Dela via


Skapa molnidentifieringsrapporter för ögonblicksbilder

Det är viktigt att ladda upp en logg manuellt och låta Microsoft Defender for Cloud Apps parsa den innan du försöker använda den automatiska logginsamlaren. Information om hur logginsamlaren fungerar och det förväntade loggformatet finns i Använda trafikloggar för molnidentifiering.

Om du inte har någon logg ännu och vill se ett exempel på hur loggen ska se ut kan du ladda ned en exempelloggfil. Följ proceduren nedan för att se hur loggen ska se ut.

Så här skapar du en ögonblicksbildsrapport:

  1. Samla in loggfiler från din brandvägg och proxyserver, genom vilken användare i din organisation får åtkomst till Internet. Se till att samla in loggar under tider med trafiktoppar som är representativa för all användaraktivitet i din organisation.

  2. I Microsoft Defender-portalen går du till Cloud Apps och väljer Molnidentifiering.

  3. I det övre högra hörnet hämtar du Åtgärder och väljer Skapa cloud discovery-ögonblicksbildrapport.

    Skapa en ny ögonblicksbildsrapport.

  4. Välj Nästa.

  5. Ange ett rapportnamn och en beskrivning

    Ny ögonblicksbildsrapport.

  6. Välj den källa som du vill ladda upp loggfilerna från. Om källan inte stöds (se Brandväggar och proxyservrar som stöds för den fullständiga listan) kan du skapa en anpassad parser. Mer information finns i Använda en anpassad loggparser.

  7. Kontrollera loggformatet för att se till att det är korrekt formaterat enligt exempelloggen som du kan ladda ned. Under Verifiera loggformatet väljer du Visa loggformat och sedan Ladda ned exempellogg. Jämför din logg med exemplet som tillhandahålls för att kontrollera att den är kompatibel.

    Kontrollera loggformatet.

    Obs!

    FTP-exempelformatet stöds i ögonblicksbilder och automatisk uppladdning medan syslog endast stöds i automatisk uppladdning. Om du laddar ned en exempellogg laddas en FTP-exempellogg ned.

  8. Ladda upp trafikloggar som du vill ladda upp. Du kan ladda upp upp till 20 filer samtidigt. Komprimerade och zippade filer stöds också.

    Ladda upp trafikloggar.

  9. Välj Ladda upp loggar.

  10. När uppladdningen är klar visas statusmeddelandet i det övre högra hörnet på skärmen så att du vet att loggen har laddats upp.

  11. När du har laddat upp loggfilerna tar det lite tid innan de parsas och analyseras. När bearbetningen av loggfilerna har slutförts får du ett e-postmeddelande om att det är klart.

  12. En meddelandebanderoll visas i statusfältet överst på Cloud Discovery-instrumentpanelen . Banderollen uppdaterar dig med bearbetningsstatusen för dina loggfiler. bearbetning av loggfilens menyrad.

  13. När loggarna har laddats upp bör du se ett meddelande om att loggfilsbearbetningen har slutförts. Nu kan du visa rapporten genom att välja länken i statusfältet. Eller välj Inställningar i Microsoft Defender-portalen.

  14. Under Cloud Discovery väljer du sedan Ögonblicksbildsrapporter och sedan din ögonblicksbildsrapport.

    hantering av ögonblicksbildsrapporter.

Använda trafikloggar för molnidentifiering

Molnidentifiering använder data i dina trafikloggar. Ju mer detaljerad loggen är, desto bättre synlighet får du. Molnidentifiering kräver webbtrafikdata med följande attribut:

  • Datum för transaktionen
  • Käll-IP
  • Källanvändare – rekommenderas starkt
  • Mål-IP-adress
  • Rekommenderad mål-URL (URL:er ger högre noggrannhet för identifiering av molnappar än IP-adresser)
  • Total mängd data (datainformation är mycket värdefull)
  • Mängden uppladdade eller nedladdade data (ger insikter om användningsmönstren för molnapparna)
  • Åtgärd som vidtas (tillåten/blockerad)

Molnidentifiering kan inte visa eller analysera attribut som inte ingår i dina loggar. Standardloggformatet för Cisco ASA Firewall har till exempel inte antalet uppladdade byte per transaktion, användarnamn och mål-URL (endast mål-IP). Därför visas inte dessa attribut i molnidentifieringsdata för dessa loggar, och insynen i molnapparna kommer att begränsas. För Cisco ASA-brandväggar är det nödvändigt att ange informationsnivån till 6.

Om du vill generera en molnidentifieringsrapport måste dina trafikloggar uppfylla följande villkor:

  1. Datakälla stöds.
  2. Loggformatet matchar det förväntade standardformatet (format som kontrolleras vid uppladdning av loggverktyget).
  3. Händelser är inte äldre än 90 dagar.
  4. Loggfilen är giltig och innehåller information om utgående trafik.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.