Visão geral da descoberta de aplicativos em nuvem
O Cloud Discovery analisa seus logs de tráfego em relação ao catálogo de mais de 31 mil aplicativos de nuvem do Defender para Aplicativos de Nuvem. Os aplicativos são classificados e pontuados com base mais de 90 fatores de risco para fornecer visibilidade contínua do uso de nuvem, TI Sombra e o risco que a TI Sombra representa para sua organização.
Dica
Por padrão, o Defender para Aplicativos de Nuvem não pode descobrir aplicativos que não estão no catálogo.
Para ver os dados do Defender para aplicativos em nuvem sobre um aplicativo que não está atualmente no catálogo, recomendamos que você verifique nosso roteiro) ou crie um aplicativo personalizado.
Relatórios de avaliação de risco contínuo e instantâneo
Você pode gerar os seguintes relatórios:
Relatórios de instantâneo – fornecem visibilidade ad hoc em um conjunto de logs de tráfego cujo upload é feito manualmente dos seus firewalls e proxies.
Relatórios contínuos – analisam todos os logs que são encaminhados da sua rede usando o Defender para Aplicativos de Nuvem. Eles fornecem visibilidade aprimorada sobre todos os dados e identificam automaticamente o uso anormal usando o Machine Learning de detecção de anomalias ou usando políticas personalizadas que você define. Esses relatórios podem ser criados conectando-se das seguintes maneiras:
- Integração do Microsoft Defender para Ponto de Extremidade: O Defender para Aplicativos de Nuvem se integra nativamente, com o Defender para Ponto de Extremidade para simplificar a distribuição do Cloud Discovery, estender as capacidades do Cloud Discovery além da rede corporativa e habilitar a investigação baseada em computador.
- Coletor de logs: os coletores de logs permitem automatizar facilmente o carregamento de logs da rede. O lixo de log é executado na sua rede e recebe logs em Syslog ou FTP.
- Secure Web Gateway (SWG): se você trabalha com o Defender para Aplicativos de Nuvem e com um dos seguintes SWGs integre os produtos para aprimorar a experiência de segurança do Cloud Discovery. Juntos, o Defender para Aplicativos de Nuvem e os SWGs proporcionam uma implantação perfeita do Cloud Discovery, o bloqueio automático de aplicativos não sancionados e a avaliação de riscos diretamente no portal do SWG.
API do Cloud Discovery: use a API do Cloud Discovery Defender para Aplicativos de Nuvem para automatizar o upload do log de tráfego e gerar um relatório do Cloud Discovery automatizado e uma avaliação de risco. Você também pode usar a API para gerar scripts de bloco e simplificar os controles de aplicativo diretamente para seu dispositivo de rede.
Fluxo de processo de log: de dados brutos à avaliação de risco
O processo de geração de uma avaliação de risco consiste nas etapas a seguir. O processo leva entre alguns minutos e várias horas, dependendo da quantidade de dados processados.
Carregar – os logs do tráfego da Web da sua rede são carregados no portal.
Analisar – o Defender para Aplicativos de Nuvem analisa e extrai dados de tráfego dos logs de tráfego com um analisador dedicado para cada fonte de dados.
Examinar: os dados de tráfego são examinados em comparação com o catálogo de aplicativos de nuvem para identificar mais de 31 mil aplicativos na nuvem e avaliar sua pontuação de risco. Os usuários ativos e endereços IP também são identificados como parte da análise.
Gerar relatório – Um relatório de avaliação de risco dos dados extraídos dos arquivos de log é gerado.
Observação
Os dados de descoberta são analisados e atualizados quatro vezes por dia.
Proxies e firewalls com suporte
- Barracuda – firewall do aplicativo Web (W3C)
- Blue Coat Proxy SG – log de acesso (W3C)
- Ponto de Verificação
- Cisco ASA com FirePOWER
- Firewall Cisco ASA (Para firewalls Cisco ASA, é necessário definir o nível de informações como 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – log de URLs
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Firewall da série Palo Alto
- Sonicwall (anteriormente conhecido como Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (comum)
- Squid (nativo)
- Stormshield
- Wandera
- WatchGuard
- Websense – soluções de segurança da Web – log de atividades de Internet (CEF)
- Websense – soluções de segurança da Web – relatório de detalhes de investigação (CSV)
- Zscaler
Observação
O Cloud Discovery oferece suporte a endereços IPv4 e IPv6.
