Oversikt over appoppdagelse i skyen
Skyoppdagelse analyserer trafikkloggene mot den Microsoft Defender for Cloud Apps katalogen med over 31 000 skyapper. Appene er rangert og scoret basert på mer enn 90 risikofaktorer for å gi deg kontinuerlig innsyn i skybruk, Shadow IT og risikoen Shadow IT utgjør i organisasjonen.
Tips
Som standard kan Defender for Cloud Apps ikke oppdage apper som ikke finnes i katalogen.
Hvis du vil se Defender for Cloud Apps data for en app som for øyeblikket ikke er i katalogen, anbefaler vi at du sjekker veikartet vårt) eller oppretter en egendefinert app.
Øyeblikksbilde og kontinuerlige risikovurderingsrapporter
Du kan generere følgende typer rapporter:
Øyeblikksbilderapporter – gir ad hoc-synlighet på et sett på trafikklogger du laster opp manuelt fra brannmurer og proxyer.
Kontinuerlige rapporter – Analyser alle logger som videresendes fra nettverket ved hjelp av Defender for Cloud Apps. De gir bedre synlighet over alle data, og identifiserer automatisk uregelmessig bruk ved hjelp av avviksregistreringsmotoren for Maskinlæring eller ved hjelp av egendefinerte policyer som du definerer. Disse rapportene kan opprettes ved å koble til på følgende måter:
- Microsoft Defender for endepunkt integrering: Defender for Cloud Apps integreres med Defender for Endpoint opprinnelig, for å forenkle utrullingen av skyoppdagelse, utvide skyoppdagelsesfunksjoner utenfor bedriftsnettverket og aktivere maskinbasert undersøkelse.
- Loggsamler: Loggsamlere lar deg enkelt automatisere loggopplasting fra nettverket. Loggsamleren kjører på nettverket og mottar logger over Syslog eller FTP.
- Secure Web Gateway (SWG): Hvis du arbeider med både Defender for Cloud Apps og én av følgende SWG-er, kan du integrere produktene for å forbedre oppdagelsesopplevelsen i sikkerhetsskyen. Sammen gir Defender for Cloud Apps og SWGs sømløs distribusjon av skyoppdagelse, automatisk blokkering av ikke-helliggjorte apper og risikovurdering direkte i SWGs portal.
API for skyoppdagelse – Bruk API for Defender for Cloud Apps skyoppdagelse til å automatisere trafikkloggopplasting og få automatisert rapport for skyoppdagelse og risikovurdering. Du kan også bruke API-en til å generere blokkeringsskript og strømlinjeforme appkontroller direkte til nettverksapparatet.
Loggprosessflyt: Fra rådata til risikovurdering
Prosessen med å generere en risikovurdering består av følgende trinn. Prosessen tar mellom noen minutter og flere timer, avhengig av datamengden som behandles.
Opplasting – webtrafikklogger fra nettverket lastes opp til portalen.
Analyser – Defender for Cloud Apps analyserer og trekker ut trafikkdata fra trafikkloggene med en dedikert analyse for hver datakilde.
Analyser – Trafikkdata analyseres mot skyappkatalogen for å identifisere mer enn 31 000 skyapper og vurdere risikopoengsummen. Aktive brukere og IP-adresser identifiseres også som en del av analysen.
Generer rapport – En risikovurderingsrapport over dataene som er trukket ut fra loggfiler, genereres.
Obs!
Oppdagelsesdata analyseres og oppdateres fire ganger om dagen.
Støttede brannmurer og proxyer
- Barracuda – Web App-brannmur (W3C)
- Blue Coat Proxy SG – tilgangslogg (W3C)
- Kontrollpunkt
- Cisco ASA med FirePOWER
- Cisco ASA-brannmur (for Cisco ASA-brannmurer er det nødvendig å angi informasjonsnivået til 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – nettadresselogg
- Clavister NGFW (Syslog)
- ContentKeeper
- Korrelator
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto-serien Brannmur
- Sonicwall (tidligere Dell)
- Sophos Cyberoam
- Sofos SG
- Sofos XG
- Blekksprut (vanlig)
- Blekksprut (opprinnelig)
- Stormshield
- Wandera
- WatchGuard
- Websense – Web Security Solutions – Internett-aktivitetslogg (CEF)
- Websense – Web Security Solutions – undersøkende detaljrapport (CSV)
- Zscaler
Obs!
