Konfigurowanie rozwiązania Cloud Discovery
Usługa Cloud Discovery analizuje dzienniki ruchu względem katalogu aplikacji Microsoft Defender dla Chmury ponad 31 000 aplikacji w chmurze. Aplikacje są klasyfikowane i oceniane na podstawie ponad 90 czynników ryzyka w celu zapewnienia ciągłego wglądu w użycie chmury, niezatwierdzonych zasobów IT i ryzyka, jakie stanowi dział IT w organizacji.
Napiwek
Domyślnie usługa Defender dla Chmury Apps nie może odnaleźć aplikacji, które nie są w wykazie.
Aby wyświetlić dane Defender dla Chmury Apps dla aplikacji, która nie znajduje się obecnie w wykazie, zalecamy sprawdzenie naszego planu działania) lub utworzenie aplikacji niestandardowej.
Raporty migawki i ciągłej oceny ryzyka
Możesz wygenerować następujące typy raportów:
Raporty migawek — zapewnia widoczność ad hoc dla zestawu dzienników ruchu ręcznie przekazywanych z zapór i serwerów proxy.
Raporty ciągłe — analizowanie wszystkich dzienników przekazywanych z sieci przy użyciu aplikacji Defender dla Chmury. Zapewniają one ulepszony wgląd we wszystkie dane i automatycznie identyfikują nietypowe użycie za pomocą aparatu wykrywania anomalii korzystającego z uczenia maszynowego lub za pomocą zasad niestandardowych, zdefiniowanych przez użytkownika. Te raporty można tworzyć, łącząc się w następujący sposób:
- Ochrona punktu końcowego w usłudze Microsoft Defender integracji: Defender dla Chmury Apps integruje się z usługą Defender for Endpoint natywnie, aby uprościć wdrażanie funkcji odnajdywania w chmurze, rozszerzyć możliwości odnajdywania w chmurze poza sieć firmową i umożliwić badanie oparte na maszynach.
- Moduł zbierający dzienniki: moduły zbierające dzienniki umożliwiają łatwe automatyzowanie przekazywania dzienników z sieci. Moduł zbierający dzienniki działa w sieci i odbiera dzienniki za pośrednictwem protokołu Syslog lub FTP.
- Bezpieczna brama internetowa (SWG): jeśli pracujesz z aplikacjami Defender dla Chmury i jednym z następujących swG, możesz zintegrować produkty w celu zwiększenia środowiska odnajdywania w chmurze zabezpieczeń. Razem Defender dla Chmury aplikacje i narzędzia SWG zapewniają bezproblemowe wdrażanie odnajdywania w chmurze, automatyczne blokowanie niezatwierdzonych aplikacji i ocenę ryzyka bezpośrednio w portalu SWG.
Interfejs API odnajdywania w chmurze — użyj interfejsu API odnajdywania w chmurze Defender dla Chmury Apps, aby zautomatyzować przekazywanie dzienników ruchu i uzyskać zautomatyzowany raport odnajdywania w chmurze i ocenę ryzyka. Interfejs API umożliwia również generowanie skryptów blokowych i usprawnianie kontrolek aplikacji bezpośrednio na urządzeniu sieciowym.
Przepływ przetwarzania dziennika: od danych pierwotnych do oceny ryzyka
Proces generowania oceny ryzyka składa się z poniższych kroków. Proces trwa od kilku minut do kilku godzin w zależności od ilości przetwarzanych danych.
Przekazywanie — dzienniki ruchu w sieci Web są przekazywane do portalu.
Analizowanie — Defender dla Chmury Apps analizuje i wyodrębnia dane ruchu z dzienników ruchu za pomocą dedykowanego analizatora dla każdego źródła danych.
Analizuj — dane ruchu są analizowane względem katalogu aplikacji w chmurze, aby zidentyfikować ponad 31 000 aplikacji w chmurze i ocenić ich ocenę ryzyka. Podczas analizy identyfikowani są także aktywni użytkownicy i aktywne adresy IP.
Generowanie raportu — wygenerowanie raportu oceny ryzyka danych wyodrębnionych z plików dziennika.
Uwaga
Dane odnajdywania są analizowane i aktualizowane cztery razy dziennie.
Obsługiwane zapory i serwery proxy
- Barracuda — zapora aplikacji internetowej (W3C)
- Blue Coat Proxy SG — dziennik dostępu (W3C)
- Check Point
- Cisco ASA z firePOWER
- Zapora Cisco ASA (w przypadku zapór Cisco ASA należy ustawić poziom informacji na 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki — dziennik adresów URL
- Clavister NGFW (dziennik systemowy)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Zapora serii Palo Alto
- Sonicwall (dawniej Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (typowy)
- Squid (natywny)
- Osłona sztormowa
- Wandera
- WatchGuard
- Websense — Web Security Solutions — dziennik działań w Internecie (CEF)
- Websense — Web Security Solutions — szczegółowy raport dochodzeniowy (CSV)
- Zscaler
Uwaga
Usługa Cloud Discovery obsługuje adresy IPv4 i IPv6.
