Freigeben über


Übersicht über die Cloud-App-Ermittlung

Cloud Discovery analysiert Ihre Datenverkehrsprotokolle anhand des Microsoft Defender for Cloud Apps Katalogs von über 31.000 Cloud-Apps. Die Apps werden basierend auf mehr als 90 Risikofaktoren bewertet und bewertet, um Ihnen einen kontinuierlichen Einblick in die Cloudnutzung, die Schatten-IT und das Risiko zu bieten, das die Schatten-IT für Ihre organization darstellt.

Tipp

Standardmäßig können Defender for Cloud Apps keine Apps ermitteln, die nicht im Katalog enthalten sind.

Um Defender for Cloud Apps Daten für eine App anzuzeigen, die derzeit nicht im Katalog enthalten ist, empfehlen wir Ihnen, unsere Roadmap zu überprüfen) oder eine benutzerdefinierte App zu erstellen.

Berichte zu Momentaufnahmen und kontinuierlichen Risikobewertungen

Sie können die folgenden Arten von Berichten generieren:

  • Momentaufnahmeberichte : Bietet Ad-hoc-Sichtbarkeit für eine Gruppe von Datenverkehrsprotokollen, die Sie manuell aus Ihren Firewalls und Proxys hochladen.

  • Fortlaufende Berichte: Analysieren Sie alle Protokolle, die von Ihrem Netzwerk weitergeleitet werden, mithilfe von Defender for Cloud Apps. Sie bieten einen besseren Überblick über alle Daten und identifizieren automatisch anomale Nutzung entweder mit Hilfe der Machine Learning Engine zur Erkennung von Anomalien oder mit Hilfe von benutzerdefinierten Richtlinien, die Sie definieren. Diese Berichte können durch eine Verbindung auf folgende Weise erstellt werden:

    • Microsoft Defender for Endpoint Integration: Defender for Cloud Apps lässt sich nativ in Defender für Endpunkt integrieren, um das Rollout von Cloud Discovery zu vereinfachen, Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus zu erweitern und die computerbasierte Untersuchung zu ermöglichen.
    • Protokollsammler: Mit Protokollsammlern können Sie das Hochladen von Protokollen aus Ihrem Netzwerk einfach automatisieren. Der Protokollsammler läuft auf Ihrem Netzwerk und erhält Protokolle über Syslog oder FTP.
    • Sicheres Webgateway (SWG): Wenn Sie sowohl mit Defender for Cloud Apps als auch mit einem der folgenden SWGs arbeiten, können Sie die Produkte integrieren, um Ihre Cloud Discovery-Erfahrung für Die Sicherheit zu verbessern. Zusammen ermöglichen Defender for Cloud Apps und SWGs eine nahtlose Bereitstellung von Cloud Discovery, automatisches Blockieren von nicht sanktionierten Apps und Risikobewertungen direkt im SWG-Portal.
  • Cloud Discovery-API: Verwenden Sie die Defender for Cloud Apps Cloud Discovery-API, um das Hochladen von Datenverkehrsprotokollen zu automatisieren und automatisierte Cloud Discovery-Berichte und Risikobewertungen zu erhalten. Sie können die API auch verwenden, um Blockskripte zu generieren und die Steuerung von Anwendungen direkt auf Ihrer Netzwerk-Appliance zu optimieren.

Protokollprozessfluss: Von Rohdaten zur Risikobewertung

Der Prozess der Generierung einer Risikobewertung besteht aus den folgenden Schritten. Der Vorgang dauert je nach der Menge der verarbeiteten Daten zwischen einigen Minuten und mehreren Stunden.

  • Hochladen : Webdatenverkehrsprotokolle aus Ihrem Netzwerk werden in das Portal hochgeladen.

  • Analysieren: Defender for Cloud Apps analysiert und extrahiert Datenverkehrsdaten aus den Datenverkehrsprotokollen mit einem dedizierten Parser für jede Datenquelle.

  • Analysieren : Datenverkehrsdaten werden anhand des Cloud-App-Katalogs analysiert, um mehr als 31.000 Cloud-Apps zu identifizieren und deren Risikobewertung zu bewerten. Aktive Benutzer und IP-Adressen werden auch als Teil der Analyse identifiziert.

  • Bericht generieren : Ein Risikobewertungsbericht der aus Protokolldateien extrahierten Daten wird generiert.

Hinweis

Discovery-Daten werden viermal täglich analysiert und aktualisiert.

