Omówienie odnajdywania aplikacji w chmurze
Funkcja odnajdywania w chmurze analizuje dzienniki ruchu względem wykazu Microsoft Defender for Cloud Apps ponad 31 000 aplikacji w chmurze. Aplikacje są klasyfikowane i oceniane na podstawie ponad 90 czynników ryzyka, aby zapewnić ciągły wgląd w korzystanie z chmury, shadow IT i ryzyko, jakie shadow IT stwarza dla Twojej organizacji.
Porada
Domyślnie Defender for Cloud Apps nie może odnaleźć aplikacji, które nie są w wykazie.
Aby wyświetlić dane Defender for Cloud Apps dla aplikacji, która nie jest obecnie w wykazie, zalecamy sprawdzenie naszego planu) lub utworzenie aplikacji niestandardowej.
Raporty migawek i ciągłej oceny ryzyka
Możesz wygenerować następujące typy raportów:
Raporty migawek — zapewnia widoczność ad hoc w zestawie dzienników ruchu przekazywanych ręcznie z zapór i serwerów proxy.
Raporty ciągłe — analizowanie wszystkich dzienników przesyłanych dalej z sieci przy użyciu Defender for Cloud Apps. Zapewniają one lepszą widoczność wszystkich danych i automatycznie identyfikują nietypowe użycie przy użyciu aparatu wykrywania anomalii usługi Machine Learning lub przy użyciu zdefiniowanych zasad niestandardowych. Te raporty można utworzyć, łącząc się w następujący sposób:
- integracja Ochrona punktu końcowego w usłudze Microsoft Defender: Defender for Cloud Apps integruje się natywnie z usługą Defender for Endpoint, aby uprościć wdrażanie odnajdywania w chmurze, rozszerzyć możliwości odnajdywania w chmurze poza sieć firmową i włączyć badanie oparte na maszynie.
- Moduł zbierający dzienniki: moduły zbierające dzienniki umożliwiają łatwe automatyzowanie przekazywania dzienników z sieci. Moduł zbierający dzienniki działa w sieci i odbiera dzienniki za pośrednictwem protokołu Syslog lub FTP.
- Secure Web Gateway (SWG): Jeśli pracujesz zarówno z Defender for Cloud Apps, jak i jedną z następujących grup SWG, możesz zintegrować produkty, aby ulepszyć środowisko odnajdywania w chmurze zabezpieczeń. Razem Defender for Cloud Apps i swg zapewniają bezproblemowe wdrażanie odnajdywania w chmurze, automatyczne blokowanie niesankcjonowanych aplikacji i ocenę ryzyka bezpośrednio w portalu swg.
Interfejs API odnajdywania chmury — za pomocą interfejsu API odnajdywania w chmurze Defender for Cloud Apps automatyzowanie przekazywania dzienników ruchu i uzyskiwanie zautomatyzowanego raportu odnajdywania w chmurze i oceny ryzyka. Interfejs API umożliwia również generowanie skryptów blokowych i usprawnianie kontrolek aplikacji bezpośrednio na urządzeniu sieciowym.
Przepływ procesu dziennika: od danych pierwotnych do oceny ryzyka
Proces generowania oceny ryzyka składa się z następujących kroków. Proces trwa od kilku minut do kilku godzin w zależności od ilości przetworzonych danych.
Przekazywanie — dzienniki ruchu internetowego z sieci są przekazywane do portalu.
Analizowanie — Defender for Cloud Apps analizuje i wyodrębnia dane ruchu z dzienników ruchu za pomocą dedykowanego analizatora dla każdego źródła danych.
Analiza — dane ruchu są analizowane względem katalogu aplikacji w chmurze w celu zidentyfikowania ponad 31 000 aplikacji w chmurze i oceny ich oceny ryzyka. Aktywni użytkownicy i adresy IP są również identyfikowane w ramach analizy.
Generowanie raportu — generowany jest raport oceny ryzyka dotyczący danych wyodrębnionych z plików dziennika.
Uwaga
Dane odnajdywania są analizowane i aktualizowane cztery razy dziennie.
Obsługiwane zapory i serwery proxy
- Barracuda — Zapora aplikacji internetowej (W3C)
- Blue Coat Proxy SG — dziennik dostępu (W3C)
- Check Point
- Cisco ASA z rozwiązaniem FirePOWER
- Zapora Cisco ASA (w przypadku zapór Cisco ASA należy ustawić poziom informacji na 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki — dziennik adresów URL
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Punkt siłowy
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Zapora z serii Palo Alto
- Sonicwall (dawniej Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Kalmary (wspólne)
- Kałamarnia (natywna)
- Osłona burzowa
- Wandera
- WatchGuard
- Websense — Rozwiązania zabezpieczeń sieci Web — dziennik aktywności internetowej (CEF)
- Websense — Rozwiązania zabezpieczeń sieci Web — raport szczegółowy analizy (CSV)
- Zscaler
Uwaga
Odnajdywanie w chmurze obsługuje adresy IPv4 i IPv6.
