Overzicht van cloud-app-detectie
Cloud discovery analyseert uw verkeerslogboeken op basis van de Microsoft Defender voor Cloud Apps-catalogus van meer dan 31.000 cloud-apps. De apps worden gerangschikt en beoordeeld op basis van meer dan 90 risicofactoren om u voortdurend inzicht te bieden in cloudgebruik, Schaduw-IT en het risico dat Shadow IT in uw organisatie vormt.
Tip
Standaard kunnen Defender voor Cloud Apps geen apps detecteren die niet in de catalogus staan.
Als u Defender voor Cloud Apps-gegevens wilt zien voor een app die zich momenteel niet in de catalogus bevindt, raden we u aan onze roadmap te controleren of een aangepaste app te maken.
Momentopname- en doorlopende risicoanalyserapporten
U kunt de volgende typen rapporten genereren:
Momentopnamerapporten : biedt ad-hoc zichtbaarheid van een set in verkeerslogboeken die u handmatig uploadt vanuit uw firewalls en proxy's.
Doorlopende rapporten: analyseer alle logboeken die vanuit uw netwerk worden doorgestuurd met behulp van Defender voor Cloud Apps. Deze rapporten bieden betere zichtbaarheid over alle gegevens en met de rapporten wordt afwijkend gebruik automatisch geïdentificeerd met de Machine Learning-anomaliedetectie of via aangepaste beleidsregels die u definieert. Deze rapporten kunnen worden gemaakt door verbinding te maken op de volgende manieren:
- Microsoft Defender voor Eindpunt integratie: Defender voor Cloud Apps is geïntegreerd met Defender voor Eindpunt, om de implementatie van clouddetectie te vereenvoudigen, mogelijkheden voor clouddetectie uit te breiden buiten uw bedrijfsnetwerk en onderzoek op basis van machines mogelijk te maken.
- Logboekverzamelaar: met logboekverzamelaars kunt u eenvoudig het uploaden van logboeken vanuit uw netwerk automatiseren. De logboekverzamelaar wordt uitgevoerd op uw netwerk en ontvangt logboeken via Syslog of FTP.
- Beveiligde webgateway (SWG): als u met zowel Defender voor Cloud Apps als een van de volgende SWG's werkt, kunt u de producten integreren om uw beveiligingservaring voor clouddetectie te verbeteren. Samen bieden Defender voor Cloud Apps en SWG's een naadloze implementatie van clouddetectie, automatische blokkering van niet-opgegeven apps en risicoanalyse rechtstreeks in de SWG-portal.
Cloud discovery-API: gebruik de Defender voor Cloud Apps clouddetectie-API om het uploaden van verkeerslogboeken te automatiseren en geautomatiseerde clouddetectierapport en risicoanalyse op te halen. U kunt de API ook gebruiken om blokscripts te genereren en app-besturingselementen rechtstreeks naar uw netwerkapparaat te stroomlijnen.
Logboekprocesstroom: van ruwe gegevens naar risicoanalyse
Het proces voor het genereren van een risicoanalyse bestaat uit de volgende stappen. Het proces duurt enkele minuten tot enkele uren, afhankelijk van de hoeveelheid verwerkte gegevens.
Uploaden – De logboeken over webverkeer van het netwerk worden naar de portal geüpload.
Parseren : Defender voor Cloud Apps parseert en extraheert verkeersgegevens uit de verkeerslogboeken met een speciale parser voor elke gegevensbron.
Analyseren : verkeersgegevens worden geanalyseerd op basis van de catalogus met cloud-apps om meer dan 31.000 cloud-apps te identificeren en hun risicoscore te beoordelen. Tijdens de analyse worden actieve gebruikers en IP-adressen ook geïdentificeerd.
Rapport genereren - Hiermee wordt een risicoanalyserapport gegenereerd met gegevens die worden geëxtraheerd uit logboekbestanden.
Notitie
Detectiegegevens worden vier keer per dag geanalyseerd en bijgewerkt.
Ondersteunde firewalls en proxy's
- Barracuda - Web App Firewall (W3C)
- Blue Coat Proxy SG - toegangslogboek (W3C)
- Check Point
- Cisco ASA met FirePOWER
- Cisco ASA Firewall (voor Cisco ASA-firewalls is het nodig om het informatieniveau in te stellen op 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki - URL-logboek
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee beveiligde webgateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Firewall Palo Alto-reeks
- Sonicwall (voorheen Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (algemeen)
- Squid (systeemeigen)
- Stormscherm
- Wandera
- WatchGuard
- Websense - oplossingen voor webbeveiliging - activiteitenlogboek internet (CEF)
- Websense - oplossingen voor webbeveiliging - gedetailleerd onderzoeksrapport (CSV)
- Zscaler
Notitie
Cloud discovery ondersteunt zowel IPv4- als IPv6-adressen.
