.

Volgende stappen

Cloud-apps beheren met beleidsregels

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.