Jeśli dziennik nie jest obsługiwany lub używasz nowo wydanego formatu dziennika z jednego z obsługiwanych źródeł danych, a przekazywanie kończy się niepowodzeniem, wybierz pozycję Inne jako źródło danych i określ urządzenie i dziennik, które próbujesz przekazać. Dziennik zostanie przejrzany przez zespół analityków Defender for Cloud Apps chmury i otrzymasz powiadomienie, jeśli zostanie dodana obsługa typu dziennika. Alternatywnie można zdefiniować analizator niestandardowy zgodny z formatem. Aby uzyskać więcej informacji, zobacz Use a custom log parser (Używanie niestandardowego analizatora dzienników).
Uwaga
Poniższa lista obsługiwanych urządzeń może nie działać z nowo wydanymi formatami dzienników. Jeśli używasz nowo wydanego formatu i przekazywanie kończy się niepowodzeniem, użyj niestandardowego analizatora dzienników i w razie potrzeby otwórz zgłoszenie do pomocy technicznej. Jeśli otworzysz zgłoszenie do pomocy technicznej, upewnij się, że w twoim przypadku podaj odpowiednią dokumentację zapory.
Atrybuty danych (zgodnie z dokumentacją dostawcy):
| Źródło danych | Adres URL aplikacji docelowej | Adres IP aplikacji docelowej | Nazwa użytkownika | Adres IP źródła | Łączny ruch | Przekazane bajty |
|---|---|---|---|---|---|---|
| Barracuda | Tak | Tak | Tak | Tak | Nie | Nie |
| Niebieski płaszcz | Tak | Nie | Tak | Tak | Tak | Tak |
| Check Point | Nie | Tak | Nie | Tak | Nie | Nie |
| Cisco ASA (Syslog) | Nie | Tak | Nie | Tak | Tak | Nie |
| Cisco ASA z rozwiązaniem FirePOWER | Tak | Tak | Tak | Tak | Tak | Tak |
| Cisco Cloud Web Security | Tak | Tak | Tak | Tak | Tak | Tak |
| Cisco FWSM | Nie | Tak | Nie | Tak | Tak | Nie |
| Cisco Ironport WSA | Tak | Tak | Tak | Tak | Tak | Tak |
| Cisco Meraki | Tak | Tak | Nie | Tak | Nie | Nie |
| Clavister NGFW (Syslog) | Tak | Tak | Tak | Tak | Tak | Tak |
| ContentKeeper | Tak | Tak | Tak | Tak | Tak | Tak |
| Corrata | Tak | Tak | Tak | Tak | Tak | Tak |
| Digital Arts i-FILTER | Tak | Tak | Tak | Tak | Tak | Tak |
| ForcePoint LEEF | Tak | Tak | Tak | Tak | Tak | Tak |
| ForcePoint Web Security Cloud* | Tak | Tak | Tak | Tak | Tak | Tak |
| Fortinet Fortigate | Nie | Tak | Tak | Tak | Tak | Tak |
| FortiOS | Tak | Tak | Nie | Tak | Tak | Tak |
| iboss | Tak | Tak | Tak | Tak | Tak | Tak |
| Juniper SRX | Nie | Tak | Nie | Tak | Tak | Tak |
| Juniper SSG | Nie | Tak | Tak | Tak | Tak | Tak |
| McAfee SWG | Tak | Nie | Nie | Tak | Tak | Tak |
| Menlo Security (CEF) | Tak | Tak | Tak | Tak | Tak | Tak |
| MS TMG | Tak | Nie | Tak | Tak | Tak | Tak |
| Open Systems Secure Web Gateway | Tak | Tak | Tak | Tak | Tak | Tak |
| Palo Alto Networks | Nie | Tak | Tak | Tak | Tak | Tak |
| SonicWall (dawniej Dell) | Tak | Tak | Nie | Tak | Tak | Tak |
| Sophos | Tak | Tak | Tak | Tak | Tak | Nie |
| Kalmary (wspólne) | Tak | Nie | Tak | Tak | Tak | Nie |
| Kałamarnia (natywna) | Tak | Nie | Tak | Tak | Nie | Nie |
| Osłona burzowa | Nie | Tak | Tak | Tak | Tak | Tak |
| Wandera | Tak | Tak | Tak | Tak | Tak | Tak |
| WatchGuard | Tak | Tak | Tak | Tak | Tak | Tak |
| Websense — dziennik aktywności internetowej (CEF) | Tak | Tak | Tak | Tak | Tak | Tak |
| Websense — raport szczegółów śledczych (CSV) | Tak | Tak | Tak | Tak | Tak | Tak |
| Zscaler | Tak | Tak | Tak | Tak | Tak | Tak |
* Wersje 8.5 i nowsze usługi ForcePoint Web Security Cloud nie są obsługiwane