创建快照云发现报告

在尝试使用自动日志收集器之前,请务必手动上传日志并让 Microsoft Defender for Cloud Apps 对其进行分析。 有关日志收集器工作原理和预期的日志格式的信息,请参阅 使用流量日志进行云发现

如果还没有日志,并且想要查看日志应显示的示例,请下载示例日志文件。 请按照以下过程查看日志的外观。

若要创建快照报表,请执行以下操作:

  1. 从组织中的用户通过其访问 Internet 的防火墙和代理收集日志文件。 确保在高峰流量期间收集代表组织中所有用户活动的日志。

  2. 在Microsoft Defender门户中的“云应用”下,选择“云发现”。

  3. 在右上角,下拉“操作”,然后选择“创建 Cloud Discovery 快照报表”。

    创建新的快照报表。

  4. 选择 下一步

  5. 输入报表名称和说明

    新建快照报表。

  6. 选择要从中上传日志文件的。 如果源不受支持 (请参阅完整列表) 支持的 防火墙和代理 ,则可以创建自定义分析程序。 有关详细信息,请参阅 使用自定义日志分析程序

  7. 验证日志格式,确保根据可下载的示例日志正确设置日志格式。 在“验证日志格式”下,选择“查看日志格式”,然后选择“下载示例日志”。 将日志与提供的示例进行比较,以确保其兼容。

    验证日志格式。

    注意

    快照和自动上传支持 FTP 示例格式,而仅自动上传支持 syslog。 下载示例日志将下载示例 FTP 日志。

  8. 上传要上传的流量日志。 一次最多可以上传 20 个文件。 还支持压缩文件。

    上传流量日志。

  9. 选择“上传日志”。

  10. 上传完成后,状态消息将显示在屏幕右上角,告知你已成功上传日志。

  11. 上传日志文件后,解析和分析它们需要一些时间。 日志文件处理完成后,你将收到一封电子邮件,通知你操作已完成。

  12. 通知横幅将显示在 Cloud Discovery 仪表板顶部的状态栏中。 横幅将更新日志文件的处理状态。 处理日志文件菜单栏。

  13. 成功上传日志后,你应会看到通知,告知日志文件处理已成功完成。 此时,可以通过选择状态栏中的链接来查看报表。 或者,在Microsoft Defender门户中,选择“设置”。

  14. 然后在“Cloud Discovery”下,选择“快照报表”,然后选择快照报表。

    快照报表管理。

使用流量日志进行云发现

云发现使用流量日志中的数据。 日志越详细,可见性越好。 云发现需要具有以下属性的 Web 流量数据:

  • 交易日期
  • 源 IP
  • 源用户 - 强烈建议
  • 目标 IP 地址
  • 建议的目标 URL (URL 为云应用检测提供比 IP 地址更高的准确性)
  • 数据总量(数据信息非常有价值)
  • 上传或下载的数据量(提供有关云应用使用模式的见解)
  • 已采取的行动(允许的/阻止的)

云发现无法显示或分析日志中未包含的属性。 例如, Cisco ASA 防火墙 标准日志格式没有 每个事务的上传字节数用户名目标 URL 仅 (目标 IP) 。 因此,这些属性不会显示在这些日志的云发现数据中,并且对云应用的可见性将受到限制。 对于 Cisco ASA 防火墙,必须将信息级别设置为 6。

若要成功生成云发现报告,流量日志必须满足以下条件:

  1. 支持数据源
  2. 日志格式与预期的标准格式(日志工具上传时检查的格式)匹配。
  3. 事件不超过 90 天。
  4. 日志文件有效,包括出站流量信息。

后续步骤

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证