Översikt över identifiering av molnappar
Molnidentifiering analyserar dina trafikloggar mot Microsoft Defender for Cloud Apps katalog med över 31 000 molnappar. Apparna rangordnas och poängsätts baserat på mer än 90 riskfaktorer för att ge dig kontinuerlig insyn i molnanvändning, Shadow IT och den risk shadow IT utgör i din organisation.
Tips
Som standard kan Defender for Cloud Apps inte identifiera appar som inte finns i katalogen.
Om du vill se Defender for Cloud Apps data för en app som för närvarande inte finns i katalogen rekommenderar vi att du kontrollerar vår översikt) eller skapar en anpassad app.
Rapporter om ögonblicksbilder och kontinuerlig riskbedömning
Du kan generera följande typer av rapporter:
Ögonblicksbildsrapporter – Ger ad hoc-synlighet för en uppsättning trafikloggar som du laddar upp manuellt från dina brandväggar och proxyservrar.
Kontinuerliga rapporter – Analysera alla loggar som vidarebefordras från nätverket med hjälp av Defender for Cloud Apps. De ger bättre synlighet över alla data och identifierar automatiskt avvikande användning med hjälp av antingen Machine Learning-motorn för avvikelseidentifiering eller med hjälp av anpassade principer som du definierar. Dessa rapporter kan skapas genom att ansluta på följande sätt:
- Microsoft Defender för Endpoint integrering: Defender for Cloud Apps integreras med Defender för Endpoint internt, för att förenkla distributionen av molnidentifiering, utöka funktionerna för molnidentifiering utanför företagets nätverk och aktivera maskinbaserad undersökning.
- Logginsamlare: Med logginsamlare kan du enkelt automatisera logguppladdningen från nätverket. Logginsamlaren körs i nätverket och tar emot loggar via Syslog eller FTP.
- Secure Web Gateway (SWG): Om du arbetar med både Defender for Cloud Apps och en av följande SWG:er kan du integrera produkterna för att förbättra din upplevelse av identifiering av säkerhetsmoln. Tillsammans ger Defender for Cloud Apps och SWG sömlös distribution av molnidentifiering, automatisk blockering av icke sanktionerade appar och riskbedömning direkt i SWG-portalen.
API för molnidentifiering – Använd Defender for Cloud Apps API för molnidentifiering för att automatisera uppladdningen av trafikloggar och få en automatisk molnidentifieringsrapport och riskbedömning. Du kan också använda API:et för att generera blockskript och effektivisera appkontroller direkt till din nätverksinstallation.
Loggprocessflöde: Från rådata till riskbedömning
Processen för att generera en riskbedömning består av följande steg. Processen tar mellan några minuter och flera timmar beroende på mängden data som bearbetas.
Ladda upp – Webbtrafikloggar från nätverket laddas upp till portalen.
Parsa – Defender for Cloud Apps parsar och extraherar trafikdata från trafikloggarna med en dedikerad parser för varje datakälla.
Analysera – Trafikdata analyseras mot molnappkatalogen för att identifiera mer än 31 000 molnappar och utvärdera deras riskpoäng. Aktiva användare och IP-adresser identifieras också som en del av analysen.
Generera rapport – En riskbedömningsrapport över de data som extraheras från loggfiler genereras.
Obs!
Identifieringsdata analyseras och uppdateras fyra gånger om dagen.
Brandväggar och proxyservrar som stöds
- Barracuda – Brandvägg för webbaserade appar (W3C)
- Blue Coat Proxy SG – åtkomstlogg (W3C)
- Check Point
- Cisco ASA med FirePOWER
- Cisco ASA-brandväggen (för Cisco ASA-brandväggar är det nödvändigt att ange informationsnivån till 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URL-logg
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto-seriens brandvägg
- Sonicwall (tidigare Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Bläckfisk (vanligt)
- Bläckfisk (intern)
- Stormshield
- Wandera
- WatchGuard
- Websense – Webbsäkerhetslösningar – Internetaktivitetslogg (CEF)
- Websense – Webbsäkerhetslösningar – Undersökande detaljrapport (CSV)
- Zscaler
Obs!
