Introducción a la detección de aplicaciones en la nube
Cloud Discovery analiza los registros de tráfico en el catálogo de Microsoft Defender for Cloud Apps de más de 31 000 aplicaciones en la nube. Las aplicaciones se clasifican y puntúan en función de más de 90 factores de riesgo para proporcionarle visibilidad continua sobre el uso en la nube, Shadow IT y el riesgo que Shadow IT plantea en su organización.
Sugerencia
De forma predeterminada, Defender for Cloud Apps no puede detectar aplicaciones que no están en el catálogo.
Para ver Defender for Cloud Apps datos de una aplicación que no está actualmente en el catálogo, se recomienda comprobar nuestra hoja de ruta) o crear una aplicación personalizada.
Informes de instantáneas y evaluación de riesgos continuos
Puede generar los siguientes tipos de informes:
Informes de instantáneas : proporciona visibilidad ad hoc sobre un conjunto de registros de tráfico que se cargan manualmente desde los firewalls y servidores proxy.
Informes continuos: analice todos los registros que se reenvíen desde la red mediante Defender for Cloud Apps. Proporcionan una visibilidad mejorada de todos los datos e identifican automáticamente el uso anómalo mediante el motor de detección de anomalías Machine Learning o mediante directivas personalizadas que defina. Estos informes se pueden crear mediante la conexión de las siguientes maneras:
- Microsoft Defender para punto de conexión integración: Defender for Cloud Apps se integra con Defender para punto de conexión de forma nativa, para simplificar la implementación de cloud discovery, ampliar las funcionalidades de cloud discovery más allá de la red corporativa y habilitar la investigación basada en máquinas.
- Recopilador de registros: los recopiladores de registros permiten automatizar fácilmente la carga de registros desde la red. El registro se ejecuta en su red y recibe registros a través de Syslog o FTP.
- Puerta de enlace web segura (SWG): si trabaja con Defender for Cloud Apps y uno de los siguientes SWG, puede integrar los productos para mejorar la experiencia de detección en la nube de seguridad. Juntos, Defender for Cloud Apps y SWG proporcionan una implementación perfecta de la detección de la nube, el bloqueo automático de aplicaciones no autorizadas y la evaluación de riesgos directamente en el portal del SWG.
API de detección de nube: use la API de detección de nube Defender for Cloud Apps para automatizar la carga del registro de tráfico y obtener un informe de detección de nube y una evaluación de riesgos automatizados. También puede usar la API para generar scripts de bloqueo y simplificar los controles de aplicación directamente en el dispositivo de red.
Flujo de proceso de registro: de datos sin procesar a evaluación de riesgos
El proceso de generación de una evaluación de riesgos consta de los pasos siguientes. El proceso tarda entre unos minutos y varias horas en función de la cantidad de datos procesados.
Carga : los registros de tráfico web de la red se cargan en el portal.
Análisis: Defender for Cloud Apps analiza y extrae datos de tráfico de los registros de tráfico con un analizador dedicado para cada origen de datos.
Analizar : los datos de tráfico se analizan en el catálogo de aplicaciones en la nube para identificar más de 31 000 aplicaciones en la nube y evaluar su puntuación de riesgo. Los usuarios activos y las direcciones IP también se identifican como parte del análisis.
Generar informe : se genera un informe de evaluación de riesgos de los datos extraídos de los archivos de registro.
Nota:
Los datos de detección se analizan y actualizan cuatro veces al día.
Firewalls y servidores proxy admitidos
- Barracuda: Firewall de aplicaciones web (W3C)
- Blue Coat Proxy SG - Registro de acceso (W3C)
- Check Point
- Cisco ASA con FirePOWER
- Firewall de Cisco ASA (para los firewalls de Cisco ASA, es necesario establecer el nivel de información a 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki: registro de direcciones URL
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Punto de fuerza
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Firewall de la serie Palo Alto
- Sonicwall (anteriormente Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Calamar (común)
- Calamar (nativo)
- Stormshield
- Wandera
- WatchGuard
- Websense: soluciones de seguridad web: registro de actividad de Internet (CEF)
- Websense: soluciones de seguridad web: informe de detalles de investigación (CSV)
- Zscaler
Nota:
Cloud Discovery admite direcciones IPv4 e IPv6.
