Översikt över molnappsidentifiering
Molnidentifiering analyserar dina trafikloggar mot Microsoft Defender för molnet Apps-katalogen med över 31 000 molnappar. Apparna rangordnas och poängsätts baserat på mer än 90 riskfaktorer för att ge dig kontinuerlig insyn i molnanvändning, Skugg-IT och den risk shadow IT utgör i din organisation.
Dricks
Som standard kan Defender för molnet Appar inte identifiera appar som inte finns i katalogen.
Om du vill se Defender för molnet Apps-data för en app som för närvarande inte finns i katalogen rekommenderar vi att du kontrollerar vår översikt) eller skapar en anpassad app.
Ögonblicksbilder och kontinuerliga riskbedömningsrapporter
Du kan generera följande typer av rapporter:
Ögonblicksbildsrapporter – Ger ad hoc-synlighet för en uppsättning trafikloggar som du laddar upp manuellt från dina brandväggar och proxyservrar.
Kontinuerliga rapporter – Analysera alla loggar som vidarebefordras från nätverket med hjälp av Defender för molnet Apps. De tillhandahåller förbättrad insyn över alla data och identifierar automatiskt avvikande användning med antingen avvikelseidentifieringsmotorn Machine Learning eller genom anpassade principer som du definierar. Dessa rapporter kan skapas genom att ansluta på följande sätt:
- Microsoft Defender för Endpoint integrering: Defender för molnet Apps integreras med Defender för Endpoint internt, för att förenkla distributionen av molnidentifiering, utöka funktionerna för molnidentifiering utanför företagets nätverk och aktivera maskinbaserad undersökning.
- Logginsamlare: Med logginsamlare kan du enkelt automatisera logguppladdningen från nätverket. Logginsamlaren körs i nätverket och tar emot loggar via Syslog eller FTP.
- Säker webbgateway (SWG): Om du arbetar med både Defender för molnet Apps och en av följande SWG:er kan du integrera produkterna för att förbättra din upplevelse av identifiering av säkerhetsmoln. Tillsammans ger Defender för molnet-appar och SWG:er sömlös distribution av molnidentifiering, automatisk blockering av icke-sanktionerade appar och riskbedömning direkt i SWG-portalen.
API för molnidentifiering – Använd api:et för molnidentifiering i Defender för molnet Apps för att automatisera uppladdningen av trafikloggar och få en automatiserad molnidentifieringsrapport och riskbedömning. Du kan också använda API:et för att generera blockskript och effektivisera appkontroller direkt till nätverksinstallationen.
Loggprocessflödet: från rådata till riskbedömning
Processen för att generera en riskbedömning består av följande steg. Processen tar mellan några minuter och flera timmar beroende på mängden data som bearbetas.
Ladda upp – Loggar med webbtrafik från ditt nätverk laddas upp till portalen.
Parsa – Defender för molnet Apps parsar och extraherar trafikdata från trafikloggarna med en dedikerad parser för varje datakälla.
Analysera – Trafikdata analyseras mot molnappkatalogen för att identifiera mer än 31 000 molnappar och utvärdera deras riskpoäng. Aktiva användare och IP-adresser identifieras också som en del av analysen.
Skapa rapport – En riskbedömningsrapport av de data som extraheras från loggfiler skapas.
Kommentar
Identifieringsdata analyseras och uppdateras fyra gånger om dagen.
Brandväggar och proxyservrar som stöds
- Barracuda - webbapp med brandvägg (W3C)
- Blue Coat Proxy SG – åtkomstlogg (W3C)
- Check Point
- Cisco ASA med FirePOWER
- Cisco ASA-brandväggen (För Cisco ASA-brandväggar är det nödvändigt att ange informationsnivån till 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URL-logg
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto-brandväggar
- Sonicwall (tidigare Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (allmän)
- Squid (intern)
- Stormshield
- Wandera
- WatchGuard
- Websense – webbsäkerhetslösningar – Internetaktivitetslogg (CEF)
- Websense – webbsäkerhetslösningar – undersökande detaljrapport (CSV)
- Zscaler
Kommentar
Molnidentifiering stöder både IPv4- och IPv6-adresser.
