Dela via

Skapa molnidentifieringsrapporter för ögonblicksbilder

  • Artikel

Det är viktigt att ladda upp en logg manuellt och låta Microsoft Defender för Cloud Apps parsa den innan du försöker använda den automatiska logginsamlaren. Information om hur logginsamlaren fungerar och det förväntade loggformatet finns i Använda trafikloggar för molnidentifiering.

Om du inte har någon logg ännu och vill se ett exempel på hur loggen ska se ut laddar du ned en exempelloggfil. Följ proceduren nedan för att se hur loggen ska se ut.

För att skapa en ögonblicksbildrapport:

  1. Samla in loggfiler från brandväggen och proxyservern som användarna i din organisation ansluter till Internet genom. Samla in loggar under tider med hög trafik som är representativa för all användaraktivitet i din organisation.

  2. I Microsoft Defender-portalen går du till Cloud Apps och väljer Molnidentifiering.

  3. I det övre högra hörnet drar du ned Åtgärder och väljer Skapa ögonblicksbildrapport för Cloud Discovery.

    Skapa en ny ögonblicksbildrapport.

  4. Välj Nästa.

  5. Ange ett Rapportnamn och en Beskrivning

    Ny ögonblicksbildsrapport.

  6. Välj den källa som du vill ladda upp loggfilerna från. Om källan inte stöds (se Brandväggar och proxyservrar som stöds för den fullständiga listan) kan du skapa en anpassad parser. Mer information finns i Använda en anpassad loggparser.

  7. Kontrollera loggformatet för att se till att det är korrekt formaterat enligt exempelloggen som du kan ladda ned. Under Verifiera loggformatet väljer du Visa loggformat och sedan Ladda ned exempellogg. Jämför din logg med exemplet som tillhandahålls för att kontrollera att den är kompatibel.

    Kontrollera loggformatet.

    Kommentar

    FTP-exempelformatet stöds i ögonblicksbilder och automatisk uppladdning medan syslog endast stöds i automatisk uppladdning. Om du laddar ned en exempellogg hämtas en FTP-exempellogg.

  8. Ladda upp trafikloggar som du vill ladda upp. Du kan ladda upp högst 20 filer samtidigt. Komprimerade och zippade filer stöds också.

    Ladda upp trafikloggar.

  9. Välj Ladda upp loggar.

  10. När uppladdningen är klar visas statusmeddelandet i det övre högra hörnet på skärmen så att du vet att loggen har laddats upp.

  11. När du har laddat upp loggfilerna tar det lite tid för dem att parsas och analyseras. När bearbetningen av loggfilerna har slutförts får du ett e-postmeddelande om att det är klart.

  12. En meddelandebanderoll visas i statusfältet överst på Cloud Discovery-instrumentpanelen . Banderollen uppdaterar dig med bearbetningsstatusen för dina loggfiler. menyraden för bearbetning av loggfil.

  13. När loggarna överförts ska du se ett meddelande som låter dig veta att loggfilsbearbetningen har slutförts. Nu kan du visa rapporten genom att välja länken i statusfältet. Eller så väljer du Inställningar i Microsoft Defender-portalen.

  14. Under Cloud Discovery väljer du Ögonblicksbildsrapporter och sedan din ögonblicksbildrapport.

    hantering av ögonblicksbildrapporter.

Använda trafikloggar för molnidentifiering

Molnidentifiering använder data i dina trafikloggar. Ju mer detaljerad loggen är, desto bättre insyn får du. Molnidentifiering kräver webbtrafikdata med följande attribut:

  • Datum för transaktionen
  • Käll-IP-adress
  • Källanvändare – rekommenderas starkt
  • Mål-IP-adress
  • Mål-URL rekommenderas( URL:er ger bättre precision för identifieringen av molnappar än IP-adresser)
  • Total mängd data (datainformationen är ytterst värdefull)
  • Mängden överförda eller hämtade data (ger inblick i användningsmönster för molnapparna)
  • Utförd åtgärd (tillåten/blockerad)

Molnidentifiering kan inte visa eller analysera attribut som inte ingår i loggarna. Till exempel har Cisco ASA Firewall standardloggformat inte antalet uppladdade byte per transaktion, användarnamn och mål-URL (endast mål-IP). Därför visas inte dessa attribut i molnidentifieringsdata för dessa loggar och insynen i molnapparna begränsas. För Cisco ASA-brandväggar är det nödvändigt att ange informationsnivån till 6.

Om du vill generera en molnidentifieringsrapport måste dina trafikloggar uppfylla följande villkor:

  1. Datakälla stöds.
  2. Loggformatet matchar det förväntade standardformatet (format som kontrolleras vid uppladdning av loggverktyget).
  3. Händelser är inte mer än 90 dagar gamla.
  4. Loggfilen är giltig och innehåller information om utgående trafik.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.