Sdílet prostřednictvím

Vytváření sestav služby Snapshot Cloud Discovery

  • Článek

Před použitím automatického kolektoru protokolů je důležité protokol nahrát ručně a nechat ho Microsoft Defender for Cloud Apps parsovat. Informace o tom, jak kolektor protokolů funguje a jaký je očekávaný formát protokolu, najdete v tématu Použití protokolů provozu pro cloud discovery.

Pokud ještě nemáte protokol a chcete vidět příklad, jak by měl vypadat, stáhněte si ukázkový soubor protokolu. Postupujte podle následujícího postupu a podívejte se, jak by měl protokol vypadat.

Vytvoření sestavy snímků:

  1. Shromážděte soubory protokolů z brány firewall a proxy serveru, prostřednictvím kterých uživatelé ve vaší organizaci přistupují k internetu. Nezapomeňte shromáždit protokoly v době špičky provozu, které představují všechny aktivity uživatelů ve vaší organizaci.

  2. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery.

  3. V pravém horním rohu potáhněte položky Actions ( Akce) a vyberte Create Cloud Discovery snapshot report (Vytvořit sestavu snímku Cloud Discovery).

    Vytvořte novou sestavu snímků.

  4. Vyberte Další.

  5. Zadejte název sestavy a popis.

    Nová sestava snímků.

  6. Vyberte zdroj , ze kterého chcete nahrát soubory protokolu. Pokud váš zdroj není podporovaný (úplný seznam najdete v části Podporované brány firewall a proxy servery ), můžete vytvořit vlastní analyzátor. Další informace najdete v tématu Použití vlastního analyzátoru protokolů.

  7. Ověřte formát protokolu a ujistěte se, že je správně naformátovaný podle ukázkového protokolu, který si můžete stáhnout. V části Ověření formátu protokolu vyberte Zobrazit formát protokolu a pak vyberte Stáhnout ukázkový protokol. Porovnejte protokol s předanou ukázkou a ujistěte se, že je kompatibilní.

    Ověřte formát protokolu.

    Poznámka

    Ukázkový formát FTP je podporován ve snímcích a automatizovaném nahrávání, zatímco syslog je podporován pouze při automatizovaném nahrávání. Stažením ukázkového protokolu se stáhne ukázkový protokol FTP.

  8. Nahrajte protokoly provozu , které chcete nahrát. Najednou můžete nahrát až 20 souborů. Podporují se také komprimované soubory a komprimované soubory.

    Nahrajte protokoly provozu.

  9. Vyberte Nahrát protokoly.

  10. Po dokončení nahrávání se v pravém horním rohu obrazovky zobrazí stavová zpráva s informací, že se protokol úspěšně nahrál.

  11. Po nahrání souborů protokolu bude chvíli trvat, než se budou analyzovat a analyzovat. Po dokončení zpracování souborů protokolu obdržíte e-mail s oznámením, že je hotovo.

  12. Na stavovém řádku v horní části řídicího panelu Cloud Discovery se zobrazí banner s oznámením. Banner vás aktualizuje o stav zpracování souborů protokolu. zpracování řádku nabídek souboru protokolu.

  13. Po úspěšném nahrání protokolů by se mělo zobrazit oznámení, že se zpracování souboru protokolu úspěšně dokončilo. V tomto okamžiku můžete sestavu zobrazit tak, že na stavovém řádku vyberete odkaz. Nebo na portálu Microsoft Defender vyberte Nastavení.

  14. Pak v části Cloud Discovery vyberte Sestavy snímků a vyberte sestavu snímků.

    správa sestav snímků.

Použití protokolů provozu pro cloud discovery

Cloud Discovery používá data v protokolech provozu. Čím podrobnější je váš protokol, tím lepší viditelnost získáte. Cloud Discovery vyžaduje data webového provozu s následujícími atributy:

  • Datum transakce
  • Zdrojová IP adresa
  • Zdrojový uživatel – důrazně doporučujeme
  • Cílová IP adresa
  • Doporučená cílová adresa URL (adresy URL poskytují vyšší přesnost detekce cloudových aplikací než IP adresy)
  • Celkový objem dat (informace o datech jsou velmi cenné)
  • Množství nahraných nebo stažených dat (poskytuje přehled o vzorcích používání cloudových aplikací)
  • Proběhla akce (povolená/zablokovaná)

Cloud Discovery nemůže zobrazit ani analyzovat atributy, které nejsou součástí vašich protokolů. Například standardní formát protokolu brány firewall Cisco ASA nemá počet nahraných bajtů na transakci, uživatelské jméno a cílovou adresu URL (pouze cílovou IP adresu). Proto se tyto atributy nebudou zobrazovat v datech cloud discovery pro tyto protokoly a viditelnost do cloudových aplikací bude omezená. Pro brány firewall Cisco ASA je nutné nastavit úroveň informací na 6.

Pokud chcete úspěšně vygenerovat sestavu cloud discovery, musí protokoly provozu splňovat následující podmínky:

  1. Zdroj dat se podporuje.
  2. Formát protokolu odpovídá očekávanému standardnímu formátu (formát kontrolovaný při nahrání nástrojem Protokol).
  3. Události nejsou starší než 90 dnů.
  4. Soubor protokolu je platný a obsahuje informace o odchozím provozu.

Další kroky

Řízení cloudových aplikací pomocí zásad

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.