Поделиться через

Создание отчетов об обнаружении моментальных снимков в облаке

  • Статья

Важно отправить журнал вручную и позволить Microsoft Defender для облачных приложений проанализировать его, прежде чем пытаться использовать автоматический сборщик журналов. Сведения о том, как работает сборщик журналов и ожидаемый формат журнала, см. в разделе "Использование журналов трафика для обнаружения облака".

Если у вас нет журнала и вы хотите узнать, как он должен выглядеть, скачайте пример файла журнала. Следуйте приведенной ниже процедуре, чтобы увидеть, как должен выглядеть ваш журнал.

Чтобы создать отчет о снимке, выполните указанные ниже действия.

  1. Соберите файлы журналов брандмауэра и прокси-сервера, через которые пользователи этой организации выходят в Интернет. Обязательно собирайте журналы во время пикового трафика, отражающие все действия пользователей в этой организации.

  2. На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery.

  3. В правом верхнем углу щелкните "Действия" и выберите "Создать отчет моментального снимка Cloud Discovery".

    Создайте отчет моментального снимка.

  4. Выберите Далее.

  5. Введите имя отчета и описание.

    Новый отчет моментального снимка.

  6. Выберите Источник из которого вы хотите отправить файлы журнала. Если источник не поддерживается (см . поддерживаемые брандмауэры и прокси-серверы для полного списка), можно создать пользовательский средство синтаксического анализа. Дополнительные сведения см. в статье Использование настраиваемого средства синтаксического анализа журналов

  7. Проверьте, правильно ли отформатирован журнал в соответствии с образцом журнала, который вы можете скачать. В разделе Проверить формат журнала выберите Формат журнала а затем выберите Скачать образец журнала. Сравните свой журнал с предоставленным образцом, чтобы проверить, совместим ли он.

    Проверьте формат журнала.

    Примечание.

    Формат примера FTP поддерживается для моментальных снимков и автоматической отправки, а системный журнал — только для автоматической отправки. При скачивании образца журнала будет загружен образец журнала FTP.

  8. Отправьте журналы трафика, которые требуется отправить. Вы можете отправить до 20 файлов одновременно. Также поддерживаются сжатые и заархивированные файлы.

    Отправить журналы трафика.

  9. Сбор и отправка журналов.

  10. После завершения отправки сообщение о состоянии появится в правом верхнем углу экрана, чтобы узнать, что журнал успешно отправлен.

  11. После отправки файлов журнала потребуется некоторое время для их разбора и анализа. После завершения обработки файлов журналов вы получите электронное письмо с уведомлением об этом.

  12. В строке состояния в верхней части панели мониторинга Cloud Discovery появится баннер с уведомлением. Баннер информирует вас о состоянии обработки файлов журналов. строка меню файла журнала обработки.

  13. После успешной отправки журналов вы увидите уведомление о том, что обработка файла журнала успешно завершена. На этом этапе отчет можно просмотреть, выбрав ссылку в строке состояния. Или на портале Microsoft Defender выберите параметры.

  14. Затем в разделе Cloud Discovery выберите отчеты моментальных снимков и выберите отчет моментального снимка.

    Управление отчетами моментальных снимков.

Использование журналов трафика для облачного обнаружения

Cloud discovery использует данные в журналах трафика. Чем подробнее ваш журнал, тем лучше видимость. Cloud Discovery требует данных веб-трафика со следующими атрибутами:

  • Дата транзакции
  • Исходный IP-адрес
  • Исходный пользователь — настоятельно рекомендуется
  • IP-адрес назначения
  • URL-адрес назначения рекомендуется (URL-адреса обеспечивают более точное обнаружение облачных приложений, чем IP-адреса)
  • Общий объем данных (сведения о данных очень ценны)
  • Объем отправленных или скачанных данных (предоставляет сведения о шаблонах использования облачных приложений).
  • Предпринятое действие (разрешено или заблокировано)

Cloud Discovery не может отображать или анализировать атрибуты, не включенные в журналы. Например, журнал стандартного формата брандмауэра Cisco ASA не содержит сведения о количестве отправленных байт на транзакцию, имени пользователя и целевом URL-адресе (передается только целевой IP-адрес). Таким образом, эти атрибуты не будут отображаться в данных облачного обнаружения для этих журналов, а видимость облачных приложений будет ограничена. Для межсетевых экранов Cisco ASA необходимо установить информационный уровень 6.

Чтобы успешно создать отчет об обнаружении облака, журналы трафика должны соответствовать следующим условиям:

  1. Поддерживаемый источник данных.
  2. Формат журнала соответствует ожидаемому стандартному формату (формат проверяется при загрузке инструментом журнала).
  3. События не старше 90 дней.
  4. Файл журнала действителен и содержит сведения об исходящем трафике.

Следующие шаги

Управление облачными приложениями с помощью политик

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.