Compartilhar via

Criar snapshot relatórios de deteção de cloud

  • Artigo

É importante carregar um log manualmente e permitir que o Microsoft Defender para Aplicativos na Nuvem o analise antes de tentar usar o coletor de logs automático. Para obter informações sobre como funciona o recoletor de registos e o formato de registo esperado, veja Utilizar registos de tráfego para a deteção da cloud.

Se ainda não tiver um registo e quiser ver um exemplo do aspeto que o registo deve ter, transfira um ficheiro de registo de exemplo. Siga o procedimento abaixo para ver como deve ser a aparência do log.

Para criar um relatório de snapshot:

  1. Colete arquivos de log do firewall e do proxy, por meio dos quais os usuários em sua organização acessam a Internet. Certifique-se de coletar logs durante os horários de pico de tráfego que são representativos de todas as atividades do usuário em sua organização.

  2. No portal do Microsoft Defender, em Aplicações na Cloud, selecione Cloud Discovery.

  3. No canto superior direito, puxe as Ações para baixo e selecione Criar snapshot relatório da Cloud Discovery.

    Crie um novo relatório de snapshot.

  4. Selecione Avançar.

  5. Introduza um Nome do relatório e uma Descrição

    Novo relatório de snapshot.

  6. Selecione a Fonte da qual você deseja carregar os arquivos de log. Se a sua origem não for suportada (veja Firewalls e proxies suportados para a lista completa), pode criar um analisador personalizado. Para obter mais informações, veja Utilizar um analisador de registos personalizado.

  7. Verifique o formato do log para verificar se ele está formatado corretamente de acordo com o log de exemplo que você pode baixar. Em Verificar o formato de log, selecione Exibir formato de log e selecione Baixar log de exemplo. Compare seu log com a amostra fornecida para garantir que seja compatível.

    Verifique o formato de registo.

    Observação

    O formato de exemplo de FTP é suportado em instantâneos e carregamento automatizado, enquanto o syslog é suportado apenas no carregamento automatizado. Baixar um log de exemplo baixará um log FTP de exemplo.

  8. Carregue os registos de tráfego que pretende carregar. Você pode carregar 20 arquivos por vez. Também há suporte para arquivos comprimidos e compactados.

    Carregar registos de tráfego.

  9. Selecione Carregar logs.

  10. Após a conclusão do carregamento, a mensagem status será apresentada no canto superior direito do ecrã, informando-o de que o registo foi carregado com êxito.

  11. Depois de carregar os arquivos de log, levará algum tempo para que eles sejam analisados e analisados. Após a conclusão do processamento dos arquivos de log, você receberá um email para notificá-lo de que ele foi concluído.

  12. Será apresentada uma faixa de notificação na barra de status na parte superior do dashboard da Cloud Discovery. O banner atualiza você com o status de processamento de seus arquivos de log. a processar a barra de menus do ficheiro de registo.

  13. Depois que os logs forem carregados com êxito, você verá uma notificação informando que o processamento do arquivo de log foi concluído com êxito. Neste momento, pode ver o relatório ao selecionar a ligação na barra de status. Em alternativa, no Portal do Microsoft Defender, selecione Definições.

  14. Em seguida, em Cloud Discovery, selecione Relatórios de instantâneo e selecione o seu relatório de snapshot.

    snapshot gestão de relatórios.

Utilizar registos de tráfego para a deteção da cloud

A Cloud Discovery utiliza os dados nos registos de tráfego. Quando mais detalhado o log, melhor a visibilidade que você obtém. A deteção da cloud requer dados de tráfego Web com os seguintes atributos:

  • Data da transação
  • IP de Origem
  • Usuário de origem – altamente recomendado
  • Endereço IP de destino
  • URL de destino recomendado (os URLs fornecem uma maior precisão para a deteção de aplicações na cloud do que os endereços IP)
  • Quantidade total de dados (as informações de dados são altamente valiosas)
  • Quantidade de dados carregados ou baixados (fornece insights sobre os padrões de uso dos aplicativos na nuvem)
  • Ação tomada (permitida/bloqueada)

A Cloud Discovery não consegue mostrar ou analisar atributos que não estão incluídos nos seus registos. Por exemplo, o formato de registo padrão da Firewall do Cisco ASA não tem o número de bytes carregados por transação, Nome de Utilizador e URL de Destino (apenas IP de destino). Por conseguinte, estes atributos não serão apresentados nos dados de deteção da cloud para estes registos e a visibilidade das aplicações na cloud será limitada. Para os firewalls Cisco ASA, é necessário definir o nível de informações como 6.

Para gerar com êxito um relatório de deteção da cloud, os registos de tráfego têm de cumprir as seguintes condições:

  1. A fonte de dados tem suporte.
  2. O formato de log corresponde ao formato padrão esperado (formato verificado após o upload pela ferramenta Log).
  3. Os eventos não têm mais de 90 dias.
  4. O arquivo de log é válido e inclui informações de tráfego de saída.

Próximas etapas

Controlar aplicativos da nuvem com políticas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.