Delen via

Clouddetectierapporten voor momentopnamen maken

  • Artikel

Het is belangrijk om een logboek handmatig te uploaden en Microsoft Defender for Cloud Apps het te laten parseren voordat u de automatische logboekverzamelaar probeert te gebruiken. Zie Verkeerslogboeken gebruiken voor clouddetectie voor informatie over hoe de logboekverzamelaar werkt en de verwachte logboekindeling.

Als u nog geen logboek hebt en u een voorbeeld wilt zien van hoe uw logboek eruit moet zien, downloadt u een voorbeeldlogboekbestand. Volg de onderstaande procedure om te zien hoe uw logboek eruit moet zien.

Een momentopnamerapport maken:

  1. Verzamel logboekbestanden van uw firewall en proxy, waardoor gebruikers in uw organisatie toegang hebben tot internet. Zorg ervoor dat u logboeken verzamelt tijdens piekmomenten die representatief zijn voor alle gebruikersactiviteit in uw organisatie.

  2. Selecteer in de Microsoft Defender Portal onder Cloud-appsde optie Clouddetectie.

  3. Selecteer in de rechterbovenhoek Acties en selecteer Cloud Discovery-momentopnamerapport maken.

    Nieuw momentopnamerapport maken.

  4. Selecteer Volgende.

  5. Voer een rapportnaam en een beschrijving in

    Nieuw momentopnamerapport.

  6. Selecteer de bron waaruit u de logboekbestanden wilt uploaden. Als uw bron niet wordt ondersteund (zie Ondersteunde firewalls en proxy's voor de volledige lijst), kunt u een aangepaste parser maken. Zie Een aangepaste logboekparser gebruiken voor meer informatie.

  7. Controleer de logboekindeling om ervoor te zorgen dat deze correct is opgemaakt volgens het voorbeeldlogboek dat u kunt downloaden. Selecteer onder Uw logboekindeling controlerende optie Logboekindeling weergeven en selecteer vervolgens Voorbeeldlogboek downloaden. Vergelijk uw logboek met het opgegeven voorbeeld om ervoor te zorgen dat het compatibel is.

    Controleer uw logboekindeling.

    Opmerking

    De FTP-voorbeeldindeling wordt ondersteund in momentopnamen en geautomatiseerd uploaden, terwijl syslog alleen wordt ondersteund in geautomatiseerd uploaden. Als u een voorbeeldlogboek downloadt, wordt er een FTP-voorbeeldlogboek gedownload.

  8. Upload verkeerslogboeken die u wilt uploaden. U kunt maximaal 20 bestanden tegelijk uploaden. Gecomprimeerde en gezipte bestanden worden ook ondersteund.

    Verkeerslogboeken uploaden.

  9. Selecteer Logboeken uploaden.

  10. Nadat het uploaden is voltooid, wordt het statusbericht weergegeven in de rechterbovenhoek van het scherm, zodat u weet dat uw logboek is geüpload.

  11. Nadat u uw logboekbestanden hebt geüpload, duurt het enige tijd voordat ze zijn geparseerd en geanalyseerd. Nadat de verwerking van uw logboekbestanden is voltooid, ontvangt u een e-mail met de melding dat dit is gebeurd.

  12. Er wordt een meldingsbanner weergegeven op de statusbalk boven aan het Cloud Discovery-dashboard . De banner werkt u bij met de verwerkingsstatus van uw logboekbestanden. menubalk van logboekbestand verwerken.

  13. Nadat de logboeken zijn geüpload, ziet u een melding dat de verwerking van het logboekbestand is voltooid. Op dit moment kunt u het rapport bekijken door de koppeling in de statusbalk te selecteren. Of selecteer instellingen in de Microsoft Defender Portal.

  14. Selecteer vervolgens onder Cloud Discoveryde optie Momentopnamerapporten en selecteer uw momentopnamerapport.

    momentopnamerapportbeheer.

Verkeerslogboeken gebruiken voor clouddetectie

Cloud discovery gebruikt de gegevens in uw verkeerslogboeken. Hoe gedetailleerder uw logboek, hoe beter u zicht krijgt. Voor clouddetectie zijn webverkeersgegevens met de volgende kenmerken vereist:

  • Datum van de transactie
  • Bron-IP
  • Brongebruiker - sterk aanbevolen
  • Doel-IP-adres
  • Aanbevolen doel-URL ( URL's bieden een hogere nauwkeurigheid voor detectie van cloud-apps dan IP-adressen)
  • Totale hoeveelheid gegevens (gegevensinformatie is zeer waardevol)
  • Hoeveelheid geüploade of gedownloade gegevens (geeft inzicht in de gebruikspatronen van de cloud-apps)
  • Uitgevoerde actie (toegestaan/geblokkeerd)

Clouddetectie kan geen kenmerken weergeven of analyseren die niet in uw logboeken zijn opgenomen. De standaardlogboekindeling van Cisco ASA Firewall heeft bijvoorbeeld niet het aantal geüploade bytes per transactie, gebruikersnaam en doel-URL (alleen doel-IP). Daarom worden deze kenmerken niet weergegeven in clouddetectiegegevens voor deze logboeken en is het inzicht in de cloud-apps beperkt. Voor Cisco ASA-firewalls moet u het informatieniveau instellen op 6.

Als u een clouddetectierapport wilt genereren, moeten uw verkeerslogboeken aan de volgende voorwaarden voldoen:

  1. Gegevensbron wordt ondersteund.
  2. De logboekindeling komt overeen met de verwachte standaardindeling (de indeling wordt gecontroleerd bij het uploaden door het hulpprogramma Logboek).
  3. Gebeurtenissen zijn niet meer dan 90 dagen oud.
  4. Het logboekbestand is geldig en bevat informatie over uitgaand verkeer.

Volgende stappen

Cloud-apps beheren met beleid

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.