Konfigurowanie rozwiązania Cloud Discovery
Usługa Cloud Discovery analizuje dzienniki ruchu względem katalogu aplikacji Microsoft Defender dla Chmury ponad 31 000 aplikacji w chmurze. Aplikacje są klasyfikowane i oceniane na podstawie ponad 90 czynników ryzyka w celu zapewnienia ciągłego wglądu w użycie chmury, niezatwierdzonych zasobów IT i ryzyka, jakie stanowi dział IT w organizacji.
Napiwek
Domyślnie usługa Defender dla Chmury Apps nie może odnaleźć aplikacji, które nie są w wykazie.
Aby wyświetlić dane Defender dla Chmury Apps dla aplikacji, która nie znajduje się obecnie w wykazie, zalecamy sprawdzenie naszego planu działania) lub utworzenie aplikacji niestandardowej.
Raporty migawki i ciągłej oceny ryzyka
Możesz wygenerować następujące typy raportów:
Raporty migawek — zapewnia widoczność ad hoc dla zestawu dzienników ruchu ręcznie przekazywanych z zapór i serwerów proxy.
Raporty ciągłe — analizowanie wszystkich dzienników przekazywanych z sieci przy użyciu aplikacji Defender dla Chmury. Zapewniają one ulepszony wgląd we wszystkie dane i automatycznie identyfikują nietypowe użycie za pomocą aparatu wykrywania anomalii korzystającego z uczenia maszynowego lub za pomocą zasad niestandardowych, zdefiniowanych przez użytkownika. Te raporty można tworzyć, łącząc się w następujący sposób:
- integracja Ochrona punktu końcowego w usłudze Microsoft Defender: usługa Defender dla Chmury Apps integruje się natywnie z usługą Defender for Endpoint, aby uprościć wdrażanie rozwiązania Cloud Discovery, rozszerzyć możliwości rozwiązania Cloud Discovery poza sieć firmową i umożliwić badanie oparte na maszynach.
- Moduł zbierający dzienniki: moduły zbierające dzienniki umożliwiają łatwe automatyzowanie przekazywania dzienników z sieci. Moduł zbierający dzienniki działa w sieci i odbiera dzienniki za pośrednictwem protokołu Syslog lub FTP.
- Bezpieczna brama internetowa (SWG): jeśli pracujesz z aplikacjami Defender dla Chmury i jednym z następujących swG, możesz zintegrować produkty w celu zwiększenia bezpieczeństwa środowiska usługi Cloud Discovery. Usługa Defender for Cloud Apps w połączeniu z bramami SWG zapewnia bezproblemowe wdrażanie usługi Cloud Discovery, automatyczne blokowanie niezatwierdzonych aplikacji i ocenę ryzyka bezpośrednio w portalu bramy SWG.
Interfejs API rozwiązania Cloud Discovery — użyj interfejsu API Defender dla Chmury Apps Cloud Discovery, aby zautomatyzować przekazywanie dziennika ruchu i uzyskać zautomatyzowany raport rozwiązania Cloud Discovery i ocenę ryzyka. Interfejs API umożliwia również generowanie skryptów blokowych i usprawnianie kontrolek aplikacji bezpośrednio na urządzeniu sieciowym.
Przepływ przetwarzania dziennika: od danych pierwotnych do oceny ryzyka
Proces generowania oceny ryzyka składa się z poniższych kroków. Proces trwa od kilku minut do kilku godzin w zależności od ilości przetwarzanych danych.
Przekazywanie — dzienniki ruchu w sieci Web są przekazywane do portalu.
Analizowanie — Defender dla Chmury Apps analizuje i wyodrębnia dane ruchu z dzienników ruchu za pomocą dedykowanego analizatora dla każdego źródła danych.
Analizuj — dane ruchu są analizowane względem katalogu aplikacji w chmurze w celu zidentyfikowania ponad 31 000 aplikacji w chmurze i oceny ich oceny ryzyka. Podczas analizy identyfikowani są także aktywni użytkownicy i aktywne adresy IP.
Generowanie raportu — wygenerowanie raportu oceny ryzyka danych wyodrębnionych z plików dziennika.
Uwaga
Dane odnajdywania są analizowane i aktualizowane cztery razy dziennie.
Obsługiwane zapory i serwery proxy
- Barracuda — zapora aplikacji internetowej (W3C)
- Blue Coat Proxy SG — dziennik dostępu (W3C)
- Check Point
- Cisco ASA z firePOWER
- Zapora Cisco ASA (w przypadku zapór Cisco ASA należy ustawić poziom informacji na 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki — dziennik adresów URL
- Clavister NGFW (dziennik systemowy)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Zapora serii Palo Alto
- Sonicwall (dawniej Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (typowy)
- Squid (natywny)
- Osłona sztormowa
- Wandera
- WatchGuard
- Websense — Web Security Solutions — dziennik działań w Internecie (CEF)
- Websense — Web Security Solutions — szczegółowy raport dochodzeniowy (CSV)
- Zscaler
Uwaga
Usługa Cloud Discovery obsługuje adresy IPv4 i IPv6.
