Cloud App Discovery 概述
Cloud Discovery 会根据超过 31,000 个云应用的 Microsoft Defender for Cloud Apps 目录分析你的流量日志。 应用根据 90 多种风险因素进行排名和评分,使你持续了解云使用情况、影子 IT 以及影子 IT 给组织带来的风险。
提示
默认情况下,Defender for Cloud Apps 无法发现不在目录中的应用。
快照和连续风险评估报表
可以生成以下类型的报表:
快照报表 - 提供一组手动从防火墙和代理上传的流量日志的临时操作可见性。
连续报表 - 使用 Defender for Cloud Apps 分析从网络转发的所有日志 它们可提高所有数据的可见性,并使用机器学习异常情况检测引擎或使用你定义的自定义策略来自动识别异常使用情况。 可以通过以下方式进行连接来创建这些报告:
- Microsoft Defender for Endpoint 集成:Microsoft Defender for Cloud Apps 与 Defender for Endpoint 本机集成,以简化 Cloud Discovery 的推出、将 Cloud Discovery 功能扩展至公司网络外部,并支持基于计算机的调查。
- 日志收集器:使用日志收集器,可以轻松地从网络自动上传日志。 日志收集器在你的网络上运行,并且通过 Syslog 或 FTP 接收日志。
- 安全 Web 网关 (SWG):如果同时使用 Microsoft Defender for Cloud Apps 和以下 SWG 之一,则可以集成这些产品以增强安全 Cloud Discovery 体验。 结合使用 Defender for Cloud Apps 和 SWG 可实现 Cloud Discovery 的无缝部署、自动阻止未经批准的应用程序以及直接在 SWG 门户中进行风险评估。
Cloud Discovery API - 使用 Microsoft Defender for Cloud Apps 的 Cloud Discovery API 自动执行流量日志上传并获取自动化 Cloud Discovery 报表和风险评估。 还可以使用 API 生成块脚本,并直接将应用控件简化到网络设备。
日志流程流:从原始数据到风险评估
生成风险评估的过程包括以下步骤。 此过程需要几分钟到几个小时,具体取决于处理的数据量。
上载 – 网络中的 Web 流量日志将会上载到门户。
解析 - Defender for Cloud Apps 使用每个数据源的专用解析程序解析和提取流量日志中的流量数据。
分析 - 对云应用目录进行流量数据分析,以标识 31,000 多个云应用并评估其风险分数。 分析过程中也会识别活动用户和 IP 地址。
生成报表 -生成日志文件中提取的数据风险评估报表。
注意
发现数据每天分析和更新四次。
支持的防火墙和代理
- Barracuda - Web 应用防火墙 (W3C)
- Blue Coat Proxy SG - 访问日志 (W3C)
- 检查点
- 带有 FirePOWER 的 Cisco ASA
- Cisco ASA 防火墙(对于 Cisco ASA 防火墙,必须将信息级别设置为 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URL 日志
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- 数字艺术 i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss 安全云网关
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- 开放系统安全 Web 网关
- Palo Alto 系列防火墙
- Sonicwall(以前称为 Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid(通用)
- Squid(本机)
- Stormshield
- Wandera
- WatchGuard
- Websense - Web 安全解决方案 - Internet 活动日志 (CEF)
- Websense - Web 安全解决方案 - 调查详细报表 (CSV)
- Zscaler
注意
Cloud Discovery 支持 IPv4 和 IPv6 地址。
如果日志不受支持,或者使用某个受支持数据源中新发布的日志格式且上传失败,请选择“其他”作为数据源,并指定尝试上传的设备和日志。 Defender for Cloud Apps 云分析师团队将审核日志,而且会在添加日志类型支持时通知你。 也可以定义用于匹配格式的自定义分析程序。 有关详细信息,请参阅使用自定义日志分析器。
注意
以下受支持设备列表可能不适用于新发布的日志格式。 如果使用新发布的格式并且上传失败,请使用自定义日志分析器,如果需要,请打开支持案例。 如果提出支持案例,请确保向案例提供相关的防火墙文档。
数据属性(根据供应商文档):
| 数据源 | 目标应用 URL | 目标应用 IP | 用户名 | 原始 IP | 总流量 | 已上传的字节 |
|---|---|---|---|---|---|---|
| Barracuda | 是 | 是 | 是 | 是 | 否 | 否 |
| Blue Coat | 是 | No | 是 | 是 | 是 | 是 |
| 检查点 | 否 | 是 | No | 是 | 否 | 否 |
| Cisco ASA (Syslog) | 否 | 是 | No | 是 | 是 | 否 |
| 带有 FirePOWER 的 Cisco ASA | 是 | 是 | 是 | 是 | 是 | 是 |
| Cisco Cloud Web Security | 是 | 是 | 是 | 是 | 是 | 是 |
| Cisco FWSM | 否 | 是 | No | 是 | 是 | 否 |
| Cisco Ironport WSA | 是 | 是 | 是 | 是 | 是 | 是 |
| Cisco Meraki | 是 | 是 | No | 是 | 否 | 否 |
| Clavister NGFW (Syslog) | 是 | 是 | 是 | 是 | 是 | 是 |
| ContentKeeper | 是 | 是 | 是 | 是 | 是 | 是 |
| Corrata | 是 | 是 | 是 | 是 | 是 | 是 |
| 数字艺术 i-FILTER | 是 | 是 | 是 | 是 | 是 | 是 |
| ForcePoint LEEF | 是 | 是 | 是 | 是 | 是 | 是 |
| ForcePoint Web Security Cloud* | 是 | 是 | 是 | 是 | 是 | 是 |
| Fortinet Fortigate | 否 | 是 | 是 | 是 | 是 | 是 |
| FortiOS | 是 | 是 | No | 是 | 是 | 是 |
| iboss | 是 | 是 | 是 | 是 | 是 | 是 |
| Juniper SRX | 否 | 是 | No | 是 | 是 | 是 |
| Juniper SSG | 否 | 是 | 是 | 是 | 是 | 是 |
| McAfee SWG | 是 | 否 | No | 是 | 是 | 是 |
| Menlo Security (CEF) | 是 | 是 | 是 | 是 | 是 | 是 |
| MS TMG | 是 | No | 是 | 是 | 是 | 是 |
| 开放系统安全 Web 网关 | 是 | 是 | 是 | 是 | 是 | 是 |
| Palo Alto Networks | 否 | 是 | 是 | 是 | 是 | 是 |
| SonicWall(以前称为 Dell) | 是 | 是 | No | 是 | 是 | 是 |
| Sophos | 是 | 是 | 是 | 是 | 是 | 否 |
| Squid(通用) | 是 | No | 是 | 是 | 是 | 否 |
| Squid(本机) | 是 | No | 是 | 是 | 否 | 否 |
| Stormshield | 否 | 是 | 是 | 是 | 是 | 是 |
| Wandera | 是 | 是 | 是 | 是 | 是 | 是 |
| WatchGuard | 是 | 是 | 是 | 是 | 是 | 是 |
| Websense - Internet 活动日志 (CEF) | 是 | 是 | 是 | 是 | 是 | 是 |
| Websense - 调查详细信息报表 (CSV) | 是 | 是 | 是 | 是 | 是 | 是 |
| Zscaler | 是 | 是 | 是 | 是 | 是 | 是 |
*不支持 ForcePoint Web Security Cloud 版本 8.5 及更高版本