Обзор обнаружения облачных приложений
Cloud Discovery анализирует журналы трафика по Microsoft Defender for Cloud Apps каталогу из более чем 31 000 облачных приложений. Приложения ранжируются и оцениваются на основе более чем 90 факторов риска, чтобы обеспечить постоянную видимость использования облака, теневых ИТ и рисков, которые теневые ИТ-службы представляют для вашей организации.
Совет
По умолчанию Defender for Cloud Apps не удается обнаружить приложения, которых нет в каталоге.
Чтобы просмотреть Defender for Cloud Apps данные для приложения, которое в настоящее время не находится в каталоге, рекомендуется проверка нашу дорожную карту) или создать пользовательское приложение.
Моментальные снимки и непрерывные отчеты об оценке рисков
Можно создавать отчеты следующих типов:
Отчеты о моментальных снимках . Обеспечивает нерегламентированное представление набора в журналах трафика, которые вы вручную отправляете из брандмауэров и прокси-серверов.
Непрерывные отчеты. Анализ всех журналов, пересылаемых из сети, с помощью Defender for Cloud Apps. Они обеспечивают улучшенную видимость всех данных и автоматически определяют аномальное использование либо с помощью механизма обнаружения аномалий машинного обучения, либо с помощью определяемых вами настраиваемых политик. Эти отчеты могут быть созданы путем подключения следующими способами:
- Microsoft Defender для конечной точки интеграции: Defender for Cloud Apps изначально интегрируется с Defender для конечной точки, чтобы упростить развертывание облачного обнаружения, расширить возможности обнаружения в облаке за пределы корпоративной сети и включить исследование на основе компьютера.
- Сборщик журналов. Сборщики журналов позволяют легко автоматизировать отправку журналов из сети. Сборщик журналов работает в сети и получает журналы через Syslog или FTP.
- Безопасный веб-шлюз (SWG). Если вы работаете как с Defender for Cloud Apps, так и с одним из следующих SWG, вы можете интегрировать продукты, чтобы улучшить возможности обнаружения безопасности в облаке. Вместе Defender for Cloud Apps и SWG обеспечивают простое развертывание облачного обнаружения, автоматическую блокировку несанкционированных приложений и оценку рисков непосредственно на портале SWG.
API обнаружения в облаке. Используйте API обнаружения Defender for Cloud Apps облака для автоматизации отправки журналов трафика и получения автоматизированного отчета об обнаружении в облаке и оценки рисков. Вы также можете использовать API для создания сценариев блокировки и упрощения управления приложениями непосредственно на сетевом устройстве.
Журнал рабочего потока: от необработанных данных до оценки рисков
Процесс создания оценки риска состоит из следующих шагов. Процесс занимает от нескольких минут до нескольких часов в зависимости от объема обрабатываемых данных.
Отправка — журналы веб-трафика из сети отправляются на портал.
Анализ — Defender for Cloud Apps анализирует и извлекает данные трафика из журналов трафика с помощью выделенного средства синтаксического анализа для каждого источника данных.
Анализ . Данные трафика анализируются в каталоге облачных приложений, чтобы определить более 31 000 облачных приложений и оценить их оценку риска. В рамках анализа также определяются активные пользователи и IP-адреса.
Создать отчет . Создается отчет об оценке рисков данных, извлеченных из файлов журнала.
Примечание.
Данные обнаружения анализируются и обновляются четыре раза в день.
Поддерживаемые брандмауэры и прокси-серверы
- Barracuda — брандмауэр веб-приложения (W3C)
- Blue Coat Proxy SG — журнал доступа (W3C)
- Check Point
- Cisco ASA с FirePOWER
- Брандмауэр Cisco ASA (для брандмауэров Cisco ASA необходимо задать уровень информации 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki — журнал URL-адресов
- Clavister NGFW (Syslog)
- ContentKeeper
- Коррата
- Цифровые искусства i-FILTER
- Forcepoint
- Fortinet Fortigate
- Iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Безопасный веб-шлюз open systems
- Брандмауэр серии Palo Alto
- Sonicwall (ранее Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense — решения для веб-безопасности — журнал действий в Интернете (CEF)
- Websense — решения для веб-безопасности — подробный отчет о расследовании (CSV)
- Zscaler
Примечание.