Se o seu log não receber suporte ou se você estiver um formato de log recém-lançado de uma das fontes de dados com suporte e o upload falhar, selecione Outros como a Fonte de dados e especifique o dispositivo e o registro que você está tentando enviar. O log será examinado pela equipe de analistas de nuvem do Defender para Aplicativos de Nuvem e você será notificado se for adicionado suporte para seu tipo de log. Como alternativa, você pode definir um analisador personalizado que corresponda ao seu formato. Para obter mais informações, consulte Usar um analisador de log personalizado.
Observação
A lista de dispositivos com suporte a seguir pode não funcionar com formatos de log recém-lançados. Se você estiver usando um formato recém-lançado e o carregamento estiver falhando, use um analisador de log personalizado e, se necessário, abra um caso de suporte. Se você abrir um caso de suporte, certifique-se de fornecer a documentação de firewall relevante com seu caso.
Atributos de dados (de acordo com a documentação do fornecedor):
| Fonte de dados | URL do aplicativo de destino | IP do aplicativo de destino | Nome de Usuário | IP de Origem | Tráfego total | Bytes carregados |
|---|---|---|---|---|---|---|
| Barracuda | Sim | Sim | Sim | Sim | Não | No |
| Blue Coat | Sim | Não | Sim | Sim | Sim | Sim |
| Ponto de Verificação | Não | Sim | Não | Sim | Não | No |
| Cisco ASA (Syslog) | Não | Sim | Não | Sim | Sim | No |
| Cisco ASA com FirePOWER | Sim | Sim | Sim | Sim | Sim | Sim |
| Cisco Cloud Web Security | Sim | Sim | Sim | Sim | Sim | Sim |
| Cisco FWSM | Não | Sim | Não | Sim | Sim | No |
| Cisco Ironport WSA | Sim | Sim | Sim | Sim | Sim | Sim |
| Cisco Meraki | Sim | Sim | Não | Sim | Não | No |
| Clavister NGFW (Syslog) | Sim | Sim | Sim | Sim | Sim | Sim |
| ContentKeeper | Sim | Sim | Sim | Sim | Sim | Sim |
| Corrata | Sim | Sim | Sim | Sim | Sim | Sim |
| Digital Arts i-FILTER | Sim | Sim | Sim | Sim | Sim | Sim |
| ForcePoint LEEF | Sim | Sim | Sim | Sim | Sim | Sim |
| ForcePoint Web Security Cloud* | Sim | Sim | Sim | Sim | Sim | Sim |
| Fortinet Fortigate | Não | Sim | Sim | Sim | Sim | Sim |
| FortiOS | Sim | Sim | Não | Sim | Sim | Sim |
| iboss | Sim | Sim | Sim | Sim | Sim | Sim |
| Juniper SRX | Não | Sim | Não | Sim | Sim | Sim |
| Juniper SSG | Não | Sim | Sim | Sim | Sim | Sim |
| McAfee SWG | Sim | Não | No | Sim | Sim | Sim |
| Menlo Security (CEF) | Sim | Sim | Sim | Sim | Sim | Sim |
| MS TMG | Sim | Não | Sim | Sim | Sim | Sim |
| Open Systems Secure Web Gateway | Sim | Sim | Sim | Sim | Sim | Sim |
| Palo Alto Networks | Não | Sim | Sim | Sim | Sim | Sim |
| SonicWall (anteriormente conhecido como Dell) | Sim | Sim | Não | Sim | Sim | Sim |
| Sophos | Sim | Sim | Sim | Sim | Sim | No |
| Squid (comum) | Sim | Não | Sim | Sim | Sim | No |
| Squid (nativo) | Sim | Não | Sim | Sim | Não | No |
| Stormshield | Não | Sim | Sim | Sim | Sim | Sim |
| Wandera | Sim | Sim | Sim | Sim | Sim | Sim |
| WatchGuard | Sim | Sim | Sim | Sim | Sim | Sim |
| Websense – log de atividades de Internet (CEF) | Sim | Sim | Sim | Sim | Sim | Sim |
| Websense – Relatório de detalhes investigativo (CSV) | Sim | Sim | Sim | Sim | Sim | Sim |
| Zscaler | Sim | Sim | Sim | Sim | Sim | Sim |
* As versões 8.5 e posteriores do ForcePoint Web Security Cloud não têm suporte