Om loggen inte stöds eller om du använder ett nyligen släppt loggformat från en av de datakällor som stöds och uppladdningen misslyckas väljer du Annat som datakälla och anger den installation och logg som du försöker ladda upp. Din logg granskas av molnanalytikerteamet för Defender för molnet Apps och du får ett meddelande om stöd för din loggtyp har lagts till. Alternativt kan du definiera en anpassad parser som matchar ditt format. Mer information finns i Använda en anpassad loggparser.
Kommentar
Följande lista över enheter som stöds kanske inte fungerar med nyligen släppta loggformat. Om du använder ett nyligen släppt format och uppladdningen misslyckas använder du en anpassad loggparser och öppnar ett supportärende om det behövs. Om du öppnar ett supportärende måste du ange relevant brandväggsdokumentation för ditt ärende.
Dataattribut (enligt dokumentationen från leverantören):
Data source | Målapp-URL | Målapp-IP | Username | Ursprungligt IP | Total trafik | Överförda byte |
---|---|---|---|---|---|---|
Barracuda | Ja | Ja | Ja | Ja | Nej | Nej |
Blue Coat | Ja | No | Ja | Ja | Ja | Ja |
Check Point | Nej | Ja | No | Ja | Nej | Nej |
Cisco ASA (Syslog) | Nej | Ja | No | Ja | Ja | Nej |
Cisco ASA med FirePOWER | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco Cloud Web Security | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco FWSM | Nej | Ja | No | Ja | Ja | Nej |
Cisco Ironport WSA | Ja | Ja | Ja | Ja | Ja | Ja |
Cisco Meraki | Ja | Ja | No | Ja | Nej | Nej |
Clavister NGFW (Syslog) | Ja | Ja | Ja | Ja | Ja | Ja |
ContentKeeper | Ja | Ja | Ja | Ja | Ja | Ja |
Corrata | Ja | Ja | Ja | Ja | Ja | Ja |
Digital Arts i-FILTER | Ja | Ja | Ja | Ja | Ja | Ja |
ForcePoint LEEF | Ja | Ja | Ja | Ja | Ja | Ja |
ForcePoint Web Security Cloud* | Ja | Ja | Ja | Ja | Ja | Ja |
Fortinet Fortigate | Nej | Ja | Ja | Ja | Ja | Ja |
FortiOS | Ja | Ja | No | Ja | Ja | Ja |
iboss | Ja | Ja | Ja | Ja | Ja | Ja |
Juniper SRX | Nej | Ja | No | Ja | Ja | Ja |
Juniper SSG | Nej | Ja | Ja | Ja | Ja | Ja |
McAfee SWG | Ja | Nej | Nej | Ja | Ja | Ja |
Menlo Security (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
MS TMG | Ja | No | Ja | Ja | Ja | Ja |
Open Systems Secure Web Gateway | Ja | Ja | Ja | Ja | Ja | Ja |
Palo Alto Networks | Nej | Ja | Ja | Ja | Ja | Ja |
SonicWall (tidigare Dell) | Ja | Ja | No | Ja | Ja | Ja |
Sophos | Ja | Ja | Ja | Ja | Ja | Nej |
Squid (allmän) | Ja | No | Ja | Ja | Ja | Nej |
Squid (intern) | Ja | No | Ja | Ja | Nej | Nej |
Stormshield | Nej | Ja | Ja | Ja | Ja | Ja |
Wandera | Ja | Ja | Ja | Ja | Ja | Ja |
WatchGuard | Ja | Ja | Ja | Ja | Ja | Ja |
Websense – Internetaktivitetslogg (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
Websense – Undersökande detaljrapport (CSV) | Ja | Ja | Ja | Ja | Ja | Ja |
Zscaler | Ja | Ja | Ja | Ja | Ja | Ja |
* Versioner 8.5 och senare av ForcePoint Web Security Cloud stöds inte