云应用发现概述

云发现针对超过 31,000 个云应用的Microsoft Defender for Cloud Apps目录分析流量日志。 应用基于 90 多个风险因素进行排名和评分,让你持续了解云使用、影子 IT 以及影子 IT 对组织构成的风险。

提示

默认情况下,Defender for Cloud Apps无法发现不在目录中的应用。

若要查看当前不在目录中的应用的Defender for Cloud Apps数据,建议检查路线图) 或创建自定义应用

快照和持续风险评估报告

可以生成以下类型的报表:

  • 快照报告 - 提供从防火墙和代理手动上传的流量日志集的临时可见性。

  • 连续报告 - 使用 Defender for Cloud Apps 分析从网络转发的所有日志。 它们可提高所有数据的可见性,并使用机器学习异常情况检测引擎或使用你定义的自定义策略来自动识别异常使用情况。 可以通过以下方式进行连接来创建这些报告:

    • Microsoft Defender for Endpoint集成:Defender for Cloud Apps本机与 Defender for Endpoint 集成,以简化云发现的推出,将云发现功能扩展到企业网络之外,并启用基于计算机的调查。
    • 日志收集器:使用日志收集器可以轻松地自动从网络上传日志。 日志收集器在你的网络上运行,并且通过 Syslog 或 FTP 接收日志。
    • 保护 Web 网关 (SWG) :如果同时使用Defender for Cloud Apps和以下 SWG 之一,则可以集成产品来增强安全云发现体验。 Defender for Cloud Apps和 SWG 共同提供无缝部署云发现、自动阻止未批准的应用,以及直接在 SWG 的门户中进行风险评估。
  • 云发现 API - 使用 Defender for Cloud Apps 云发现 API 自动上传流量日志,并获取自动化云发现报告和风险评估。 还可以使用 API 生成块脚本,并直接将应用控件简化到网络设备。

日志流程流:从原始数据到风险评估

生成风险评估的过程包括以下步骤。 此过程需要几分钟到几个小时,具体取决于处理的数据量。

  • 上传 – 来自网络的 Web 流量日志将上传到门户。

  • 分析 – Defender for Cloud Apps使用每个数据源的专用分析程序从流量日志中分析和提取流量数据。

  • 分析 - 根据云应用目录分析流量数据,以识别超过 31,000 个云应用并评估其风险评分。 分析过程中也会识别活动用户和 IP 地址。

  • 生成报告 - 生成从日志文件提取的数据的风险评估报告。

注意

发现数据每天分析和更新四次。

支持的防火墙和代理

  • Barracuda - Web 应用防火墙 (W3C)
  • Blue Coat 代理 SG - 访问日志 (W3C)
  • Check Point
  • 使用 FirePOWER 的 Cisco ASA
  • Cisco ASA 防火墙 (对于 Cisco ASA 防火墙,必须将信息级别设置为 6)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URL 日志
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • 数字艺术 i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss 安全云网关
  • Juniper SRX
  • Juniper SSG
  • McAfee 安全 Web 网关
  • Menlo Security (CEF)
  • Microsoft前端威胁管理网关 (W3C)
  • 开放系统安全 Web 网关
  • Palo Alto 系列防火墙
  • Sonicwall (以前是戴尔)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • 鱿鱼 (共同)
  • 鱿鱼 (原生)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense - Web 安全解决方案 - Internet 活动日志 (CEF)
  • Websense - Web 安全解决方案 - 调查详细信息报告 (CSV)
  • Zscaler

注意

云发现支持 IPv4 和 IPv6 地址。

如果日志不受支持,或者使用的是某个受支持的数据源中新发布的日志格式,并且上传失败,请选择“ 其他 ”作为 数据源 ,并指定尝试上传的设备和日志。 Defender for Cloud Apps云分析团队将审查日志,如果添加了对日志类型的支持,你将收到通知。 或者,可以定义与格式匹配的自定义分析程序。 有关详细信息,请参阅 使用自定义日志分析程序

注意

以下受支持设备列表可能不适用于新发布的日志格式。 如果使用新发布的格式且上传失败, 请使用自定义日志分析程序 ,并根据需要创建支持案例。 如果打开支持案例,请确保提供与案例相关的防火墙文档。

根据供应商文档) (数据属性:

数据源 目标应用 URL 目标应用 IP 用户名 源 IP 总流量 上传的字节数
梭鱼
蓝色外套
Check Point
Cisco ASA (Syslog)
使用 FirePOWER 的 Cisco ASA
Cisco Cloud Web Security
Cisco FWSM
Cisco Ironport WSA
Cisco Meraki
Clavister NGFW (Syslog)
ContentKeeper
Corrata
数字艺术 i-FILTER
ForcePoint LEEF
ForcePoint Web Security Cloud*
Fortinet Fortigate
FortiOS
iboss
Juniper SRX
Juniper SSG
McAfee SWG
Menlo Security (CEF)
MS TMG
开放系统安全 Web 网关
Palo Alto 网络
SonicWall (以前为 Dell)
Sophos
鱿鱼 (共同)
鱿鱼 (原生)
Stormshield
Wandera
WatchGuard
Websense - (CEF) 的 Internet 活动日志
Websense - 调查详细信息报告 (CSV)
Zscaler

* 不支持 ForcePoint Web Security Cloud 8.5 及更高版本

后续步骤