Skapa Cloud Discovery-ögonblicksbildsrapporter

  • Artikel

Det är viktigt att ladda upp en logg manuellt och låta Microsoft Defender för molnet Apps parsa den innan du försöker använda den automatiska logginsamlaren. Information om hur logginsamlaren fungerar och det förväntade loggformatet finns i Använda trafikloggar för Cloud Discovery.

Om du inte har någon logg ännu och vill se ett exempel på hur loggen ska se ut laddar du ned en exempelloggfil. Följ proceduren nedan för att se hur loggen ska se ut.

För att skapa en ögonblicksbildrapport:

  1. Samla in loggfiler från brandväggen och proxyservern som användarna i din organisation ansluter till Internet genom. Samla in loggar under tider med hög trafik som är representativa för all användaraktivitet i din organisation.

  2. I Microsoft Defender-portalen går du till Cloud Apps och väljer Molnidentifiering.

  3. I det övre högra hörnet drar du ned Åtgärder och väljer Skapa ögonblicksbildrapport för Cloud Discovery.

    Create new snapshot report.

  4. Välj Nästa.

  5. Ange ett Rapportnamn och en Beskrivning

    New snapshot report.

  6. Välj den källa som du vill ladda upp loggfilerna från. Om källan inte stöds (se Brandväggar och proxyservrar som stöds för den fullständiga listan) kan du skapa en anpassad parser. Mer information finns i Använda en anpassad loggparser.

  7. Kontrollera loggformatet för att se till att det är korrekt formaterat enligt exempelloggen som du kan ladda ned. Under Verifiera loggformatet väljer du Visa loggformat och sedan Ladda ned exempellogg. Jämför din logg med exemplet som tillhandahålls för att kontrollera att den är kompatibel.

    Verify your log format.

    Kommentar

    FTP-exempelformatet stöds i ögonblicksbilder och automatisk uppladdning medan syslog endast stöds i automatisk uppladdning. Om du laddar ned en exempellogg hämtas en FTP-exempellogg.

  8. Ladda upp trafikloggar som du vill ladda upp. Du kan ladda upp högst 20 filer samtidigt. Komprimerade och zippade filer stöds också.

    Upload traffic logs.

  9. Välj Ladda upp loggar.

  10. När uppladdningen är klar visas statusmeddelandet i det övre högra hörnet på skärmen så att du vet att loggen har laddats upp.

  11. När du har laddat upp loggfilerna tar det lite tid för dem att parsas och analyseras. När bearbetningen av loggfilerna har slutförts får du ett e-postmeddelande om att det är klart.

  12. En meddelandebanderoll visas i statusfältet överst på Cloud Discovery-instrumentpanelen. Banderollen uppdaterar dig med bearbetningsstatusen för dina loggfiler. processing log file menu bar.

  13. När loggarna överförts ska du se ett meddelande som låter dig veta att loggfilsbearbetningen har slutförts. Nu kan du visa rapporten genom att välja länken i statusfältet. Du kan också välja Inställningar i Microsoft Defender-portalen.

  14. Under Cloud Discovery väljer du Ögonblicksbildsrapporter och sedan din ögonblicksbildrapport.

    snapshot report management.

Använda trafikloggar för Cloud Discovery

Cloud Discovery använder data i dina trafikloggar. Ju mer detaljerad loggen är, desto bättre insyn får du. Cloud Discovery kräver webbtrafikdata med följande attribut:

  • Datum för transaktionen
  • Käll-IP-adress
  • Källanvändare – rekommenderas starkt
  • Mål-IP-adress
  • Mål-URL rekommenderas( URL:er ger bättre precision för identifieringen av molnappar än IP-adresser)
  • Total mängd data (datainformationen är ytterst värdefull)
  • Mängden överförda eller hämtade data (ger inblick i användningsmönster för molnapparna)
  • Utförd åtgärd (tillåten/blockerad)

Cloud Discovery kan inte visa eller analysera attribut som inte ingår i loggarna. Till exempel har Cisco ASA Firewall standardloggformat inte antalet uppladdade byte per transaktion, användarnamn och mål-URL (endast mål-IP). Därför visas inte dessa attribut i Cloud Discovery-data för dessa loggar och insynen i molnapparna begränsas. För Cisco ASA-brandväggar är det nödvändigt att ange informationsnivån till 6.

Om du vill generera en Cloud Discovery-rapport måste dina trafikloggar uppfylla följande villkor:

  1. Datakälla stöds.
  2. Loggformatet matchar det förväntade standardformatet (format som kontrolleras vid uppladdning av loggverktyget).
  3. Händelser är inte mer än 90 dagar gamla.
  4. Loggfilen är giltig och innehåller information om utgående trafik.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.