Jeśli dziennik nie jest obsługiwany lub używasz nowo wydanego formatu dziennika z jednego z obsługiwanych źródeł danych, a przekazywanie kończy się niepowodzeniem, wybierz pozycję Inne jako źródło danych i określ urządzenie i dziennik, które próbujesz przekazać. Dziennik zostanie przejrzysz przez zespół analityka chmury usługi Defender dla Chmury Apps i otrzymasz powiadomienie, jeśli zostanie dodana obsługa typu dziennika. Alternatywnie można zdefiniować niestandardowy analizator składni zgodny z używanym formatem. Aby uzyskać więcej informacji, zobacz Use a custom log parser (Używanie analizatora dzienników niestandardowych).
Uwaga
Poniższa lista obsługiwanych urządzeń może nie działać z nowo wydanymi formatami dziennika. Jeśli używasz nowo wydanego formatu i przekazywanie kończy się niepowodzeniem, użyj niestandardowego analizatora dzienników , a jeśli jest to wymagane, otwórz zgłoszenie do pomocy technicznej. Jeśli otworzysz zgłoszenie do pomocy technicznej, upewnij się, że w Twoim przypadku zostanie wyświetlona odpowiednia dokumentacja zapory.
Atrybuty danych (zgodnie z dokumentacją dostawcy):
Źródło danych | Docelowy adres URL aplikacji | Docelowy adres IP aplikacji | Username | Źródłowy adres IP | Całkowity ruch | Przekazane bajty |
---|---|---|---|---|---|---|
Barracuda | Tak | Tak | Tak | Tak | Nie. | Nie. |
Blue Coat | Tak | Nie | Tak | Tak | Tak | Tak |
Check Point | Nie. | Tak | Nie | Tak | Nie. | Nie. |
Cisco ASA (dziennik systemowy) | Nie. | Tak | Nie | Tak | Tak | Nie. |
Cisco ASA z firePOWER | Tak | Tak | Tak | Tak | Tak | Tak |
Cisco Cloud Web Security | Tak | Tak | Tak | Tak | Tak | Tak |
Cisco FWSM | Nie. | Tak | Nie | Tak | Tak | Nie. |
Cisco IronPort WSA | Tak | Tak | Tak | Tak | Tak | Tak |
Cisco Meraki | Tak | Tak | Nie | Tak | Nie. | Nie. |
Clavister NGFW (dziennik systemowy) | Tak | Tak | Tak | Tak | Tak | Tak |
ContentKeeper | Tak | Tak | Tak | Tak | Tak | Tak |
Corrata | Tak | Tak | Tak | Tak | Tak | Tak |
Digital Arts i-FILTER | Tak | Tak | Tak | Tak | Tak | Tak |
ForcePoint LEEF | Tak | Tak | Tak | Tak | Tak | Tak |
ForcePoint Web Security Cloud* | Tak | Tak | Tak | Tak | Tak | Tak |
Fortinet Fortigate | Nie. | Tak | Tak | Tak | Tak | Tak |
FortiOS | Tak | Tak | Nie | Tak | Tak | Tak |
iboss | Tak | Tak | Tak | Tak | Tak | Tak |
Juniper SRX | Nie. | Tak | Nie | Tak | Tak | Tak |
Juniper SSG | Nie. | Tak | Tak | Tak | Tak | Tak |
McAfee SWG | Tak | Nie. | Nie. | Tak | Tak | Tak |
Menlo Security (CEF) | Tak | Tak | Tak | Tak | Tak | Tak |
MS TMG | Tak | Nie | Tak | Tak | Tak | Tak |
Open Systems Secure Web Gateway | Tak | Tak | Tak | Tak | Tak | Tak |
Palo Alto Networks | Nie. | Tak | Tak | Tak | Tak | Tak |
SonicWall (dawniej Dell) | Tak | Tak | Nie | Tak | Tak | Tak |
Sophos | Tak | Tak | Tak | Tak | Tak | Nie. |
Squid (typowy) | Tak | Nie | Tak | Tak | Tak | Nie. |
Squid (natywny) | Tak | Nie | Tak | Tak | Nie. | Nie. |
Osłona sztormowa | Nie. | Tak | Tak | Tak | Tak | Tak |
Wandera | Tak | Tak | Tak | Tak | Tak | Tak |
WatchGuard | Tak | Tak | Tak | Tak | Tak | Tak |
Websense — dziennik działań w Internecie (CEF) | Tak | Tak | Tak | Tak | Tak | Tak |
Websense — szczegółowy raport dochodzeniowy (CSV) | Tak | Tak | Tak | Tak | Tak | Tak |
Zscaler | Tak | Tak | Tak | Tak | Tak | Tak |
* Wersje 8.5 i nowsze usługi ForcePoint Web Security Cloud nie są obsługiwane