クラウド アプリ検出の概要
クラウド検出では、31,000 を超えるクラウド アプリのMicrosoft Defender for Cloud Apps カタログに対してトラフィック ログが分析されます。 アプリは、クラウドの使用、シャドウ IT、シャドウ IT がorganizationに与えるリスクを継続的に可視化するために、90 を超えるリスク要因に基づいてランク付けされ、スコア付けされます。
ヒント
既定では、Defender for Cloud Appsはカタログに含まれていないアプリを検出できません。
現在カタログに含まれていないアプリのDefender for Cloud Appsデータを表示するには、ロードマップをチェックするか、カスタム アプリを作成することをお勧めします。
スナップショットと継続的なリスク評価レポート
次の種類のレポートを生成できます。
スナップショット レポート - ファイアウォールとプロキシから手動でアップロードするトラフィック ログに対するセットのアドホックな可視性を提供します。
継続的レポート - Defender for Cloud Appsを使用してネットワークから転送されたすべてのログを分析します。 これらはすべてのデータの可視性を向上させ、機械学習異常検出エンジンまたは定義したカスタム ポリシーを使用して、異常な使用を自動的に識別します。 これらのレポートは、次の方法で接続して作成できます。
- Microsoft Defender for Endpoint統合: Defender for Cloud Appsは Defender for Endpoint とネイティブに統合され、クラウド検出のロールアウトを簡素化し、企業ネットワークを超えてクラウド検出機能を拡張し、マシンベースの調査を可能にします。
- ログ コレクター: ログ コレクターを使用すると、ネットワークからのログのアップロードを簡単に自動化できます。 ログ コレクターはネットワーク上で実行され、Syslog または FTP を使用してログを受信します。
- Secure Web Gateway (SWG): Defender for Cloud Appsと次のいずれかの SWG の両方で作業する場合は、製品を統合してセキュリティ クラウド検出エクスペリエンスを強化できます。 Defender for Cloud Appsと SWG を組み合わせることで、クラウド検出のシームレスなデプロイ、承認されていないアプリの自動ブロック、SWG のポータルでのリスク評価を直接行うことができます。
クラウド検出 API – Defender for Cloud Apps クラウド検出 API を使用して、トラフィック ログのアップロードを自動化し、クラウド検出レポートとリスク評価を自動化します。 また、API を使用して、ブロック スクリプトを生成し、アプリ コントロールをネットワーク アプライアンスに直接合理化することもできます。
ログ プロセス フロー: 生データからリスク評価まで
リスク評価を生成するプロセスは、次の手順で構成されます。 このプロセスには、処理されるデータの量に応じて数分から数時間かかります。
アップロード – ネットワークからの Web トラフィック ログがポータルにアップロードされます。
解析 – Defender for Cloud Appsは、各データ ソースの専用パーサーを使用して、トラフィック ログからトラフィック データを解析して抽出します。
分析 – トラフィック データはクラウド アプリ カタログに対して分析され、31,000 を超えるクラウド アプリを特定し、リスク スコアを評価します。 アクティブなユーザーと IP アドレスも分析の一部として識別されます。
レポートの生成 - ログ ファイルから抽出されたデータのリスク評価レポートが生成されます。
注:
検出データは、1 日に 4 回分析され、更新されます。
サポートされているファイアウォールとプロキシ
- Barracuda - Web App Firewall (W3C)
- ブルー コート プロキシ SG - アクセス ログ (W3C)
- Check Point
- FirePOWER を使用した Cisco ASA
- Cisco ASA ファイアウォール (Cisco ASA ファイアウォールの場合は、情報レベルを 6 に設定する必要があります)
- Cisco Cloud Web セキュリティ
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URL ログ
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto シリーズ ファイアウォール
- Sonicwall (旧 Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- イカ (共通)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense - Web セキュリティ ソリューション - インターネット アクティビティ ログ (CEF)
- Websense - Web セキュリティ ソリューション - 調査詳細レポート (CSV)
