Del via

Opret øjebliksbillede af cloudregistreringsrapporter

  • Artikel

Det er vigtigt at uploade en log manuelt og lade Microsoft Defender for Cloud Apps fortolke den, før du forsøger at bruge den automatiske logopsamler. Du kan finde oplysninger om, hvordan logindsamleren fungerer, og det forventede logformat under Brug af trafiklogge til registrering i skyen.

Hvis du endnu ikke har en log, og du vil se et eksempel på, hvordan din log skal se ud, skal du downloade en eksempellogfil. Følg fremgangsmåden nedenfor for at se, hvordan din log skal se ud.

Sådan opretter du en snapshotrapport:

  1. Indsaml logfiler fra din firewall og proxy, hvorigennem brugerne i organisationen får adgang til internettet. Sørg for at indsamle logge i perioder med spidsbelastningstrafik, der repræsenterer alle brugeraktiviteter i din organisation.

  2. I Microsoft Defender-portalen under Cloud Apps skal du vælge Cloudregistrering.

  3. I øverste højre hjørne skal du trække handlinger ned og vælge Opret snapshotrapport i Cloud Discovery.

    Opret en ny snapshotrapport.

  4. Vælg Næste.

  5. Angiv et rapportnavn og en beskrivelse

    Ny snapshotrapport.

  6. Vælg den kilde , du vil overføre logfilerne fra. Hvis din kilde ikke understøttes (se Understøttede firewalls og proxyer for at se den komplette liste), kan du oprette en brugerdefineret fortolker. Du kan finde flere oplysninger under Brug en brugerdefineret logparser.

  7. Kontrollér dit logformat for at sikre, at det er formateret korrekt i henhold til den eksempellog, du kan downloade. Under Bekræft dit logformat skal du vælge Vis logformat og derefter vælge Download eksempellog. Sammenlign din log med det eksempel, der er angivet, for at sikre, at den er kompatibel.

    Kontrollér dit logformat.

    Bemærk!

    FTP-eksempelformatet understøttes i snapshots og automatiseret upload, mens syslog kun understøttes i automatiseret overførsel. Hvis du henter en eksempellogfil, hentes et eksempel på en FTP-log.

  8. Overfør trafiklogge , som du vil overføre. Du kan uploade op til 20 filer på én gang. Komprimerede og zip-komprimerede filer understøttes også.

    Overfør trafiklogge.

  9. Vælg Upload logge.

  10. Når overførslen er fuldført, vises statusmeddelelsen i øverste højre hjørne af skærmen, hvor du kan se, at din log er blevet overført.

  11. Når du har uploadet dine logfiler, tager det noget tid, før de analyseres og analyseres. Når behandlingen af dine logfiler er fuldført, modtager du en mail, hvor du får besked om, at den er færdig.

  12. Der vises et meddelelsesbanner på statuslinjen øverst i dashboardet Cloud Discovery . Banneret opdaterer dig med status for behandling af dine logfiler. behandler menulinjen logfil.

  13. Når loggene er uploadet, får du vist en meddelelse om, at behandlingen af logfilen er fuldført. På dette tidspunkt kan du få vist rapporten ved at vælge linket på statuslinjen. Eller vælg Indstillinger i Microsoft Defender Portal.

  14. Vælg derefter Snapshot-rapporter under Cloud Discovery, og vælg din snapshotrapport.

    administration af snapshotrapporter.

Brug af trafiklogge til cloudregistrering

Cloudregistrering bruger dataene i dine trafiklogge. Jo mere detaljeret din log er, jo bedre synlighed får du. Cloudregistrering kræver webtrafikdata med følgende attributter:

  • Dato for transaktionen
  • Kilde-IP
  • Kildebruger – anbefales på det kraftigste
  • Destinations-IP-adresse
  • Destinations-URL-adresse anbefales (URL-adresser giver større nøjagtighed for registrering af cloudapps end IP-adresser)
  • Samlet datamængde (dataoplysninger er meget værdifulde)
  • Mængden af uploadede eller downloadede data (giver indsigt i brugsmønstret for cloudapps)
  • Handling udført (tilladt/blokeret)

Cloudregistrering kan ikke vise eller analysere attributter, der ikke er inkluderet i dine logge. Standardlogformatet for Cisco ASA Firewall har f.eks. ikke antallet af uploadede byte pr. transaktion, brugernavn og destinations-URL-adresse (kun destinations-IP). Derfor vises disse attributter ikke i cloudregistreringsdata for disse logge, og synligheden af cloudapps er begrænset. For Cisco ASA firewalls er det nødvendigt at angive oplysningsniveauet til 6.

Hvis du vil generere en cloudregistreringsrapport, skal dine trafiklogge opfylde følgende betingelser:

  1. Datakilde understøttes.
  2. Logformatet svarer til det forventede standardformat (format, der kontrolleres ved upload af værktøjet Log).
  3. Hændelser er ikke mere end 90 dage gamle.
  4. Logfilen er gyldig og indeholder oplysninger om udgående trafik.

Næste trin

Styr cloudapps med politikker

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.