雲端應用程式探索概觀
雲端探索會針對超過 31,000 個雲端應用程式的 Microsoft Defender for Cloud Apps 目錄來分析您的流量記錄。 應用程式會根據超過90個風險因素進行排名和評分,讓您持續看到雲端使用、影子IT,以及影子IT對組織造成的風險。
提示
根據預設,Defender for Cloud Apps 無法探索不在目錄中的應用程式。
若要查看目前不在目錄中之應用程式的 Defender for Cloud Apps 數據,建議您檢查我們的藍圖) 或建立自定義應用程式。
快照和連續性風險評估報告
您可以產生下列型態的報表:
快照集報告 - 針對您從防火牆和 Proxy 手動上傳的流量記錄集提供特定可見性。
連續報告 - 使用 Defender for Cloud Apps 分析從您的網路轉送的所有記錄。 它們可改善所有資料的可見度,並使用 [機器學習] 異常偵測引擎或使用您定義的自訂原則來自動識別異常使用。 可以透過以下列方式連線時建立這些報告:
- 適用於端點的 Microsoft Defender 整合:Defender for Cloud Apps 以原生方式與適用於端點的Defender整合,以簡化雲端探索的推出、將雲端探索功能延伸到公司網路之外,以及啟用機器型調查。
- 記錄收集器:記錄收集器可讓您輕鬆地從網路自動上傳記錄。 記錄收集器在網路上執行,並透過 Syslog 或 FTP 接收記錄。
- 保護 Web 閘道 (SWG) :如果您同時使用 Defender for Cloud Apps 和下列其中一個 SWG,您可以整合產品來增強您的安全性雲端探索體驗。 Defender for Cloud Apps 和 SWG 一起提供雲端探索的順暢部署、自動封鎖未批准的應用程式,以及直接在 SWG 入口網站中進行風險評估。
雲端探索 API – 使用 Defender for Cloud Apps 雲端探索 API 將流量記錄上傳自動化,並取得自動化的雲端探索報告和風險評估。 您也可以使用 API 產生封鎖指令碼 並將應用程式控制直接簡化整併到您的網路設備。
記錄處理流程: 從原始資料到風險評估
產生風險評估的流程由下列步驟所組成。 依據所處理的資料數量,此流程需要幾分鐘到數小時的時間。
上傳 – 來自您網路的 Web 流量記錄會上傳至入口網站。
剖析 – Defender for Cloud Apps 使用每個數據源的專用剖析器,從流量記錄中剖析和擷取流量數據。
分析 – 針對雲端應用程式目錄分析流量數據,以識別超過 31,000 個雲端應用程式,並評估其風險分數。 做為分析的一部分,作用中使用者和 IP 位址也會進行識別。
產生報告 - 會產生從記錄檔擷取之數據的風險評估報告。
注意事項
探索資料每天會分析並更新四次。
支援的防火牆和 Proxy
- Barracuda - Web 應用程式防火牆 (W3C)
- 藍色的 Proxy SG - 存取記錄 (W3C)
- Check Point
- Cisco ASA with FirePOWER
- Cisco ASA 防火牆 (針對 Cisco ASA 防火牆,必須將資訊層級設定為 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URL 記錄
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- 數字藝術 i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee 安全 Web 閘道
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- 開啟系統安全Web閘道
- Palo Alto 系列防火牆
- Sonicwall (先前稱為 Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (原生)
- Stormshield
- Wandera
- WatchGuard
- Websense - Web 安全性解決方案 - CEF (因特網活動記錄)
- Websense - Web 安全性解決方案 - CSV) (調查詳細數據報告
- Zscaler
注意事項
雲端探索同時支援 IPv4 和 IPv6 位址。