Skysøk støtter både IPv4- og IPv6-adresser.
Hvis loggen ikke støttes, eller hvis du bruker et nylig utgitt loggformat fra en av de støttede datakildene og opplastingen mislykkes, velger du Annet som datakilde og angir apparatet og loggen du prøver å laste opp. Loggen din vil bli gjennomgått av Defender for Cloud Apps skyanalytikerteam, og du blir varslet om støtte for loggtypen din legges til. Du kan også definere en egendefinert analyse som samsvarer med formatet ditt. Hvis du vil ha mer informasjon, kan du se Bruke en egendefinert logganalyse.
Obs!
Følgende liste over støttede apparater fungerer kanskje ikke med nylig utgitte loggformater. Hvis du bruker et nylig utgitt format og opplastingen mislykkes, bruker du en egendefinert logganalyse , og om nødvendig åpner du et støttetilfelle. Hvis du åpner en støttesak, må du sørge for å gi den relevante brannmurdokumentasjonen saken din.
Dataattributter (i henhold til leverandørdokumentasjon):
| Datakilde | URL-adresse for målapp | IP-adresse for målapp | Brukernavn | Ip-adresse for opprinnelse | Total trafikk | Opplastede byte |
|---|---|---|---|---|---|---|
| Barracuda | Ja | Ja | Ja | Ja | Nei | Nei |
| Blå frakk | Ja | Nei | Ja | Ja | Ja | Ja |
| Kontrollpunkt | Nei | Ja | Nei | Ja | Nei | Nei |
| Cisco ASA (Syslog) | Nei | Ja | Nei | Ja | Ja | Nei |
| Cisco ASA med FirePOWER | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Cloud Web Security | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco FWSM | Nei | Ja | Nei | Ja | Ja | Nei |
| Cisco Ironport WSA | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Meraki | Ja | Ja | Nei | Ja | Nei | Nei |
| Clavister NGFW (Syslog) | Ja | Ja | Ja | Ja | Ja | Ja |
| ContentKeeper | Ja | Ja | Ja | Ja | Ja | Ja |
| Korrelator | Ja | Ja | Ja | Ja | Ja | Ja |
| Digital Arts i-FILTER | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint LEEF | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint Web Security Cloud* | Ja | Ja | Ja | Ja | Ja | Ja |
| Fortinet Fortigate | Nei | Ja | Ja | Ja | Ja | Ja |
| FortiOS | Ja | Ja | Nei | Ja | Ja | Ja |
| iboss | Ja | Ja | Ja | Ja | Ja | Ja |
| Juniper SRX | Nei | Ja | Nei | Ja | Ja | Ja |
| Juniper SSG | Nei | Ja | Ja | Ja | Ja | Ja |
| McAfee SWG | Ja | Nei | Nei | Ja | Ja | Ja |
| Menlo Security (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| MS TMG | Ja | Nei | Ja | Ja | Ja | Ja |
| Open Systems Secure Web Gateway | Ja | Ja | Ja | Ja | Ja | Ja |
| Palo Alto Networks | Nei | Ja | Ja | Ja | Ja | Ja |
| SonicWall (tidligere Dell) | Ja | Ja | Nei | Ja | Ja | Ja |
| Sofos | Ja | Ja | Ja | Ja | Ja | Nei |
| Blekksprut (vanlig) | Ja | Nei | Ja | Ja | Ja | Nei |
| Blekksprut (opprinnelig) | Ja | Nei | Ja | Ja | Nei | Nei |
| Stormshield | Nei | Ja | Ja | Ja | Ja | Ja |
| Wandera | Ja | Ja | Ja | Ja | Ja | Ja |
| WatchGuard | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense – Internett-aktivitetslogg (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense – undersøkende detaljrapport (CSV) | Ja | Ja | Ja | Ja | Ja | Ja |
| Zscaler | Ja | Ja | Ja | Ja | Ja | Ja |
* Versjoner 8.5 og nyere av ForcePoint Web Security Cloud støttes ikke