Condividi tramite

Creare report di individuazione cloud snapshot

  • Articolo

È importante caricare un log manualmente e consentire a Microsoft Defender for Cloud Apps di analizzarlo prima di provare a usare l'agente di raccolta log automatico. Per informazioni sul funzionamento dell'agente di raccolta log e sul formato di log previsto, vedere Uso dei log di traffico per l'individuazione cloud.

Se non si dispone ancora di un log e si vuole visualizzare un esempio dell'aspetto del log, scaricare un file di log di esempio. Seguire questa procedura per vedere l'aspetto del log.

Per creare un report snapshot:

  1. Raccogliere i file di log dal firewall e dal proxy attraverso i quali gli utenti dell'organizzazione accedono a Internet. Assicurarsi di raccogliere i log durante i periodi di picco del traffico che sono rappresentativi di tutte le attività degli utenti nell'organizzazione.

  2. Nel portale di Microsoft Defender selezionare Cloud Discovery in App cloud.

  3. Nell'angolo in alto a destra, fare clic su Azioni e selezionare Crea report snapshot di Cloud Discovery.

    Creare un nuovo report snapshot.

  4. Seleziona Avanti.

  5. Immettere un nome del report e una descrizione

    Nuovo report snapshot.

  6. Selezionare l'Origine da cui si vogliono caricare i file di log. Se l'origine non è supportata (vedere Firewall e proxy supportati per l'elenco completo), è possibile creare un parser personalizzato. Per altre informazioni, vedere Usare un parser di log personalizzato.

  7. Verificare il formato del log per assicurarsi che sia formattato correttamente in base al log di esempio che è possibile scaricare. In Verifica il formato di log selezionare Visualizza formato di log, quindi selezionare Scarica log di esempio. Confrontare il log con l'esempio fornito per assicurarsi che sia compatibile.

    Verificare il formato del log.

    Nota

    Il formato di esempio FTP è supportato negli snapshot e nel caricamento automatizzato, mentre syslog è supportato solo nel caricamento automatizzato. Il download di un log di esempio consente di scaricare un log FTP di esempio.

  8. Caricare i log del traffico da caricare. È possibile caricare fino a 20 file alla volta. Sono supportati anche i file compressi e zippati.

    Caricare i log del traffico.

  9. Selezionare Carica i log.

  10. Al termine del caricamento, il messaggio di stato verrà visualizzato nell'angolo in alto a destra dello schermo per informarti che il log è stato caricato correttamente.

  11. Dopo il caricamento dei file di log, la verifica e l'analisi dei file richiederanno del tempo. Al termine dell'elaborazione dei file di log, si riceverà un messaggio e-mail per segnalare che l'operazione è stata completata.

  12. Nella barra di stato nella parte superiore del dashboard di Cloud Discovery verrà visualizzato un banner di notifica. Il banner fornisce all'utente informazioni aggiornate sullo stato di elaborazione dei file di log. barra dei menu del file di log di elaborazione.

  13. Dopo il caricamento corretto dei log, verrà visualizzata una notifica che informa che l'elaborazione del file di log è stata completata correttamente. A questo punto, è possibile visualizzare il report selezionando il collegamento nella barra di stato. In alternativa, nel portale di Microsoft Defender selezionare Impostazioni.

  14. In Cloud Discovery selezionare Report snapshot e selezionare il report snapshot.

    gestione dei report snapshot.

Uso dei log del traffico per l'individuazione cloud

Cloud Discovery usa i dati nei log del traffico. Più dettagliato è il log, maggiore sarà la visibilità che si ottiene. L'individuazione cloud richiede dati sul traffico Web con gli attributi seguenti:

  • Data della transazione
  • IP di origine
  • Utente di origine - scelta consigliata
  • Indirizzo IP di destinazione
  • URL di destinazione consigliato (gli URL offrono una maggiore precisione per il rilevamento delle app cloud rispetto agli indirizzi IP)
  • Quantità totale di dati (le informazioni sui dati sono estremamente utili)
  • Quantità di dati caricati o scaricati - Scelta consigliata (fornisce informazioni sui modelli di utilizzo delle app cloud)
  • Azione eseguita (consentita/bloccata)

L'individuazione cloud non può visualizzare o analizzare attributi non inclusi nei log. Ad esempio, il formato di log standard del firewall Asa Cisco non ha il numero di byte caricati per transazione, nome utente e URL di destinazione (solo IP di destinazione). Di conseguenza, questi attributi non verranno visualizzati nei dati di individuazione cloud per questi log e la visibilità nelle app cloud sarà limitata. Per Cisco ASA firewall è necessario impostare il livello di informazioni su 6.

Per generare correttamente un report di individuazione cloud, i log del traffico devono soddisfare le condizioni seguenti:

  1. L'origine dati è supportata.
  2. Il formato del log corrisponde al formato standard previsto (formato verificato al caricamento dallo strumento Log).
  3. Gli eventi risalgono a non più di 90 giorni fa.
  4. Il file di log è valido e include informazioni sul traffico in uscita.

Passaggi successivi

Controllare le app cloud con i criteri

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.