Si no se admite el registro o si usa un formato de registro recién publicado de uno de los orígenes de datos admitidos y se produce un error en la carga, seleccione Otro como origen de datos y especifique el dispositivo y el registro que está intentando cargar. El equipo de analistas en la nube de Defender for Cloud Apps revisará el registro y se le notificará si se agrega compatibilidad con el tipo de registro. Como alternativa, puede definir un analizador personalizado que coincida con el formato. Para obtener más información, consulte Uso de un analizador de registros personalizado.
Nota:
Es posible que la siguiente lista de dispositivos admitidos no funcione con formatos de registro recién publicados. Si usa un formato recién publicado y se produce un error en la carga, use un analizador de registros personalizado y, si es necesario, abra un caso de soporte técnico. Si abre un caso de soporte técnico, asegúrese de proporcionar la documentación de firewall pertinente con su caso.
Atributos de datos (según la documentación del proveedor):
| Origen de datos | Dirección URL de la aplicación de destino | Dirección IP de la aplicación de destino | Nombre de usuario | Dirección IP de origen | Tráfico total | Bytes cargados |
|---|---|---|---|---|---|---|
| Barracuda | Sí | Sí | Sí | Sí | No | No |
| Capa azul | Sí | No | Sí | Sí | Sí | Sí |
| Check Point | No | Sí | No | Sí | No | No |
| Cisco ASA (Syslog) | No | Sí | No | Sí | Sí | No |
| Cisco ASA con FirePOWER | Sí | Sí | Sí | Sí | Sí | Sí |
| Cisco Cloud Web Security | Sí | Sí | Sí | Sí | Sí | Sí |
| Cisco FWSM | No | Sí | No | Sí | Sí | No |
| Cisco Ironport WSA | Sí | Sí | Sí | Sí | Sí | Sí |
| Cisco Meraki | Sí | Sí | No | Sí | No | No |
| Clavister NGFW (Syslog) | Sí | Sí | Sí | Sí | Sí | Sí |
| ContentKeeper | Sí | Sí | Sí | Sí | Sí | Sí |
| Corrata | Sí | Sí | Sí | Sí | Sí | Sí |
| Digital Arts i-FILTER | Sí | Sí | Sí | Sí | Sí | Sí |
| ForcePoint LEEF | Sí | Sí | Sí | Sí | Sí | Sí |
| ForcePoint Web Security Cloud* | Sí | Sí | Sí | Sí | Sí | Sí |
| Fortinet Fortigate | No | Sí | Sí | Sí | Sí | Sí |
| FortiOS | Sí | Sí | No | Sí | Sí | Sí |
| iboss | Sí | Sí | Sí | Sí | Sí | Sí |
| Juniper SRX | No | Sí | No | Sí | Sí | Sí |
| Juniper SSG | No | Sí | Sí | Sí | Sí | Sí |
| McAfee SWG | Sí | No | No | Sí | Sí | Sí |
| Menlo Security (CEF) | Sí | Sí | Sí | Sí | Sí | Sí |
| MS TMG | Sí | No | Sí | Sí | Sí | Sí |
| Open Systems Secure Web Gateway | Sí | Sí | Sí | Sí | Sí | Sí |
| Palo Alto Networks | No | Sí | Sí | Sí | Sí | Sí |
| SonicWall (anteriormente Dell) | Sí | Sí | No | Sí | Sí | Sí |
| Sophos | Sí | Sí | Sí | Sí | Sí | No |
| Calamar (común) | Sí | No | Sí | Sí | Sí | No |
| Calamar (nativo) | Sí | No | Sí | Sí | No | No |
| Stormshield | No | Sí | Sí | Sí | Sí | Sí |
| Wandera | Sí | Sí | Sí | Sí | Sí | Sí |
| WatchGuard | Sí | Sí | Sí | Sí | Sí | Sí |
| Websense: registro de actividad de Internet (CEF) | Sí | Sí | Sí | Sí | Sí | Sí |
| Websense: informe de detalles de investigación (CSV) | Sí | Sí | Sí | Sí | Sí | Sí |
| Zscaler | Sí | Sí | Sí | Sí | Sí | Sí |
* No se admiten las versiones 8.5 y posteriores de ForcePoint Web Security Cloud