Jaa

Luo tilannevedospilven etsintäraporteista

  • Artikkeli

On tärkeää ladata loki manuaalisesti ja antaa Microsoft Defender for Cloud Apps jäsentää se, ennen kuin yrität käyttää automaattista lokinkeräintä. Lisätietoja lokinkerääjän toiminnasta ja odotetusta lokimuodosta on kohdassa Liikennelokien käyttäminen pilvitietojen etsimistä varten.

Jos sinulla ei vielä ole lokia ja haluat nähdä esimerkin siitä, miltä lokin pitäisi näyttää, lataa mallilokitiedosto. Katso alla olevien ohjeiden mukaisesti, miltä lokin pitäisi näyttää.

Tilannevedosraportin luominen:

  1. Kerää lokitiedostoja palomuuristasi ja välityspalvelimestasi, joiden kautta organisaatiosi käyttäjät käyttävät Internetiä. Muista kerätä ruuhka-aikoina lokeja, jotka edustavat kaikkea käyttäjän toimintaa organisaatiossasi.

  2. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaPilvipalvelun etsintä.

  3. Vedä oikeasta yläkulmasta Toiminnot alas ja valitse Luo pilvilöydös -tilannevedosraportti.

    Luo uusi tilannevedosraportti.

  4. Valitse Seuraava.

  5. Kirjoita raportin nimi ja kuvaus

    Uusi tilannevedosraportti.

  6. Valitse Lähde , josta haluat ladata lokitiedostot. Jos lähdettäsi ei tueta (katso tuettujen palomuurien ja välityskenttien täydellinen luettelo kohdasta Tuetut palomuurit ), voit luoda mukautetun jäsentimen. Lisätietoja on artikkelissa Mukautetun lokin jäsentimen käyttäminen.

  7. Tarkista lokimuotosi ja varmista, että se on muotoiltu oikein lataamasi mallilokin mukaisesti. Valitse Tarkista lokin muoto -kohdassa Näytä lokin muoto ja valitse sitten Lataa malliloki. Vertaa lokia annettuun malliin varmistaaksesi, että se on yhteensopiva.

    Tarkista lokin muoto.

    Huomautus

    FTP-mallimuotoa tuetaan tilannevedoksissa ja automaattisessa latauksessa, kun taas syslog-komentoa tuetaan vain automaattisessa latauksessa. Mallilokin lataaminen lataa FTP-mallilokin.

  8. Lataa ladattavat liikennelokit . Voit ladata enintään 20 tiedostoa kerrallaan. Myös pakattuja ja pakattuja tiedostoja tuetaan.

    Lataa liikennelokit palvelimeen.

  9. Valitse Lataa lokit.

  10. Kun lataus on valmis, näet näytön oikeassa yläkulmassa tilasanoman, jossa kerrotaan, että lokin lataaminen onnistui.

  11. Kun olet ladannut lokitiedostot, niiden jäsentäminen ja analysoiminen kestää jonkin aikaa. Kun lokitiedostojen käsittely on valmis, saat sähköpostiviestin, jossa ilmoitetaan, että se on valmis.

  12. Ilmoituspalkki näkyy tilarivillä Cloud Discovery -koontinäytön yläreunassa. Ilmoituspalkki päivittää lokitiedostojesi käsittelytilan. käsitellään lokitiedoston valikkoriviä.

  13. Kun lokit on ladattu onnistuneesti, sinun pitäisi nähdä ilmoitus siitä, että lokitiedoston käsittely onnistui. Tässä vaiheessa voit tarkastella raporttia valitsemalla linkin tilariviltä. Tai valitse Microsoft Defender-portaalissa Asetukset.

  14. Valitse sitten Cloud Discovery -kohdasta Tilannevedosraportit ja valitse tilannevedosraporttisi.

    tilannevedosraportin hallinnasta.

Liikennelokien käyttäminen pilvitietojen etsimiseen

Pilvipalvelun etsintä käyttää liikennelokien tietoja. Mitä tarkempi loki on, sitä paremman näkyvyyden saat. Pilvitietojen etsiminen edellyttää verkkoliikennetietoja, joissa on seuraavat määritteet:

  • Tapahtuman päivämäärä
  • Lähde-IP
  • Lähdekäyttäjä – erittäin suositeltavaa
  • KOHTEEN IP-osoite
  • Suositellut kohde-URL-osoitteet (URL-osoitteet tarjoavat pilvisovelluksen tunnistamiseen suuremman tarkkuuden kuin IP-osoitteet)
  • Tietojen kokonaismäärä (tietotiedot ovat erittäin arvokkaita)
  • Ladattujen tai ladattujen tietojen määrä (antaa merkityksellisiä tietoja pilvisovellusten käyttötavoista)
  • Toiminto on suoritettu (sallittu tai estetty)

Pilvipalvelun etsintä ei voi näyttää tai analysoida määritteitä, jotka eivät sisälly lokeihisi. Esimerkiksi Cisco ASA-palomuurin vakiolokimuodossa ei ole ladattujen tavujen määrää tapahtumaa, käyttäjänimeä ja kohde-URL:ää (vain kohde-IP). Siksi näitä määritteitä ei näytetä näiden lokien pilvietsintätiedoissa, ja näkyvyys pilvisovelluksiin on rajoitettu. Cisco ASA -palomuurien tapauksessa on tarpeen määrittää tietotasoksi 6.

Jotta voit luoda pilvipalvelun etsintäraportin, liikennelokien on täytettävä seuraavat ehdot:

  1. Tietolähdettä tuetaan.
  2. Lokimuoto vastaa odotettua vakiomuotoa (lokityökalun latauksen yhteydessä valittu muoto).
  3. Tapahtumat eivät ole yli 90 päivää vanhoja.
  4. Lokitiedosto on kelvollinen ja sisältää lähtevän liikenteen tiedot.

Seuraavat vaiheet

Pilvisovellusten hallinta käytännöillä

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.