- Zscaler
注:
クラウド検出では、IPv4 アドレスと IPv6 アドレスの両方がサポートされます。
ログがサポートされていない場合、または、サポートされているいずれかのデータ ソースから新しくリリースされたログ形式を使用していて、アップロードが失敗している場合は、データ ソースとして [その他] を選択し、アップロードしようとしているアプライアンスとログを指定します。 ログは、Defender for Cloud Apps クラウド アナリスト チームによって確認され、ログの種類のサポートが追加された場合に通知されます。 または、自分の形式に一致するカスタム パーサーを定義することもできます。 詳細については、「 カスタム ログ パーサーを使用する」を参照してください。
注:
次のサポートされているアプライアンスの一覧は、新しくリリースされたログ形式では機能しない可能性があります。 新しくリリースされた形式を使用していて、アップロードが失敗している場合は、 カスタム ログ パーサーを使用 し、必要に応じてサポート ケースを開きます。 サポート ケースを開く場合は、ケースに関連するファイアウォールドキュメントを必ず提供してください。
データ属性 (ベンダーのドキュメントに従います):
データ ソース | ターゲット アプリ URL | ターゲット アプリ IP | Username | 配信元 IP | トラフィックの合計 | アップロードされたバイト数 |
---|---|---|---|---|---|---|
バラクーダ | ○ | ○ | ○ | はい | いいえ | いいえ |
ブルーコート | はい | いいえ | ○ | ○ | ○ | はい |
Check Point | いいえ | はい | いいえ | はい | いいえ | いいえ |
Cisco ASA (Syslog) | いいえ | はい | いいえ | ○ | はい | いいえ |
FirePOWER を使用した Cisco ASA | ○ | ○ | ○ | ○ | ○ | はい |
Cisco Cloud Web セキュリティ | ○ | ○ | ○ | ○ | ○ | はい |
Cisco FWSM | いいえ | はい | いいえ | ○ | はい | いいえ |
Cisco Ironport WSA | ○ | ○ | ○ | ○ | ○ | はい |
Cisco Meraki | ○ | はい | いいえ | はい | いいえ | いいえ |
Clavister NGFW (Syslog) | ○ | ○ | ○ | ○ | ○ | はい |
ContentKeeper | ○ | ○ | ○ | ○ | ○ | はい |
Corrata | ○ | ○ | ○ | ○ | ○ | はい |
Digital Arts i-FILTER | ○ | ○ | ○ | ○ | ○ | はい |
ForcePoint LEEF | ○ | ○ | ○ | ○ | ○ | はい |
ForcePoint Web セキュリティ クラウド* | ○ | ○ | ○ | ○ | ○ | はい |
Fortinet Fortigate | いいえ | ○ | ○ | ○ | ○ | はい |
FortiOS | ○ | はい | いいえ | ○ | ○ | はい |
iboss | ○ | ○ | ○ | ○ | ○ | はい |
Juniper SRX | いいえ | はい | いいえ | ○ | ○ | はい |
Juniper SSG | いいえ | ○ | ○ | ○ | ○ | はい |
McAfee SWG | はい | いいえ | いいえ | ○ | ○ | はい |
Menlo Security (CEF) | ○ | ○ | ○ | ○ | ○ | はい |
MS TMG | はい | いいえ | ○ | ○ | ○ | はい |
Open Systems Secure Web Gateway | ○ | ○ | ○ | ○ | ○ | はい |
Palo Alto Networks | いいえ | ○ | ○ | ○ | ○ | はい |
SonicWall (旧 Dell) | ○ | はい | いいえ | ○ | ○ | はい |
Sophos | ○ | ○ | ○ | ○ | はい | いいえ |
イカ (共通) | はい | いいえ | ○ | ○ | はい | いいえ |
Squid (Native) | はい | いいえ | ○ | はい | いいえ | いいえ |
Stormshield | いいえ | ○ | ○ | ○ | ○ | はい |
Wandera | ○ | ○ | ○ | ○ | ○ | はい |
WatchGuard | ○ | ○ | ○ | ○ | ○ | はい |
Websense - インターネット アクティビティ ログ (CEF) | ○ | ○ | ○ | ○ | ○ | はい |
Websense - 調査詳細レポート (CSV) | ○ | ○ | ○ | ○ | ○ | はい |
Zscaler | ○ | ○ | ○ | ○ | ○ | はい |
* ForcePoint Web Security Cloud のバージョン 8.5 以降はサポートされていません