Del via

Opprett rapporter for skyoppdagelse i øyeblikksbilder

  • Artikkel

Det er viktig å laste opp en logg manuelt og la Microsoft Defender for Cloud Apps analysere den før du prøver å bruke den automatiske logginnsamlingen. Hvis du vil ha informasjon om hvordan logginnsamlingen fungerer og det forventede loggformatet, kan du se Bruke trafikklogger for skyoppdaging.

Hvis du ikke har en logg ennå, og du vil se et eksempel på hvordan loggen skal se ut, kan du laste ned en eksempelloggfil. Følg fremgangsmåten nedenfor for å se hvordan loggen skal se ut.

Slik oppretter du en øyeblikksbilderapport:

  1. Samle inn loggfiler fra brannmuren og proxyen, der brukere i organisasjonen får tilgang til Internett. Pass på å samle logger i perioder med høy trafikk som er representative for all brukeraktivitet i organisasjonen.

  2. Velg Cloud Discovery under Cloud Apps i Microsoft Defender-portalen.

  3. Dra ned Handlinger øverst til høyre, og velg Opprett øyeblikksbilderapport for Cloud Discovery.

    Opprett ny øyeblikksbilderapport.

  4. Velg Neste.

  5. Skriv inn et rapportnavn og en beskrivelse

    Ny øyeblikksbilderapport.

  6. Velg kilden du vil laste opp loggfilene fra. Hvis kilden ikke støttes (se Støttede brannmurer og proxyer for den fullstendige listen), kan du opprette en egendefinert analyse. Hvis du vil ha mer informasjon, kan du se Bruke en egendefinert logganalyse.

  7. Kontroller loggformatet for å sikre at det er riktig formatert i henhold til eksempelloggen du kan laste ned. Velg Vis loggformat under Bekreft loggformatet, og velg deretter Last ned eksempellogg. Sammenlign loggen med eksemplet som er angitt for å sikre at den er kompatibel.

    Kontroller loggformatet.

    Obs!

    FTP-eksempelformatet støttes i øyeblikksbilder og automatisert opplasting, mens syslog støttes bare i automatisert opplasting. Hvis du laster ned en eksempellogg, lastes et eksempel på en FTP-logg.

  8. Last opp trafikklogger du vil laste opp. Du kan laste opp opptil 20 filer samtidig. Komprimerte og zippede filer støttes også.

    Last opp trafikklogger.

  9. Velg Opplastingslogger.

  10. Når opplastingen er fullført, vises statusmeldingen øverst til høyre på skjermen, slik at du får vite at loggen er lastet opp.

  11. Når du har lastet opp loggfilene, vil det ta litt tid før de analyseres og analyseres. Når behandlingen av loggfilene er fullført, mottar du en e-postmelding for å varsle deg om at den er fullført.

  12. Et varslingsbanner vises på statuslinjen øverst på instrumentbordet for Cloud Discovery . Banneret oppdaterer deg med behandlingsstatusen for loggfilene. behandler menylinjen for loggfil.

  13. Når loggene er lastet opp, skal du se et varsel som informerer deg om at loggfilbehandlingen er fullført. Nå kan du vise rapporten ved å velge koblingen på statuslinjen. Eller velg Innstillinger i Microsoft Defender-portalen.

  14. Velg deretter Øyeblikksbilde-rapporter under Cloud Discovery, og velg øyeblikksbilderapporten.

    behandling av øyeblikksbilder av rapporter.

Bruke trafikklogger for skyoppdagelse

Skyoppdagelse bruker dataene i trafikkloggene. Jo mer detaljert loggen er, desto bedre synlighet får du. Skyoppdagelse krever netttrafikkdata med følgende attributter:

  • Dato for transaksjonen
  • Kilde-IP
  • Kildebruker – anbefales på det sterkeste
  • IP-adresse for mål
  • Url-adresse for mål anbefales (nettadresser gir høyere nøyaktighet for gjenkjenning av skyapper enn IP-adresser)
  • Total mengde data (datainformasjon er svært verdifull)
  • Mengden opplastede eller nedlastede data (gir innsikt om bruksmønstrene til skyappene)
  • Handling utført (tillatt/blokkert)

Skysøk kan ikke vise eller analysere attributter som ikke er inkludert i loggene. Standard loggformat for Cisco ASA-brannmur har for eksempel ikke antall opplastede byte per transaksjon, brukernavn og målnettadresse (bare mål-IP). Disse attributtene vises derfor ikke i data om skyoppdagelse for disse loggene, og innsyn i skyappene vil derfor være begrenset. For Cisco ASA-brannmurer er det nødvendig å angi informasjonsnivået til 6.

Hvis du vil generere en rapport for skyoppdagelse, må trafikkloggene oppfylle følgende betingelser:

  1. Datakilde støttes.
  2. Loggformatet samsvarer med det forventede standardformatet (format kontrollert ved opplasting av loggverktøyet).
  3. Hendelser er ikke mer enn 90 dager gamle.
  4. Loggfilen er gyldig og inneholder informasjon om utgående trafikk.

Neste trinn

Kontroller skyapper med policyer

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.