Utiliser un analyseur de journal personnalisé
Defender for Cloud Apps vous permet de configurer un analyseur personnalisé pour qu’il corresponde et traite le format de vos journaux afin qu’ils puissent être utilisés pour la découverte du cloud. En règle générale, vous utilisez un analyseur personnalisé si le pare-feu ou l’appareil n’est pas explicitement pris en charge par Defender for Cloud Apps. Il peut s’agir d’un analyseur CSV ou d’un analyseur de valeur de clé personnalisé.
L’analyseur personnalisé vous permet d’utiliser les journaux à partir de pare-feu non pris en charge en suivant ce processus.
Pour configurer un analyseur personnalisé :
Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnezActions>Cloud Discovery>Créer un rapport de instantané Cloud Discovery. Par exemple :
Entrez un nom de rapport et une description
Sous Source, faites défiler tout le chemin vers le bas et sélectionnez Format de journal personnalisé.... Par exemple:
Collectez les journaux à partir de votre pare-feu et de votre proxy, par le biais desquels les utilisateurs de votre organization accéder à Internet. Veillez à collecter les journaux pendant les pics de trafic qui sont représentatifs de toutes les activités des utilisateurs au sein de votre organisation.
Ouvrez les journaux que vous souhaitez traiter dans un éditeur de texte. Passez en revue leur format, en vous assurant que les noms de colonnes dans le journal correspondent aux champs de la boîte de dialogue Format de journal personnalisé .
Les champs obligatoires sont marqués dans la boîte de dialogue Format de journal personnalisé avec un astérisque (*) et doivent être présents dans les journaux dans la même séquence que dans la boîte de dialogue Format de journal personnalisé . Les journaux sont traités uniquement si les champs requis sont trouvés dans le journal. Les champs supplémentaires, qui ne sont pas utilisés par Defender for Cloud Apps, sont ignorés.
Dans la boîte de dialogue Format de journal personnalisé, renseignez les champs en fonction de vos données pour délimiter les colonnes des données qui correspondent à des champs spécifiques dans Defender for Cloud Apps. Vous devrez peut-être modifier les noms des colonnes dans votre fichier journal pour qu’ils soient correctement corrélés.
Remarque
Les champs respectent la casse. Veillez à épeler et à taper les noms des colonnes de manière identique dans Defender for Cloud Apps et dans le fichier journal. Vérifiez également que le format de date que vous choisissez est identique.
Par exemple, les images suivantes montrent un exemple de fichier journal ouvert dans un éditeur de texte, et la boîte de dialogue Format de journal personnalisé correspondante, remplie.
Sélectionnez Enregistrer. Le format de journal personnalisé que vous avez configuré sera enregistré en tant qu’analyseur personnalisé par défaut. Vous pouvez le modifier à tout moment en sélectionnant Modifier.
Sous Charger les journaux de trafic, sélectionnez le fichier journal que vous avez modifié, puis sélectionnez Charger les journaux pour le charger. Vous pouvez charger jusqu’à 20 fichiers à la fois. Les fichiers compressés et compressés sont également pris en charge.
Une fois le chargement terminé, un message status s’affiche en haut à droite de votre écran, vous informant que votre journal a été correctement chargé.
L’analyse et l’analyse de vos journaux prendront un certain temps. Une bannière de notification s’affiche dans la barre d’status en haut de l’onglet Tableau de bord Cloud Discovery>, montrant les status de traitement de vos fichiers journaux. Par exemple :
Une fois le traitement de vos fichiers journaux terminé, vous recevez un e-mail vous informant qu’il est terminé.
Affichez le rapport en sélectionnant le lien dans la barre d’status, ou sélectionnez Paramètres Rapports>d’instantanéCloud Apps>Cloud Discovery>. Sélectionnez votre rapport instantané pour l’ouvrir. Par exemple :
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.