Molnidentifiering stöder både IPv4- och IPv6-adresser.
Om loggen inte stöds, eller om du använder ett nyligen släppt loggformat från en av de datakällor som stöds och uppladdningen misslyckas, väljer du Annan som datakälla och anger installationen och loggen som du försöker ladda upp. Loggen granskas av Defender for Cloud Apps molnanalytikerteam och du meddelas om stöd för din loggtyp har lagts till. Du kan också definiera en anpassad parser som matchar ditt format. Mer information finns i Använda en anpassad loggparser.
Obs!
Följande lista över enheter som stöds kanske inte fungerar med nyligen utgivna loggformat. Om du använder ett nyligen släppt format och uppladdningen misslyckas använder du en anpassad loggparser och öppnar ett supportärende om det behövs. Om du öppnar ett supportärende måste du ange relevant brandväggsdokumentation med ditt ärende.
Dataattribut (enligt leverantörsdokumentation):
| Datakälla | Målappens URL | Ip-adress för målapp | Användarnamn | Ursprungs-IP | Total trafik | Uppladdade byte |
|---|---|---|---|---|---|---|
| Barracuda | Ja | Ja | Ja | Ja | Nej | Nej |
| Blå rock | Ja | Nej | Ja | Ja | Ja | Ja |
| Check Point | Nej | Ja | Nej | Ja | Nej | Nej |
| Cisco ASA (Syslog) | Nej | Ja | Nej | Ja | Ja | Nej |
| Cisco ASA med FirePOWER | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Cloud Web Security | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco FWSM | Nej | Ja | Nej | Ja | Ja | Nej |
| Cisco Ironport WSA | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Meraki | Ja | Ja | Nej | Ja | Nej | Nej |
| Clavister NGFW (Syslog) | Ja | Ja | Ja | Ja | Ja | Ja |
| ContentKeeper | Ja | Ja | Ja | Ja | Ja | Ja |
| Corrata | Ja | Ja | Ja | Ja | Ja | Ja |
| Digital Arts i-FILTER | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint LEEF | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint Web Security Cloud* | Ja | Ja | Ja | Ja | Ja | Ja |
| Fortinet Fortigate | Nej | Ja | Ja | Ja | Ja | Ja |
| FortiOS | Ja | Ja | Nej | Ja | Ja | Ja |
| iboss | Ja | Ja | Ja | Ja | Ja | Ja |
| Juniper SRX | Nej | Ja | Nej | Ja | Ja | Ja |
| Juniper SSG | Nej | Ja | Ja | Ja | Ja | Ja |
| McAfee SWG | Ja | Nej | Nej | Ja | Ja | Ja |
| Menlo Security (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| MS TMG | Ja | Nej | Ja | Ja | Ja | Ja |
| Open Systems Secure Web Gateway | Ja | Ja | Ja | Ja | Ja | Ja |
| Palo Alto Networks | Nej | Ja | Ja | Ja | Ja | Ja |
| SonicWall (tidigare Dell) | Ja | Ja | Nej | Ja | Ja | Ja |
| Sophos | Ja | Ja | Ja | Ja | Ja | Nej |
| Bläckfisk (vanligt) | Ja | Nej | Ja | Ja | Ja | Nej |
| Bläckfisk (intern) | Ja | Nej | Ja | Ja | Nej | Nej |
| Stormshield | Nej | Ja | Ja | Ja | Ja | Ja |
| Wandera | Ja | Ja | Ja | Ja | Ja | Ja |
| WatchGuard | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense – Internetaktivitetslogg (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense – undersökande detaljrapport (CSV) | Ja | Ja | Ja | Ja | Ja | Ja |
| Zscaler | Ja | Ja | Ja | Ja | Ja | Ja |
* Versioner 8.5 och senare av ForcePoint Web Security Cloud stöds inte