Udostępnij za pośrednictwem

Tworzenie raportów odnajdywania w chmurze migawek

  • Artykuł

Ważne jest, aby przekazać dziennik ręcznie i pozwolić Microsoft Defender for Cloud Apps przeanalizować go przed próbą użycia automatycznego modułu zbierającego dzienniki. Aby uzyskać informacje na temat działania modułu zbierającego dzienniki i oczekiwanego formatu dziennika, zobacz Używanie dzienników ruchu na potrzeby odnajdywania w chmurze.

Jeśli nie masz jeszcze dziennika i chcesz zobaczyć przykład tego, jak powinien wyglądać dziennik, pobierz przykładowy plik dziennika. Postępuj zgodnie z poniższą procedurą, aby zobaczyć, jak powinien wyglądać dziennik.

Aby utworzyć raport migawki:

  1. Zbieraj pliki dziennika z zapory i serwera proxy, za pośrednictwem których użytkownicy w organizacji uzyskują dostęp do Internetu. Pamiętaj, aby zbierać dzienniki w okresach szczytowego ruchu, które są reprezentatywne dla całej aktywności użytkowników w organizacji.

  2. W portalu Microsoft Defender w obszarze Cloud Apps wybierz pozycję Odnajdywanie w chmurze.

  3. W prawym górnym rogu wybierz pozycję Akcje, a następnie wybierz pozycję Utwórz raport migawki usługi Cloud Discovery.

    Utwórz nowy raport migawki.

  4. Wybierz pozycję Dalej.

  5. Wprowadź nazwę raportu i opis

    Nowy raport migawki.

  6. Wybierz źródło , z którego chcesz przekazać pliki dziennika. Jeśli źródło nie jest obsługiwane (zobacz Obsługiwane zapory i serwery proxy dla pełnej listy), możesz utworzyć analizator niestandardowy. Aby uzyskać więcej informacji, zobacz Use a custom log parser (Używanie niestandardowego analizatora dzienników).

  7. Sprawdź format dziennika, aby upewnić się, że jest on poprawnie sformatowany zgodnie z przykładowym dziennikiem, który można pobrać. W obszarze Weryfikowanie formatu dziennika wybierz pozycję Wyświetl format dziennika , a następnie wybierz pozycję Pobierz przykładowy dziennik. Porównaj dziennik z podanym przykładem, aby upewnić się, że jest zgodny.

    Sprawdź format dziennika.

    Uwaga

    Przykładowy format FTP jest obsługiwany w migawkach i automatycznym przekazywaniu, podczas gdy dziennik systemowy jest obsługiwany tylko w przypadku automatycznego przekazywania. Pobranie przykładowego dziennika spowoduje pobranie przykładowego dziennika FTP.

  8. Przekaż dzienniki ruchu , które chcesz przekazać. Jednocześnie możesz przekazać maksymalnie 20 plików. Obsługiwane są również skompresowane i spakowane pliki.

    Przekazywanie dzienników ruchu.

  9. Wybierz pozycję Przekaż dzienniki.

  10. Po zakończeniu przekazywania w prawym górnym rogu ekranu zostanie wyświetlony komunikat o stanie informujący o pomyślnym przekazaniu dziennika.

  11. Po przekazaniu plików dziennika ich analizowanie i analizowanie zajmie trochę czasu. Po zakończeniu przetwarzania plików dziennika otrzymasz wiadomość e-mail z powiadomieniem o zakończeniu przetwarzania.

  12. Baner powiadomień zostanie wyświetlony na pasku stanu w górnej części pulpitu nawigacyjnego usługi Cloud Discovery . Baner aktualizuje cię o stan przetwarzania plików dziennika. pasek menu przetwarzania pliku dziennika.

  13. Po pomyślnym przekazaniu dzienników powinno zostać wyświetlone powiadomienie informujące o pomyślnym zakończeniu przetwarzania pliku dziennika. W tym momencie możesz wyświetlić raport, wybierając link na pasku stanu. Lub w portalu Microsoft Defender wybierz pozycję Ustawienia.

  14. Następnie w obszarze Cloud Discovery wybierz pozycję Raporty migawek i wybierz raport migawki.

    zarządzanie raportami migawek.

Używanie dzienników ruchu na potrzeby odnajdywania w chmurze

Funkcja odnajdywania w chmurze używa danych w dziennikach ruchu. Bardziej szczegółowy dziennik, tym lepsza widoczność. Odnajdywanie w chmurze wymaga danych ruchu internetowego z następującymi atrybutami:

  • Data transakcji
  • Źródłowy adres IP
  • Użytkownik źródłowy — zdecydowanie zalecane
  • Docelowy adres IP
  • Zalecany docelowy adres URL (adresy URL zapewniają większą dokładność wykrywania aplikacji w chmurze niż adresy IP)
  • Całkowita ilość danych (informacje o danych są bardzo cenne)
  • Ilość przekazanych lub pobranych danych (zapewnia szczegółowe informacje na temat wzorców użycia aplikacji w chmurze)
  • Podjęta akcja (dozwolona/zablokowana)

Odnajdywanie w chmurze nie może pokazywać ani analizować atrybutów, które nie są uwzględnione w dziennikach. Na przykład standardowy format dziennika zapory Cisco ASA nie ma liczby przekazanych bajtów na transakcję, nazwę użytkownika i docelowy adres URL (tylko docelowy adres IP). W związku z tym te atrybuty nie będą wyświetlane w danych odnajdywania w chmurze dla tych dzienników, a widoczność aplikacji w chmurze będzie ograniczona. W przypadku zapór Cisco ASA należy ustawić poziom informacji na 6.

Aby pomyślnie wygenerować raport odnajdywania w chmurze, dzienniki ruchu muszą spełniać następujące warunki:

  1. Obsługiwane jest źródło danych.
  2. Format dziennika jest zgodny z oczekiwanym standardowym formatem (format sprawdzany podczas przekazywania przez narzędzie Dziennika).
  3. Zdarzenia nie mają więcej niż 90 dni.
  4. Plik dziennika jest prawidłowy i zawiera informacje o ruchu wychodzącym.

Następne kroki

Kontrolowanie aplikacji w chmurze za pomocą zasad

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.