Als uw logboek niet wordt ondersteund of als u een nieuw uitgebrachte logboekindeling gebruikt uit een van de ondersteunde gegevensbronnen en het uploaden mislukt, selecteert u Overige als de gegevensbron en geeft u het apparaat en logboek op dat u wilt uploaden. Uw logboek wordt gecontroleerd door het Defender voor Cloud cloudanaliststeam van Apps en u ontvangt een melding als ondersteuning voor uw logboektype wordt toegevoegd. U kunt ook een aangepaste parser definiëren die overeenkomt met de indeling. Zie Een aangepaste logboekparser gebruiken voor meer informatie.
Notitie
De volgende lijst met ondersteunde apparaten werkt mogelijk niet met nieuw uitgebrachte logboekindelingen. Als u een nieuw uitgebrachte indeling gebruikt en het uploaden mislukt, gebruikt u een aangepaste logboekparser en opent u indien nodig een ondersteuningsaanvraag. Als u een ondersteuningsaanvraag opent, moet u de relevante firewalldocumentatie bij uw case opgeven.
De gegevenskenmerken (volgens de documentatie van de leverancier):
| Gegevensbron | URL van de doel-app | IP-adres van de doel-app | Username | IP-adres van bron | Totaal verkeer | Geüploade bytes |
|---|---|---|---|---|---|---|
| Barracuda | Ja | Ja | Ja | Ja | No | Nr. |
| Blue Coat | Ja | No | Ja | Ja | Ja | Ja |
| Check Point | Nr. | Ja | No | Ja | No | Nr. |
| Cisco ASA (Syslog) | Nr. | Ja | No | Ja | Ja | Nr. |
| Cisco ASA met FirePOWER | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Cloud Web Security | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco FWSM | Nr. | Ja | No | Ja | Ja | Nr. |
| Cisco Ironport WSA | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Meraki | Ja | Ja | No | Ja | No | Nr. |
| Clavister NGFW (Syslog) | Ja | Ja | Ja | Ja | Ja | Ja |
| ContentKeeper | Ja | Ja | Ja | Ja | Ja | Ja |
| Corrata | Ja | Ja | Ja | Ja | Ja | Ja |
| Digital Arts i-FILTER | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint LEEF | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint Web Security Cloud* | Ja | Ja | Ja | Ja | Ja | Ja |
| Fortinet Fortigate | Nr. | Ja | Ja | Ja | Ja | Ja |
| FortiOS | Ja | Ja | No | Ja | Ja | Ja |
| iboss | Ja | Ja | Ja | Ja | Ja | Ja |
| Juniper SRX | Nr. | Ja | No | Ja | Ja | Ja |
| Juniper SSG | Nr. | Ja | Ja | Ja | Ja | Ja |
| McAfee SWG | Ja | No | No | Ja | Ja | Ja |
| Menlo Security (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| MS TMG | Ja | No | Ja | Ja | Ja | Ja |
| Open Systems Secure Web Gateway | Ja | Ja | Ja | Ja | Ja | Ja |
| Palo Alto Networks | Nr. | Ja | Ja | Ja | Ja | Ja |
| SonicWall (voorheen Dell) | Ja | Ja | No | Ja | Ja | Ja |
| Sophos | Ja | Ja | Ja | Ja | Ja | Nr. |
| Squid (algemeen) | Ja | No | Ja | Ja | Ja | Nr. |
| Squid (systeemeigen) | Ja | No | Ja | Ja | No | Nr. |
| Stormscherm | Nr. | Ja | Ja | Ja | Ja | Ja |
| Wandera | Ja | Ja | Ja | Ja | Ja | Ja |
| WatchGuard | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense - internetactiviteitenlogboek (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense - gedetailleerd onderzoeksrapport (CSV) | Ja | Ja | Ja | Ja | Ja | Ja |
| Zscaler | Ja | Ja | Ja | Ja | Ja | Ja |
* Versies 8.5 en hoger van ForcePoint Web Security Cloud worden niet ondersteund