Поделиться через


Обзор обнаружения облачных приложений

Cloud Discovery анализирует журналы трафика в каталоге приложений Microsoft Defender для облака более 31 000 облачных приложений. Приложения ранжируются и оцениваются на основе более чем 90 факторов риска, чтобы обеспечить постоянную видимость облачного использования, теневого ИТ-решения и риска, который представляет собой теневой ИТ в вашей организации.

Совет

По умолчанию Defender для облака приложения не могут обнаруживать приложения, не входящие в каталог.

Чтобы просмотреть данные Defender для облака Приложения для приложения, которое сейчас не находится в каталоге, рекомендуется проверить нашу стратегию) или создать пользовательское приложение.

Моментальные снимки и непрерывные отчеты об оценке рисков

Вы можете создать следующие типы отчетов:

  • Моментальные отчеты позволяют динамически контролировать набор журналов трафика, которые вы отправляете вручную из брандмауэров и с прокси-серверов.

  • Непрерывные отчеты— анализ всех журналов, пересылаемых из сети с помощью Defender для облака приложений. Они обеспечивают улучшенную видимость всех данных и автоматически определяют аномальное использование либо с помощью механизма обнаружения аномалий машинного обучения, либо с помощью определяемых вами настраиваемых политик. Эти отчеты могут быть созданы путем подключения следующими способами:

    • интеграция Microsoft Defender для конечной точки: Defender для облака приложения интегрируются с Defender для конечной точки в собственном коде, упрощают развертывание облачного обнаружения, расширяют возможности обнаружения облака за пределами корпоративной сети и позволяют выполнять исследование на основе компьютеров.
    • Сборщики журналируемых данных. Позволяют легко автоматизировать отправку журналов из сети. Сборщик журналов работает в сети и получает журналы через Syslog или FTP.
    • Безопасный веб-шлюз (SWG): если вы работаете с приложениями Defender для облака и одним из следующих SWG, вы можете интегрировать продукты, чтобы улучшить взаимодействие с облаком безопасности. Вместе Defender для облака приложения и SWG обеспечивают простое развертывание облачного обнаружения, автоматическое блокирование неуправляемых приложений и оценку рисков непосредственно на портале SWG.
  • API облачного обнаружения— используйте API облачного обнаружения приложений Defender для облака для автоматизации отправки журнала трафика и получения автоматизированного отчета об обнаружении облака и оценки рисков. Вы также можете использовать API для создания сценариев блокировки и упрощения управления приложениями непосредственно на сетевом устройстве.

Журнал рабочего потока: от необработанных данных до оценки рисков

Процесс создания оценки риска состоит из следующих шагов. Процесс занимает от нескольких минут до нескольких часов в зависимости от объема обрабатываемых данных.

  • Отправка — веб-журналы трафика из сети передаются на портал.

  • Синтаксический анализ — Defender для облака приложения анализирует и извлекает данные трафика из журналов трафика с выделенным средством синтаксического анализа для каждого источника данных.

  • Анализ — данные трафика анализируются в каталоге облачных приложений, чтобы определить более 31 000 облачных приложений и оценить их оценку риска. В рамках анализа также определяются активные пользователи и IP-адреса.

  • Создание отчета — отчет оценки рисков создается на основе данных, извлеченных из файлов журналов.

Примечание.

Данные обнаружения анализируются и обновляются четыре раза в день.

Поддерживаемые брандмауэры и прокси-серверы

  • Barracuda — брандмауэр веб-приложений (W3C)
  • Blue Coat Proxy SG — журнал доступа (W3C)
  • Check Point
  • Cisco Active Server Application с FirePOWER
  • Брандмауэр Cisco ASA Firewall (для брандмауэров Cisco ASA необходимо задать уровень информации 6)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki — журнал URL-адресов
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Коррата
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Безопасный веб-шлюз Open Systems
  • Брандмауэр из серии Palo Alto
  • Sonicwall (прежнее название — Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (Common)
  • Squid (Native)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense — Web Security Solutions — отчет об интернет-активности (CEF)
  • Websense — Web Security Solutions — подробный отчет для проведения расследований (CSV)
  • Zscaler

Примечание.

Cloud discovery поддерживает как IPv4, так и IPv6-адреса.

Если журнал не поддерживается, или если вы используете только что выпущенный формат журнала из одного из поддерживаемых источников данных и отправка завершается ошибкой, выберите "Другой " в качестве источника данных и укажите устройство и журнал, который вы пытаетесь отправить. Журнал будет проверен группой аналитиков облачных приложений Defender для облака, и вы получите уведомление, если добавлена поддержка типа журнала. Также можно определить пользовательское средство синтаксического анализа, которое соответствует вашему формату. Дополнительные сведения см. в статье Использование настраиваемого средства синтаксического анализа журналов

Примечание.

Следующий список поддерживаемых устройств может не работать с недавно выпущенными форматами журналов. Если вы используете только что выпущенный формат и отправка завершается ошибкой, используйте пользовательский средство синтаксического анализа журналов и при необходимости откройте вариант поддержки. Если вы открываете вариант поддержки, укажите соответствующую документацию по брандмауэру в вашем случае.

Атрибуты данных (в соответствии с документацией поставщика):

Источник данных Целевой URL-адрес приложения Целевой IP-адрес приложения Username Исходный IP-адрес Общий трафик Отправлено байтов
Barracuda Да Да Да Да No No
Blue Coat Да No Да Да Да Да
Check Point No Да No Да No No
Cisco ASA (Syslog) No Да No Да Да Нет
Cisco Active Server Application с FirePOWER Да Да Да Да Да Да
Cisco Cloud Web Security Да Да Да Да Да Да
Cisco FWSM No Да No Да Да Нет
Cisco Ironport WSA Да Да Да Да Да Да
Cisco Meraki Да Да No Да No No
Clavister NGFW (Syslog) Да Да Да Да Да Да
ContentKeeper Да Да Да Да Да Да
Коррата Да Да Да Да Да Да
Digital Arts i-FILTER Да Да Да Да Да Да
ForcePoint LEEF Да Да Да Да Да Да
Cloud ForcePoint Web Security* Да Да Да Да Да Да
Fortinet Fortigate No Да Да Да Да Да
FortiOS Да Да No Да Да Да
iboss Да Да Да Да Да Да
Juniper SRX No Да No Да Да Да
Juniper SSG No Да Да Да Да Да
McAfee SWG Да No No Да Да Да
Menlo Security (CEF) Да Да Да Да Да Да
MS TMG Да No Да Да Да Да
Безопасный веб-шлюз Open Systems Да Да Да Да Да Да
Palo Alto Networks No Да Да Да Да Да
SonicWall (прежнее название — Dell) Да Да No Да Да Да
Sophos Да Да Да Да Да Нет
Squid (Common) Да No Да Да Да Нет
Squid (Native) Да No Да Да No No
Stormshield No Да Да Да Да Да
Wandera Да Да Да Да Да Да
WatchGuard Да Да Да Да Да Да
Websense — журнал интернет-активности (CEF) Да Да Да Да Да Да
Websense — анализ подробного отчета (CSV) Да Да Да Да Да Да
Zscaler Да Да Да Да Да Да

* Версии 8.5 и более поздних версий Cloud ForcePoint Web Security Не поддерживаются

Следующие шаги