如果不支援您的記錄檔,或是使用其中一個支持數據源中新發行的記錄格式,且上傳失敗,請選取 [ 其他 ] 作為 [數據源] ,並指定您嘗試上傳的設備和記錄檔。 Defender for Cloud Apps 雲端分析師小組將會檢閱您的記錄,如果新增記錄類型的支援,您將會收到通知。 或者,您可以定義符合格式的自定義剖析器。 如需詳細資訊,請 參閱使用自定義記錄剖析器。
注意事項
下列支援的設備清單可能無法與新發行的記錄格式搭配使用。 如果您使用新發行的格式,且上傳失敗,請 使用自定義記錄剖析器 ,並視需要開啟支援案例。 如果您開啟支援案例,請務必提供與您的案例相關的防火牆檔。
根據廠商檔案) (的數據屬性:
| 資料來源 | 目標應用程式 URL | 目標應用程式IP | 使用者名稱 | 原始IP | 總流量 | 上傳的位元組 |
|---|---|---|---|---|---|---|
| 梭魚 | 是 | 是 | 是 | 是 | 否 | 否 |
| 藍色外框 | 是 | 否 | 是 | 是 | 是 | 是 |
| Check Point | 否 | 是 | 否 | 是 | 否 | 否 |
| Cisco ASA (Syslog) | 否 | 是 | 否 | 是 | 是 | 否 |
| Cisco ASA with FirePOWER | 是 | 是 | 是 | 是 | 是 | 是 |
| Cisco Cloud Web Security | 是 | 是 | 是 | 是 | 是 | 是 |
| Cisco FWSM | 否 | 是 | 否 | 是 | 是 | 否 |
| Cisco Ironport WSA | 是 | 是 | 是 | 是 | 是 | 是 |
| Cisco Meraki | 是 | 是 | 否 | 是 | 否 | 否 |
| Clavister NGFW (Syslog) | 是 | 是 | 是 | 是 | 是 | 是 |
| ContentKeeper | 是 | 是 | 是 | 是 | 是 | 是 |
| Corrata | 是 | 是 | 是 | 是 | 是 | 是 |
| 數字藝術 i-FILTER | 是 | 是 | 是 | 是 | 是 | 是 |
| ForcePoint LEEF | 是 | 是 | 是 | 是 | 是 | 是 |
| ForcePoint Web Security Cloud* | 是 | 是 | 是 | 是 | 是 | 是 |
| Fortinet Fortigate | 否 | 是 | 是 | 是 | 是 | 是 |
| FortiOS | 是 | 是 | 否 | 是 | 是 | 是 |
| iboss | 是 | 是 | 是 | 是 | 是 | 是 |
| Juniper SRX | 否 | 是 | 否 | 是 | 是 | 是 |
| Juniper SSG | 否 | 是 | 是 | 是 | 是 | 是 |
| McAfee SWG | 是 | 否 | 否 | 是 | 是 | 是 |
| Menlo Security (CEF) | 是 | 是 | 是 | 是 | 是 | 是 |
| MS TMG | 是 | 否 | 是 | 是 | 是 | 是 |
| 開啟系統安全Web閘道 | 是 | 是 | 是 | 是 | 是 | 是 |
| Palo Alto 網路 | 否 | 是 | 是 | 是 | 是 | 是 |
| SonicWall (先前稱為 Dell) | 是 | 是 | 否 | 是 | 是 | 是 |
| Sophos | 是 | 是 | 是 | 是 | 是 | 否 |
| Squid (Common) | 是 | 否 | 是 | 是 | 是 | 否 |
| Squid (原生) | 是 | 否 | 是 | 是 | 否 | 否 |
| Stormshield | 否 | 是 | 是 | 是 | 是 | 是 |
| Wandera | 是 | 是 | 是 | 是 | 是 | 是 |
| WatchGuard | 是 | 是 | 是 | 是 | 是 | 是 |
| Websense - CEF) (因特網活動記錄 | 是 | 是 | 是 | 是 | 是 | 是 |
| Websense - CSV) (調查詳細數據報告 | 是 | 是 | 是 | 是 | 是 | 是 |
| Zscaler | 是 | 是 | 是 | 是 | 是 | 是 |
* 不支援 ForcePoint Web Security Cloud 8.5 版和更新版本