Jeśli dziennik nie jest obsługiwany lub używasz nowo wydanego formatu dziennika z jednego z obsługiwanych źródeł danych, a przekazywanie kończy się niepowodzeniem, wybierz pozycję Inne jako źródło danych i określ urządzenie i dziennik, które próbujesz przekazać. Dziennik zostanie przejrzysz przez zespół analityka chmury usługi Defender dla Chmury Apps i otrzymasz powiadomienie, jeśli zostanie dodana obsługa typu dziennika. Alternatywnie można zdefiniować niestandardowy analizator składni zgodny z używanym formatem. Aby uzyskać więcej informacji, zobacz Use a custom log parser (Używanie analizatora dzienników niestandardowych).
Uwaga
Poniższa lista obsługiwanych urządzeń może nie działać z nowo wydanymi formatami dziennika. Jeśli używasz nowo wydanego formatu i przekazywanie kończy się niepowodzeniem, użyj niestandardowego analizatora dzienników , a jeśli jest to wymagane, otwórz zgłoszenie do pomocy technicznej. Jeśli otworzysz zgłoszenie do pomocy technicznej, upewnij się, że w Twoim przypadku zostanie wyświetlona odpowiednia dokumentacja zapory.
Atrybuty danych (zgodnie z dokumentacją dostawcy):
| Źródło danych | Docelowy adres URL aplikacji | Docelowy adres IP aplikacji | Username | Źródłowy adres IP | Całkowity ruch | Przekazane bajty |
|---|---|---|---|---|---|---|
| Barracuda | Tak | Tak | Tak | Tak | Nie. | Nie. |
| Blue Coat | Tak | Nie | Tak | Tak | Tak | Tak |
| Check Point | Nie. | Tak | Nie | Tak | Nie. | Nie. |
| Cisco ASA (dziennik systemowy) | Nie. | Tak | Nie | Tak | Tak | Nie. |
| Cisco ASA z firePOWER | Tak | Tak | Tak | Tak | Tak | Tak |
| Cisco Cloud Web Security | Tak | Tak | Tak | Tak | Tak | Tak |
| Cisco FWSM | Nie. | Tak | Nie | Tak | Tak | Nie. |
| Cisco IronPort WSA | Tak | Tak | Tak | Tak | Tak | Tak |
| Cisco Meraki | Tak | Tak | Nie | Tak | Nie. | Nie. |
| Clavister NGFW (dziennik systemowy) | Tak | Tak | Tak | Tak | Tak | Tak |
| ContentKeeper | Tak | Tak | Tak | Tak | Tak | Tak |
| Corrata | Tak | Tak | Tak | Tak | Tak | Tak |
| Digital Arts i-FILTER | Tak | Tak | Tak | Tak | Tak | Tak |
| ForcePoint LEEF | Tak | Tak | Tak | Tak | Tak | Tak |
| ForcePoint Web Security Cloud* | Tak | Tak | Tak | Tak | Tak | Tak |
| Fortinet Fortigate | Nie. | Tak | Tak | Tak | Tak | Tak |
| FortiOS | Tak | Tak | Nie | Tak | Tak | Tak |
| iboss | Tak | Tak | Tak | Tak | Tak | Tak |
| Juniper SRX | Nie. | Tak | Nie | Tak | Tak | Tak |
| Juniper SSG | Nie. | Tak | Tak | Tak | Tak | Tak |
| McAfee SWG | Tak | Nie. | Nie. | Tak | Tak | Tak |
| Menlo Security (CEF) | Tak | Tak | Tak | Tak | Tak | Tak |
| MS TMG | Tak | Nie | Tak | Tak | Tak | Tak |
| Open Systems Secure Web Gateway | Tak | Tak | Tak | Tak | Tak | Tak |
| Palo Alto Networks | Nie. | Tak | Tak | Tak | Tak | Tak |
| SonicWall (dawniej Dell) | Tak | Tak | Nie | Tak | Tak | Tak |
| Sophos | Tak | Tak | Tak | Tak | Tak | Nie. |
| Squid (typowy) | Tak | Nie | Tak | Tak | Tak | Nie. |
| Squid (natywny) | Tak | Nie | Tak | Tak | Nie. | Nie. |
| Osłona sztormowa | Nie. | Tak | Tak | Tak | Tak | Tak |
| Wandera | Tak | Tak | Tak | Tak | Tak | Tak |
| WatchGuard | Tak | Tak | Tak | Tak | Tak | Tak |
| Websense — dziennik działań w Internecie (CEF) | Tak | Tak | Tak | Tak | Tak | Tak |
| Websense — szczegółowy raport dochodzeniowy (CSV) | Tak | Tak | Tak | Tak | Tak | Tak |
| Zscaler | Tak | Tak | Tak | Tak | Tak | Tak |
* Wersje 8.5 i nowsze usługi ForcePoint Web Security Cloud nie są obsługiwane
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla