Übersicht über die Cloud-App-Ermittlung
Cloud Discovery analysiert Ihre Datenverkehrsprotokolle anhand des Microsoft Defender for Cloud Apps Katalogs von über 31.000 Cloud-Apps. Die Apps werden basierend auf mehr als 90 Risikofaktoren bewertet und bewertet, um Ihnen einen kontinuierlichen Einblick in die Cloudnutzung, die Schatten-IT und das Risiko zu bieten, das die Schatten-IT für Ihre organization darstellt.
Tipp
Standardmäßig können Defender for Cloud Apps keine Apps ermitteln, die nicht im Katalog enthalten sind.
Um Defender for Cloud Apps Daten für eine App anzuzeigen, die derzeit nicht im Katalog enthalten ist, empfehlen wir Ihnen, unsere Roadmap zu überprüfen) oder eine benutzerdefinierte App zu erstellen.
Berichte zu Momentaufnahmen und kontinuierlichen Risikobewertungen
Sie können die folgenden Arten von Berichten generieren:
Momentaufnahmeberichte : Bietet Ad-hoc-Sichtbarkeit für eine Gruppe von Datenverkehrsprotokollen, die Sie manuell aus Ihren Firewalls und Proxys hochladen.
Fortlaufende Berichte: Analysieren Sie alle Protokolle, die von Ihrem Netzwerk weitergeleitet werden, mithilfe von Defender for Cloud Apps. Sie bieten einen besseren Überblick über alle Daten und identifizieren automatisch anomale Nutzung entweder mit Hilfe der Machine Learning Engine zur Erkennung von Anomalien oder mit Hilfe von benutzerdefinierten Richtlinien, die Sie definieren. Diese Berichte können durch eine Verbindung auf folgende Weise erstellt werden:
- Microsoft Defender for Endpoint Integration: Defender for Cloud Apps lässt sich nativ in Defender für Endpunkt integrieren, um das Rollout von Cloud Discovery zu vereinfachen, Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus zu erweitern und die computerbasierte Untersuchung zu ermöglichen.
- Protokollsammler: Mit Protokollsammlern können Sie das Hochladen von Protokollen aus Ihrem Netzwerk einfach automatisieren. Der Protokollsammler läuft auf Ihrem Netzwerk und erhält Protokolle über Syslog oder FTP.
- Sicheres Webgateway (SWG): Wenn Sie sowohl mit Defender for Cloud Apps als auch mit einem der folgenden SWGs arbeiten, können Sie die Produkte integrieren, um Ihre Cloud Discovery-Erfahrung für Die Sicherheit zu verbessern. Zusammen ermöglichen Defender for Cloud Apps und SWGs eine nahtlose Bereitstellung von Cloud Discovery, automatisches Blockieren von nicht sanktionierten Apps und Risikobewertungen direkt im SWG-Portal.
Cloud Discovery-API: Verwenden Sie die Defender for Cloud Apps Cloud Discovery-API, um das Hochladen von Datenverkehrsprotokollen zu automatisieren und automatisierte Cloud Discovery-Berichte und Risikobewertungen zu erhalten. Sie können die API auch verwenden, um Blockskripte zu generieren und die Steuerung von Anwendungen direkt auf Ihrer Netzwerk-Appliance zu optimieren.
Protokollprozessfluss: Von Rohdaten zur Risikobewertung
Der Prozess der Generierung einer Risikobewertung besteht aus den folgenden Schritten. Der Vorgang dauert je nach der Menge der verarbeiteten Daten zwischen einigen Minuten und mehreren Stunden.
Hochladen : Webdatenverkehrsprotokolle aus Ihrem Netzwerk werden in das Portal hochgeladen.
Analysieren: Defender for Cloud Apps analysiert und extrahiert Datenverkehrsdaten aus den Datenverkehrsprotokollen mit einem dedizierten Parser für jede Datenquelle.
Analysieren : Datenverkehrsdaten werden anhand des Cloud-App-Katalogs analysiert, um mehr als 31.000 Cloud-Apps zu identifizieren und deren Risikobewertung zu bewerten. Aktive Benutzer und IP-Adressen werden auch als Teil der Analyse identifiziert.
Bericht generieren : Ein Risikobewertungsbericht der aus Protokolldateien extrahierten Daten wird generiert.
Hinweis
Discovery-Daten werden viermal täglich analysiert und aktualisiert.
Unterstützte Firewalls und Proxys
- Barracuda – Web App Firewall (W3C)
- Blue Coat Proxy SG – Zugriffsprotokoll (W3C)
- Check Point
- Cisco ASA mit FirePOWER
- Cisco ASA Firewall (Für Cisco ASA-Firewalls muss die Informationsebene auf 6 festgelegt werden)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URLs-Protokoll
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto-Serie Firewall
- Sonicwall (vormals Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Tintenfisch (allgemein)
- Tintenfisch (nativ)
- Stormshield
- Wandera
- WatchGuard
- WebSense – Websicherheitslösungen – Internetaktivitätsprotokoll (CEF)
- Websense – Websicherheitslösungen – Untersuchungsdetailbericht (CSV)
- Zscaler
Hinweis
Cloud Discovery unterstützt sowohl IPv4- als auch IPv6-Adressen.
Wenn Ihr Protokoll nicht unterstützt wird oder Sie ein neu veröffentlichtes Protokollformat aus einer der unterstützten Datenquellen verwenden und der Upload fehlschlägt, wählen Sie Andere als Datenquelle aus, und geben Sie die Anwendung und das Protokoll an, das Sie hochladen möchten. Ihr Protokoll wird vom Defender for Cloud Apps Cloudanalystenteam überprüft, und Sie werden benachrichtigt, wenn Unterstützung für Ihren Protokolltyp hinzugefügt wird. Alternativ können Sie einen benutzerdefinierten Parser definieren, der Ihrem Format entspricht. Weitere Informationen finden Sie unter Verwenden eines benutzerdefinierten Protokollparsers.
Hinweis
Die folgende Liste der unterstützten Appliances funktioniert möglicherweise nicht mit neu veröffentlichten Protokollformaten. Wenn Sie ein neu veröffentlichtes Format verwenden und der Upload fehlschlägt, verwenden Sie einen benutzerdefinierten Protokollparser , und öffnen Sie bei Bedarf eine Supportanfrage. Wenn Sie eine Supportanfrage erstellen, stellen Sie sicher, dass Sie die entsprechende Firewalldokumentation für Ihren Fall bereitstellen.
Datenattribute (gemäß Herstellerdokumentation):
Datenquelle | Url der Ziel-App | Ip-Adresse der Ziel-App | Benutzername | Ursprungs-IP | Gesamtdatenverkehr | Hochgeladene Bytes |
---|---|---|---|---|---|---|
Barracuda | Ja | Ja | Ja | Ja | Nein | Nein |
Blauer Mantel | Ja | Nein | Ja | Ja | Ja | Ja |
Check Point | Nein | Ja | Nein | Ja | Nein | Nein |
Cisco ASA (Syslog) | Nein | Ja | Nein | Ja | Ja | Nein |
Cisco ASA mit FirePOWER | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco Cloud Web Security | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco FWSM | Nein | Ja | Nein | Ja | Ja | Nein |
Cisco Ironport WSA | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco Meraki | Ja | Ja | Nein | Ja | Nein | Nein |
Clavister NGFW (Syslog) | Ja | Ja | Ja | Ja | Ja | Ja |
ContentKeeper | Ja | Ja | Ja | Ja | Ja | Ja |
Corrata | Ja | Ja | Ja | Ja | Ja | Ja |
Digital Arts i-FILTER | Ja | Ja | Ja | Ja | Ja | Ja |
ForcePoint LEEF | Ja | Ja | Ja | Ja | Ja | Ja |
ForcePoint Web Security Cloud* | Ja | Ja | Ja | Ja | Ja | Ja |
Fortinet Fortigate | Nein | Ja | Ja | Ja | Ja | Ja |
FortiOS | Ja | Ja | Nein | Ja | Ja | Ja |
iboss | Ja | Ja | Ja | Ja | Ja | Ja |
Juniper SRX | Nein | Ja | Nein | Ja | Ja | Ja |
Juniper SSG | Nein | Ja | Ja | Ja | Ja | Ja |
McAfee SWG | Ja | Nein | Nein | Ja | Ja | Ja |
Menlo Security (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
MS TMG | Ja | Nein | Ja | Ja | Ja | Ja |
Open Systems Secure Web Gateway | Ja | Ja | Ja | Ja | Ja | Ja |
Palo Alto Networks | Nein | Ja | Ja | Ja | Ja | Ja |
SonicWall (vormals Dell) | Ja | Ja | Nein | Ja | Ja | Ja |
Sophos | Ja | Ja | Ja | Ja | Ja | Nein |
Tintenfisch (allgemein) | Ja | Nein | Ja | Ja | Ja | Nein |
Tintenfisch (nativ) | Ja | Nein | Ja | Ja | Nein | Nein |
Stormshield | Nein | Ja | Ja | Ja | Ja | Ja |
Wandera | Ja | Ja | Ja | Ja | Ja | Ja |
WatchGuard | Ja | Ja | Ja | Ja | Ja | Ja |
WebSense – Internetaktivitätsprotokoll (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
WebSense – Untersuchungsdetailbericht (CSV) | Ja | Ja | Ja | Ja | Ja | Ja |
Zscaler | Ja | Ja | Ja | Ja | Ja | Ja |
* Versionen 8.5 und höher von ForcePoint Web Security Cloud werden nicht unterstützt.