次の方法で共有


クラウド アプリ検出の概要

クラウド検出では、31,000 を超えるクラウド アプリのMicrosoft Defender for Cloud Apps カタログに対してトラフィック ログが分析されます。 アプリは、クラウドの使用、シャドウ IT、シャドウ IT がorganizationに与えるリスクを継続的に可視化するために、90 を超えるリスク要因に基づいてランク付けされ、スコア付けされます。

ヒント

既定では、Defender for Cloud Appsはカタログに含まれていないアプリを検出できません。

現在カタログに含まれていないアプリのDefender for Cloud Appsデータを表示するには、ロードマップをチェックするか、カスタム アプリを作成することをお勧めします。

スナップショットと継続的なリスク評価レポート

次の種類のレポートを生成できます。

  • スナップショット レポート - ファイアウォールとプロキシから手動でアップロードするトラフィック ログに対するセットのアドホックな可視性を提供します。

  • 継続的レポート - Defender for Cloud Appsを使用してネットワークから転送されたすべてのログを分析します。 これらはすべてのデータの可視性を向上させ、機械学習異常検出エンジンまたは定義したカスタム ポリシーを使用して、異常な使用を自動的に識別します。 これらのレポートは、次の方法で接続して作成できます。

    • Microsoft Defender for Endpoint統合: Defender for Cloud Appsは Defender for Endpoint とネイティブに統合され、クラウド検出のロールアウトを簡素化し、企業ネットワークを超えてクラウド検出機能を拡張し、マシンベースの調査を可能にします。
    • ログ コレクター: ログ コレクターを使用すると、ネットワークからのログのアップロードを簡単に自動化できます。 ログ コレクターはネットワーク上で実行され、Syslog または FTP を使用してログを受信します。
    • Secure Web Gateway (SWG): Defender for Cloud Appsと次のいずれかの SWG の両方で作業する場合は、製品を統合してセキュリティ クラウド検出エクスペリエンスを強化できます。 Defender for Cloud Appsと SWG を組み合わせることで、クラウド検出のシームレスなデプロイ、承認されていないアプリの自動ブロック、SWG のポータルでのリスク評価を直接行うことができます。
  • クラウド検出 API – Defender for Cloud Apps クラウド検出 API を使用して、トラフィック ログのアップロードを自動化し、クラウド検出レポートとリスク評価を自動化します。 また、API を使用して、ブロック スクリプトを生成し、アプリ コントロールをネットワーク アプライアンスに直接合理化することもできます。

ログ プロセス フロー: 生データからリスク評価まで

リスク評価を生成するプロセスは、次の手順で構成されます。 このプロセスには、処理されるデータの量に応じて数分から数時間かかります。

  • アップロード – ネットワークからの Web トラフィック ログがポータルにアップロードされます。

  • 解析 – Defender for Cloud Appsは、各データ ソースの専用パーサーを使用して、トラフィック ログからトラフィック データを解析して抽出します。

  • 分析 – トラフィック データはクラウド アプリ カタログに対して分析され、31,000 を超えるクラウド アプリを特定し、リスク スコアを評価します。 アクティブなユーザーと IP アドレスも分析の一部として識別されます。

  • レポートの生成 - ログ ファイルから抽出されたデータのリスク評価レポートが生成されます。

注:

検出データは、1 日に 4 回分析され、更新されます。

サポートされているファイアウォールとプロキシ

  • Barracuda - Web App Firewall (W3C)
  • ブルー コート プロキシ SG - アクセス ログ (W3C)
  • Check Point
  • FirePOWER を使用した Cisco ASA
  • Cisco ASA ファイアウォール (Cisco ASA ファイアウォールの場合は、情報レベルを 6 に設定する必要があります)
  • Cisco Cloud Web セキュリティ
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URL ログ
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto シリーズ ファイアウォール
  • Sonicwall (旧 Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • イカ (共通)
  • Squid (Native)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense - Web セキュリティ ソリューション - インターネット アクティビティ ログ (CEF)
  • Websense - Web セキュリティ ソリューション - 調査詳細レポート (CSV)
  • Zscaler

注:

クラウド検出では、IPv4 アドレスと IPv6 アドレスの両方がサポートされます。

ログがサポートされていない場合、または、サポートされているいずれかのデータ ソースから新しくリリースされたログ形式を使用していて、アップロードが失敗している場合は、データ ソースとして [その他] を選択し、アップロードしようとしているアプライアンスとログを指定します。 ログは、Defender for Cloud Apps クラウド アナリスト チームによって確認され、ログの種類のサポートが追加された場合に通知されます。 または、自分の形式に一致するカスタム パーサーを定義することもできます。 詳細については、「 カスタム ログ パーサーを使用する」を参照してください。

注:

次のサポートされているアプライアンスの一覧は、新しくリリースされたログ形式では機能しない可能性があります。 新しくリリースされた形式を使用していて、アップロードが失敗している場合は、 カスタム ログ パーサーを使用 し、必要に応じてサポート ケースを開きます。 サポート ケースを開く場合は、ケースに関連するファイアウォールドキュメントを必ず提供してください。

データ属性 (ベンダーのドキュメントに従います):

データ ソース ターゲット アプリ URL ターゲット アプリ IP Username 配信元 IP トラフィックの合計 アップロードされたバイト数
バラクーダ はい いいえ いいえ
ブルーコート はい いいえ はい
Check Point いいえ はい いいえ はい いいえ いいえ
Cisco ASA (Syslog) いいえ はい いいえ はい いいえ
FirePOWER を使用した Cisco ASA はい
Cisco Cloud Web セキュリティ はい
Cisco FWSM いいえ はい いいえ はい いいえ
Cisco Ironport WSA はい
Cisco Meraki はい いいえ はい いいえ いいえ
Clavister NGFW (Syslog) はい
ContentKeeper はい
Corrata はい
Digital Arts i-FILTER はい
ForcePoint LEEF はい
ForcePoint Web セキュリティ クラウド* はい
Fortinet Fortigate いいえ はい
FortiOS はい いいえ はい
iboss はい
Juniper SRX いいえ はい いいえ はい
Juniper SSG いいえ はい
McAfee SWG はい いいえ いいえ はい
Menlo Security (CEF) はい
MS TMG はい いいえ はい
Open Systems Secure Web Gateway はい
Palo Alto Networks いいえ はい
SonicWall (旧 Dell) はい いいえ はい
Sophos はい いいえ
イカ (共通) はい いいえ はい いいえ
Squid (Native) はい いいえ はい いいえ いいえ
Stormshield いいえ はい
Wandera はい
WatchGuard はい
Websense - インターネット アクティビティ ログ (CEF) はい
Websense - 調査詳細レポート (CSV) はい
Zscaler はい

* ForcePoint Web Security Cloud のバージョン 8.5 以降はサポートされていません

次の手順