Dela via


Översikt över molnappsidentifiering

Molnidentifiering analyserar dina trafikloggar mot Microsoft Defender för molnet Apps-katalogen med över 31 000 molnappar. Apparna rangordnas och poängsätts baserat på mer än 90 riskfaktorer för att ge dig kontinuerlig insyn i molnanvändning, Skugg-IT och den risk shadow IT utgör i din organisation.

Dricks

Som standard kan Defender för molnet Appar inte identifiera appar som inte finns i katalogen.

Om du vill se Defender för molnet Apps-data för en app som för närvarande inte finns i katalogen rekommenderar vi att du kontrollerar vår översikt) eller skapar en anpassad app.

Ögonblicksbilder och kontinuerliga riskbedömningsrapporter

Du kan generera följande typer av rapporter:

  • Ögonblicksbildsrapporter – Ger ad hoc-synlighet för en uppsättning trafikloggar som du laddar upp manuellt från dina brandväggar och proxyservrar.

  • Kontinuerliga rapporter – Analysera alla loggar som vidarebefordras från nätverket med hjälp av Defender för molnet Apps. De tillhandahåller förbättrad insyn över alla data och identifierar automatiskt avvikande användning med antingen avvikelseidentifieringsmotorn Machine Learning eller genom anpassade principer som du definierar. Dessa rapporter kan skapas genom att ansluta på följande sätt:

    • Microsoft Defender för Endpoint integrering: Defender för molnet Apps integreras med Defender för Endpoint internt, för att förenkla distributionen av molnidentifiering, utöka funktionerna för molnidentifiering utanför företagets nätverk och aktivera maskinbaserad undersökning.
    • Logginsamlare: Med logginsamlare kan du enkelt automatisera logguppladdningen från nätverket. Logginsamlaren körs i nätverket och tar emot loggar via Syslog eller FTP.
    • Säker webbgateway (SWG): Om du arbetar med både Defender för molnet Apps och en av följande SWG:er kan du integrera produkterna för att förbättra din upplevelse av identifiering av säkerhetsmoln. Tillsammans ger Defender för molnet-appar och SWG:er sömlös distribution av molnidentifiering, automatisk blockering av icke-sanktionerade appar och riskbedömning direkt i SWG-portalen.
  • API för molnidentifiering – Använd api:et för molnidentifiering i Defender för molnet Apps för att automatisera uppladdningen av trafikloggar och få en automatiserad molnidentifieringsrapport och riskbedömning. Du kan också använda API:et för att generera blockskript och effektivisera appkontroller direkt till nätverksinstallationen.

Loggprocessflödet: från rådata till riskbedömning

Processen för att generera en riskbedömning består av följande steg. Processen tar mellan några minuter och flera timmar beroende på mängden data som bearbetas.

  • Ladda upp – Loggar med webbtrafik från ditt nätverk laddas upp till portalen.

  • Parsa – Defender för molnet Apps parsar och extraherar trafikdata från trafikloggarna med en dedikerad parser för varje datakälla.

  • Analysera – Trafikdata analyseras mot molnappkatalogen för att identifiera mer än 31 000 molnappar och utvärdera deras riskpoäng. Aktiva användare och IP-adresser identifieras också som en del av analysen.

  • Skapa rapport – En riskbedömningsrapport av de data som extraheras från loggfiler skapas.

Kommentar

Identifieringsdata analyseras och uppdateras fyra gånger om dagen.

Brandväggar och proxyservrar som stöds

  • Barracuda - webbapp med brandvägg (W3C)
  • Blue Coat Proxy SG – åtkomstlogg (W3C)
  • Check Point
  • Cisco ASA med FirePOWER
  • Cisco ASA-brandväggen (För Cisco ASA-brandväggar är det nödvändigt att ange informationsnivån till 6)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URL-logg
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto-brandväggar
  • Sonicwall (tidigare Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (allmän)
  • Squid (intern)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense – webbsäkerhetslösningar – Internetaktivitetslogg (CEF)
  • Websense – webbsäkerhetslösningar – undersökande detaljrapport (CSV)
  • Zscaler

Kommentar

Molnidentifiering stöder både IPv4- och IPv6-adresser.

Om loggen inte stöds eller om du använder ett nyligen släppt loggformat från en av de datakällor som stöds och uppladdningen misslyckas väljer du Annat som datakälla och anger den installation och logg som du försöker ladda upp. Din logg granskas av molnanalytikerteamet för Defender för molnet Apps och du får ett meddelande om stöd för din loggtyp har lagts till. Alternativt kan du definiera en anpassad parser som matchar ditt format. Mer information finns i Använda en anpassad loggparser.

Kommentar

Följande lista över enheter som stöds kanske inte fungerar med nyligen släppta loggformat. Om du använder ett nyligen släppt format och uppladdningen misslyckas använder du en anpassad loggparser och öppnar ett supportärende om det behövs. Om du öppnar ett supportärende måste du ange relevant brandväggsdokumentation för ditt ärende.

Dataattribut (enligt dokumentationen från leverantören):

Data source Målapp-URL Målapp-IP Username Ursprungligt IP Total trafik Överförda byte
Barracuda Ja Ja Ja Ja Nej Nej
Blue Coat Ja No Ja Ja Ja Ja
Check Point Nej Ja No Ja Nej Nej
Cisco ASA (Syslog) Nej Ja No Ja Ja Nej
Cisco ASA med FirePOWER Ja Ja Ja Ja Ja Ja
Cisco Cloud Web Security Ja Ja Ja Ja Ja Ja
Cisco FWSM Nej Ja No Ja Ja Nej
Cisco Ironport WSA Ja Ja Ja Ja Ja Ja
Cisco Meraki Ja Ja No Ja Nej Nej
Clavister NGFW (Syslog) Ja Ja Ja Ja Ja Ja
ContentKeeper Ja Ja Ja Ja Ja Ja
Corrata Ja Ja Ja Ja Ja Ja
Digital Arts i-FILTER Ja Ja Ja Ja Ja Ja
ForcePoint LEEF Ja Ja Ja Ja Ja Ja
ForcePoint Web Security Cloud* Ja Ja Ja Ja Ja Ja
Fortinet Fortigate Nej Ja Ja Ja Ja Ja
FortiOS Ja Ja No Ja Ja Ja
iboss Ja Ja Ja Ja Ja Ja
Juniper SRX Nej Ja No Ja Ja Ja
Juniper SSG Nej Ja Ja Ja Ja Ja
McAfee SWG Ja Nej Nej Ja Ja Ja
Menlo Security (CEF) Ja Ja Ja Ja Ja Ja
MS TMG Ja No Ja Ja Ja Ja
Open Systems Secure Web Gateway Ja Ja Ja Ja Ja Ja
Palo Alto Networks Nej Ja Ja Ja Ja Ja
SonicWall (tidigare Dell) Ja Ja No Ja Ja Ja
Sophos Ja Ja Ja Ja Ja Nej
Squid (allmän) Ja No Ja Ja Ja Nej
Squid (intern) Ja No Ja Ja Nej Nej
Stormshield Nej Ja Ja Ja Ja Ja
Wandera Ja Ja Ja Ja Ja Ja
WatchGuard Ja Ja Ja Ja Ja Ja
Websense – Internetaktivitetslogg (CEF) Ja Ja Ja Ja Ja Ja
Websense – Undersökande detaljrapport (CSV) Ja Ja Ja Ja Ja Ja
Zscaler Ja Ja Ja Ja Ja Ja

* Versioner 8.5 och senare av ForcePoint Web Security Cloud stöds inte

Nästa steg