Een aangepaste logboekparser gebruiken
Notitie
Microsoft Defender voor Cloud Apps maakt nu deel uit van Microsoft 365 Defender, die signalen correleert vanuit de Microsoft Defender-suite en biedt detectie, onderzoek en krachtige reactiemogelijkheden op incidentniveau. Zie Microsoft Defender voor Cloud Apps in Microsoft 365 Defender voor meer informatie.
Defender voor Cloud Met Apps kunt u een aangepaste parser configureren om de indeling van uw logboeken te vergelijken en te verwerken, zodat deze kunnen worden gebruikt voor Cloud Discovery. Normaal gesproken gebruikt u een aangepaste parser als de firewall of het apparaat niet expliciet wordt ondersteund door Defender voor Cloud Apps. Dit kan een CSV-parser of een aangepaste sleutelwaardeparser zijn.
Met de aangepaste parser kunt u logboeken van niet-ondersteunde firewalls gebruiken door deze procedure te volgen.
Een aangepaste parser configureren:
Selecteer Cloud Discovery in de Microsoft 365 Defender-portal onder Cloud Apps. Selecteer vervolgens in de rechterbovenhoek het menu Acties en selecteer Cloud Discovery-momentopnamerapport maken.
Voer een rapportnaam en een beschrijving in.
Selecteer onder Bron de aangepaste logboekindeling....
Verzamel de logboeken van uw firewall en proxy, waarmee gebruikers in uw organisatie toegang tot internet hebben. Zorg dat u logboeken verzamelt tijdens piekverkeer die representatief zijn voor alle gebruikersactiviteit in uw organisatie.
Open de logboeken die u wilt verwerken in een teksteditor. Controleer de opmaak en zorg ervoor dat de kolomnamen in het logboek overeenkomen met de velden in het scherm Aangepaste logboekindeling .
Vul vervolgens de velden in op basis van uw gegevens om te bepalen welke kolommen in de gegevens correleren met specifieke velden in Defender voor Cloud Apps. Mogelijk moet u de kolomnamen in het logboekbestand wijzigen om juiste correlaties te maken.
Notitie
De namen van de velden zijn hoofdlettergevoelig. Zorg ervoor dat u de namen van de kolommen identiek in Defender voor Cloud Apps en in het logboekbestand typt en typt. Zorg ook dat de datumnotatie die u kiest identiek is.
Selecteer Opslaan. De aangepaste logboekindeling die u hebt geconfigureerd, wordt opgeslagen als standaardversie van de aangepaste parser. U kunt deze op elk gewenst moment bewerken door op Bewerken te klikken.
Selecteer onder Verkeerslogboeken uploaden het logboekbestand dat u hebt gewijzigd en upload het. U kunt maximaal 20 bestanden tegelijk uploaden. Gecomprimeerde en gezipte bestanden worden ook ondersteund.
Selecteer Logboeken uploaden.
Nadat het uploaden is voltooid, wordt het statusbericht weergegeven in de rechterbovenhoek van het scherm, zodat u weet dat uw logboek is geüpload.
Na het uploaden van uw logboekbestanden duurt het even voordat ze zijn geparseerd en geanalyseerd. Nadat de verwerking van uw logboekbestanden is voltooid, ontvangt u een e-mailbericht om u te laten weten dat deze is voltooid.
Boven aan het Cloud Discovery-dashboard wordt een meldingsbanner weergegeven op de statusbalk. De banner werkt u bij met de verwerkingsstatus van uw logboekbestanden.
Nadat de logboeken zijn geüpload, krijgt u een melding te zien waarin wordt aangegeven dat de verwerking van de logboekbestanden is voltooid. Op dit moment kunt u het rapport bekijken door de koppeling in de statusbalk te selecteren of door naar de Microsoft 365 Defender-portal te gaan en Instellingen te selecteren. Kies vervolgens Cloud Apps en selecteer vervolgens onder Cloud Discovery momentopnamerapporten.
Selecteer vervolgens uw momentopnamerapport.
Volgende stappen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.