Compartir a través de

Creación de informes de detección de instantáneas en la nube

  • Artículo

Es importante cargar un registro manualmente y permitir que Microsoft Defender para aplicaciones en la nube lo analice antes de intentar usar el recopilador de registros automático. Para obtener información sobre cómo funciona el recopilador de registros y el formato de registro esperado, consulte Uso de registros de tráfico para la detección de la nube.

Si aún no tiene un registro y desea ver un ejemplo del aspecto que debe tener el registro, descargue un archivo de registro de ejemplo. Siga el siguiente procedimiento para ver el aspecto que debería tener el registro.

Para crear un informe de instantáneas:

  1. Recopile archivos de registro desde el firewall y el proxy, a través de los cuales los usuarios de su organización acceden a Internet. Asegúrese de recopilar registros que sean representativos de toda la actividad de los usuarios de su organización durante las horas de tráfico máximo.

  2. En Microsoft Defender Portal, en Cloud Apps, seleccione Cloud discovery (Detección de nube).

  3. En la esquina superior derecha, extraiga Acciones y seleccione Crear informe de instantáneas de Cloud Discovery.

    Cree un nuevo informe de instantáneas.

  4. Seleccione Siguiente.

  5. Escriba un nombre de informe y una descripción

    Nuevo informe de instantáneas.

  6. Seleccione la Fuente desde el que desea cargar los archivos de registro. Si no se admite el origen (consulte Firewalls y servidores proxy admitidos para obtener la lista completa), puede crear un analizador personalizado. Para obtener más información, consulte Uso de un analizador de registros personalizado.

  7. Compruebe el formato de registro para asegurarse de que tiene el formato correcto según el registro de ejemplo que puede descargar. En Comprobar el formato de registro, seleccione Formato de registro de vista y, a continuación, seleccione Descargar el registro de ejemplo. Compare el registro con el ejemplo proporcionado para asegurarse de que es compatible.

    Compruebe el formato de registro.

    Nota:

    El formato de ejemplo FTP se admite en instantáneas y carga automatizada, mientras que syslog solo se admite en la carga automatizada. Al descargar un registro de ejemplo, se descargará un registro FTP de ejemplo.

  8. Cargue los registros de tráfico que desea cargar. Puede cargar hasta 20 archivos a la vez. También se admiten archivos comprimidos y en carpeta .zip.

    Cargue los registros de tráfico.

  9. Seleccione Cargar registros.

  10. Una vez completada la carga, el mensaje de estado aparecerá en la esquina superior derecha de la pantalla para que sepa que el registro se cargó correctamente.

  11. Después de cargar los archivos de registro, tardará algún tiempo en analizarlos. Una vez completado el procesamiento de los archivos de registro, recibirá un correo electrónico para notificarle que ha terminado.

  12. Aparecerá un banner de notificación en la barra de estado de la parte superior del panel de Cloud Discovery . El banner le actualiza con el estado de procesamiento de los archivos de registro. barra de menús del archivo de registro de procesamiento.

  13. Una vez cargados correctamente los registros, debería ver una notificación que le informa de que el procesamiento del archivo de registro se completó correctamente. En este punto, puede ver el informe seleccionando el vínculo en la barra de estado. O bien, en el portal de Microsoft Defender, seleccione Configuración.

  14. A continuación, en Cloud Discovery, seleccione Informes de instantáneas y seleccione el informe de instantáneas.

    administración de informes de instantáneas.

Uso de registros de tráfico para la detección de la nube

La detección de nube usa los datos en los registros de tráfico. Cuanto más detallado sea el registro, mejor visibilidad obtendrá. La detección de nube requiere datos de tráfico web con los siguientes atributos:

  • Estado de la transacción.
  • IP de origen
  • Usuario de origen: altamente recomendado
  • Dirección IP de destino
  • Dirección URL de destino recomendada (las direcciones URL proporcionan mayor precisión para la detección de aplicaciones en la nube que las direcciones IP)
  • Cantidad total de datos (la información de datos es muy valiosa)
  • Cantidad de datos cargados o descargados (proporciona información sobre los patrones de uso de las aplicaciones en la nube)
  • Acción realizada (permitido/bloqueado)

La detección de nube no puede mostrar ni analizar atributos que no se incluyen en los registros. Por ejemplo, el formato de registro estándar del firewall de Cisco ASA no tiene el número de bytes cargados por transacción, nombre de usuario y dirección URL de destino (solo IP de destino). Por lo tanto, estos atributos no se mostrarán en los datos de detección de nube para estos registros y la visibilidad de las aplicaciones en la nube será limitada. Para los firewalls de Cisco ASA, es necesario establecer el nivel de información en 6.

Para generar correctamente un informe de detección de nube, los registros de tráfico deben cumplir las condiciones siguientes:

  1. Se admite el origen de datos.
  2. El formato de registro coincide con el formato estándar esperado (formato comprobado tras la carga por la herramienta Registro).
  3. Los eventos no tienen más de 90 días de antigüedad.
  4. El archivo de registro es válido e incluye información de tráfico saliente.

Pasos siguientes

Controlar las aplicaciones en la nube con directivas

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.