Unterstützte Firewalls und Proxys

  • Barracuda – Web App Firewall (W3C)
  • Blue Coat Proxy SG – Zugriffsprotokoll (W3C)
  • Check Point
  • Cisco ASA mit FirePOWER
  • Cisco ASA Firewall (Für Cisco ASA-Firewalls muss die Informationsebene auf 6 festgelegt werden)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URLs-Protokoll
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto-Serie Firewall
  • Sonicwall (vormals Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Tintenfisch (allgemein)
  • Tintenfisch (nativ)
  • Stormshield
  • Wandera
  • WatchGuard
  • WebSense – Websicherheitslösungen – Internetaktivitätsprotokoll (CEF)
  • Websense – Websicherheitslösungen – Untersuchungsdetailbericht (CSV)
  • Zscaler

Hinweis

Cloud Discovery unterstützt sowohl IPv4- als auch IPv6-Adressen.

Wenn Ihr Protokoll nicht unterstützt wird oder Sie ein neu veröffentlichtes Protokollformat aus einer der unterstützten Datenquellen verwenden und der Upload fehlschlägt, wählen Sie Andere als Datenquelle aus, und geben Sie die Anwendung und das Protokoll an, das Sie hochladen möchten. Ihr Protokoll wird vom Defender for Cloud Apps Cloudanalystenteam überprüft, und Sie werden benachrichtigt, wenn Unterstützung für Ihren Protokolltyp hinzugefügt wird. Alternativ können Sie einen benutzerdefinierten Parser definieren, der Ihrem Format entspricht. Weitere Informationen finden Sie unter Verwenden eines benutzerdefinierten Protokollparsers.

Hinweis

Die folgende Liste der unterstützten Appliances funktioniert möglicherweise nicht mit neu veröffentlichten Protokollformaten. Wenn Sie ein neu veröffentlichtes Format verwenden und der Upload fehlschlägt, verwenden Sie einen benutzerdefinierten Protokollparser , und öffnen Sie bei Bedarf eine Supportanfrage. Wenn Sie eine Supportanfrage erstellen, stellen Sie sicher, dass Sie die entsprechende Firewalldokumentation für Ihren Fall bereitstellen.

Datenattribute (gemäß Herstellerdokumentation):

Datenquelle Url der Ziel-App Ip-Adresse der Ziel-App Benutzername Ursprungs-IP Gesamtdatenverkehr Hochgeladene Bytes
Barracuda Ja Ja Ja Ja Nein Nein
Blauer Mantel Ja Nein Ja Ja Ja Ja
Check Point Nein Ja Nein Ja Nein Nein
Cisco ASA (Syslog) Nein Ja Nein Ja Ja Nein
Cisco ASA mit FirePOWER Ja Ja Ja Ja Ja Ja
Cisco Cloud Web Security Ja Ja Ja Ja Ja Ja
Cisco FWSM Nein Ja Nein Ja Ja Nein
Cisco Ironport WSA Ja Ja Ja Ja Ja Ja
Cisco Meraki Ja Ja Nein Ja Nein Nein
Clavister NGFW (Syslog) Ja Ja Ja Ja Ja Ja
ContentKeeper Ja Ja Ja Ja Ja Ja
Corrata Ja Ja Ja Ja Ja Ja
Digital Arts i-FILTER Ja Ja Ja Ja Ja Ja
ForcePoint LEEF Ja Ja Ja Ja Ja Ja
ForcePoint Web Security Cloud* Ja Ja Ja Ja Ja Ja
Fortinet Fortigate Nein Ja Ja Ja Ja Ja
FortiOS Ja Ja Nein Ja Ja Ja
iboss Ja Ja Ja Ja Ja Ja
Juniper SRX Nein Ja Nein Ja Ja Ja
Juniper SSG Nein Ja Ja Ja Ja Ja
McAfee SWG Ja Nein Nein Ja Ja Ja
Menlo Security (CEF) Ja Ja Ja Ja Ja Ja
MS TMG Ja Nein Ja Ja Ja Ja
Open Systems Secure Web Gateway Ja Ja Ja Ja Ja Ja
Palo Alto Networks Nein Ja Ja Ja Ja Ja
SonicWall (vormals Dell) Ja Ja Nein Ja Ja Ja
Sophos Ja Ja Ja Ja Ja Nein
Tintenfisch (allgemein) Ja Nein Ja Ja Ja Nein
Tintenfisch (nativ) Ja Nein Ja Ja Nein Nein
Stormshield Nein Ja Ja Ja Ja Ja
Wandera Ja Ja Ja Ja Ja Ja
WatchGuard Ja Ja Ja Ja Ja Ja
WebSense – Internetaktivitätsprotokoll (CEF) Ja Ja Ja Ja Ja Ja
WebSense – Untersuchungsdetailbericht (CSV) Ja Ja Ja Ja Ja Ja
Zscaler Ja Ja Ja Ja Ja Ja

* Versionen 8.5 und höher von ForcePoint Web Security Cloud werden nicht unterstützt.

Nächste Schritte