Partilhar via

Criar relatórios de descoberta de nuvem de snapshot

  • Artigo

É importante carregar um log manualmente e permitir que o Microsoft Defender for Cloud Apps o analise antes de tentar usar o coletor de log automático. Para obter informações sobre como o coletor de logs funciona e o formato de log esperado, consulte Usando logs de tráfego para descoberta na nuvem.

Se ainda não tiver um registo e quiser ver um exemplo do aspeto do seu registo, transfira um ficheiro de registo de exemplo. Siga o procedimento abaixo para ver como deve ser o seu registo.

Para criar um relatório instantâneo:

  1. Recolha os ficheiros de registos na firewall e no proxy através dos quais os utilizadores da sua organização acedem à Internet. Confirme que recolhe os registos durante as horas de pico de tráfego que sejam representativas das atividades de todos os utilizadores da organização.

  2. No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Descoberta na nuvem.

  3. No canto superior direito, puxe para baixo Ações e selecione Criar relatório de instantâneo do Cloud Discovery.

    Crie um novo relatório de instantâneo.

  4. Selecione Seguinte.

  5. Introduza um Nome de relatório e uma Descrição

    Novo relatório de snapshot.

  6. Selecione a origem a partir da qual pretende carregar os ficheiros de registo. Se a sua fonte não for suportada (consulte Firewalls e proxies suportados para obter a lista completa), pode criar um analisador personalizado. Para obter mais informações, consulte Usar um analisador de log personalizado.

  7. Verifique o formato do log para certificar-se de que ele está formatado corretamente de acordo com o log de exemplo que você pode baixar. Em Verificar o formato do registo, selecione Ver formato de registo e, em seguida, selecione Transferir registo de exemplo. Compare o seu registo com o exemplo fornecido para se certificar de que é compatível.

    Verifique o formato do log.

    Nota

    O formato de exemplo FTP é suportado em snapshots e upload automatizado, enquanto syslog é suportado apenas em upload automatizado. O download de um log de exemplo fará o download de um log FTP de exemplo.

  8. Carregue os registos de tráfego que pretende carregar. Pode carregar até 20 ficheiros ao mesmo tempo. Também são suportados ficheiros comprimidos e zipados.

    Carregue logs de tráfego.

  9. Selecione Carregar logs.

  10. Após a conclusão do carregamento, a mensagem de status aparecerá no canto superior direito da tela, informando que seu log foi carregado com sucesso.

  11. Depois de carregar os ficheiros de registo, demorará algum tempo até serem examinados e analisados. Após a conclusão do processamento dos seus ficheiros de registo, receberá um e-mail a notificá-lo de que foi concluído.

  12. Um banner de notificação aparecerá na barra de status na parte superior do painel do Cloud Discovery . O banner atualiza você com o status de processamento de seus arquivos de log. Barra de menus do arquivo de log de processamento.

  13. Depois de os registos terem sido carregados com êxito, deverá ver uma notificação a indicar que o processamento dos ficheiros de registo foi concluído com êxito. Neste ponto, você pode visualizar o relatório selecionando o link na barra de status. Ou, no Portal do Microsoft Defender, selecione Configurações.

  14. Em seguida, em Cloud Discovery, selecione Relatórios de instantâneo e selecione seu relatório de instantâneo.

    gerenciamento de relatórios de snapshot.

Usando logs de tráfego para descoberta na nuvem

A descoberta na nuvem usa os dados em seus logs de tráfego. Quanto mais detalhado for o seu registo, maior visibilidade obterá. A descoberta na nuvem requer dados de tráfego da Web com os seguintes atributos:

  • Data da transação
  • IP de origem
  • Utilizador de origem – vivamente recomendado
  • Endereço IP de destino
  • URL de destino recomendado (os URLs fornecem uma maior exatidão para a deteção de aplicações em cloud do que os endereços IP)
  • Quantidade total de dados (as informações sobre os dados são muito valiosas)
  • Quantidade de dados carregados ou transferidos (fornece informações sobre os padrões de utilização das aplicações na cloud)
  • Ação realizada (permitido/bloqueado)

A descoberta na nuvem não pode mostrar ou analisar atributos que não estão incluídos em seus logs. Por exemplo, o formato de log padrão do Cisco ASA Firewall não tem o número de bytes carregados por transação, nome de usuário e URL de destino (apenas IP de destino). Portanto, esses atributos não serão mostrados nos dados de descoberta da nuvem para esses logs e a visibilidade dos aplicativos na nuvem será limitada. Para firewalls Cisco ASA, é necessário definir o nível de informação como 6.

Para gerar com êxito um relatório de descoberta na nuvem, seus logs de tráfego devem atender às seguintes condições:

  1. A fonte de dados é suportada.
  2. O formato de log corresponde ao formato padrão esperado (formato verificado após o upload pela ferramenta Log).
  3. Os eventos não têm mais de 90 dias.
  4. O ficheiro de registo é válido e inclui informações sobre o tráfego de saída.

Próximos passos

Controlar as aplicações na cloud com políticas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.