Cloud Discovery поддерживает адреса IPv4 и IPv6.
Если журнал не поддерживается или вы используете только что выпущенный формат журнала из одного из поддерживаемых источников данных и отправка завершается ошибкой, выберите Другой в качестве источника данных и укажите (модуль) и журнал, которые вы пытаетесь отправить. Ваш журнал будет проверен командой аналитиков Defender for Cloud Apps облака, и вы получите уведомление о добавлении поддержки для вашего типа журнала. Кроме того, можно определить пользовательское средство синтаксического анализа, соответствующее формату. Дополнительные сведения см. в разделе Использование настраиваемого средства синтаксического анализа журналов.
Примечание.
Приведенный ниже список поддерживаемых устройств может не работать с новыми форматами журналов. Если вы используете только что выпущенный формат и отправка завершается сбоем, используйте настраиваемое средство синтаксического анализа журналов и при необходимости откройте обращение в службу поддержки. Если вы обратитесь в службу поддержки, обязательно предоставьте соответствующую документацию по брандмауэру с вашим делом.
Атрибуты данных (в соответствии с документацией поставщика):
| Источник данных | URL-адрес целевого приложения | IP-адрес целевого приложения | Username | IP-адрес источника | Общий трафик | Отправленные байты |
|---|---|---|---|---|---|---|
| Барракуда | Да | Да | Да | Да | Нет | Нет |
| Синее пальто | Да | Нет | Да | Да | Да | Да |
| Check Point | Нет | Да | Нет | Да | Нет | Нет |
| Cisco ASA (системный журнал) | Нет | Да | Нет | Да | Да | Нет |
| Cisco ASA с FirePOWER | Да | Да | Да | Да | Да | Да |
| Cisco Cloud Web Security | Да | Да | Да | Да | Да | Да |
| Cisco FWSM | Нет | Да | Нет | Да | Да | Нет |
| Cisco Ironport WSA | Да | Да | Да | Да | Да | Да |
| Cisco Meraki | Да | Да | Нет | Да | Нет | Нет |
| Clavister NGFW (Syslog) | Да | Да | Да | Да | Да | Да |
| ContentKeeper | Да | Да | Да | Да | Да | Да |
| Коррата | Да | Да | Да | Да | Да | Да |
| Цифровые искусства i-FILTER | Да | Да | Да | Да | Да | Да |
| ForcePoint LEEF | Да | Да | Да | Да | Да | Да |
| ForcePoint Web Security Cloud* | Да | Да | Да | Да | Да | Да |
| Fortinet Fortigate | Нет | Да | Да | Да | Да | Да |
| FortiOS | Да | Да | Нет | Да | Да | Да |
| iboss | Да | Да | Да | Да | Да | Да |
| Juniper SRX | Нет | Да | Нет | Да | Да | Да |
| Juniper SSG | Нет | Да | Да | Да | Да | Да |
| McAfee SWG | Да | Нет | Нет | Да | Да | Да |
| Menlo Security (CEF) | Да | Да | Да | Да | Да | Да |
| MS TMG | Да | Нет | Да | Да | Да | Да |
| Безопасный веб-шлюз open systems | Да | Да | Да | Да | Да | Да |
| Palo Alto Networks | Нет | Да | Да | Да | Да | Да |
| SonicWall (ранее Dell) | Да | Да | Нет | Да | Да | Да |
| Софос | Да | Да | Да | Да | Да | Нет |
| Squid (Common) | Да | Нет | Да | Да | Да | Нет |
| Squid (Native) | Да | Нет | Да | Да | Нет | Нет |
| Stormshield | Нет | Да | Да | Да | Да | Да |
| Wandera | Да | Да | Да | Да | Да | Да |
| WatchGuard | Да | Да | Да | Да | Да | Да |
| Websense — журнал действий в Интернете (CEF) | Да | Да | Да | Да | Да | Да |
| Websense — подробный отчет о расследовании (CSV) | Да | Да | Да | Да | Да | Да |
| Zscaler | Да | Да | Да | Да | Да | Да |
* Версии 8.5 и более поздние версии ForcePoint Web Security Cloud не поддерживаются.