Einrichten von Cloud Discovery
Hinweis
Wir haben den Namen Microsoft Cloud App Security. Sie wird jetzt als Microsoft Defender for Cloud Apps. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.
Cloud Discovery analysiert Ihre Datenverkehrsprotokolle für den Microsoft Defender for Cloud Apps katalog von über 25.000 Cloud-Apps. Die Apps werden basierend auf mehr als 90 Risikofaktoren eingestuft und bewertet, um Ihnen fortlaufendEn Einblick in die Cloudnutzung, Schatten-IT und das Risiko zu bieten, das Schatten-IT für Ihre Organisation darstellt.
Momentaufnahmeberichte und kontinuierliche Berichte zur Risikobewertung
Sie können die folgenden Arten von Berichten generieren:
Momentaufnahmeberichte enthalten Ad-Hoc-Sichtbarkeit für mehrere Datenverkehrsprotokolle, die Sie manuell von Ihren Firewalls und Proxys hochladen.
Fortlaufende Berichte: Analysieren Sie alle Protokolle, die von Ihrem Netzwerk weitergeleitet werden, mithilfe Defender für Cloud Apps. Sie bieten verbesserte Sichtbarkeit aller Daten, und identifizieren anormale Verwendungen automatisch, indem sie entweder die Machine Learning-Anomalieerkennungs-Engine oder benutzerdefinierte Richtlinien verwenden, die Sie definieren. Diese Berichte können durch eine auf folgende Weise hergestellte Verbindung generiert werden:
- Microsoft Defender für Endpunkt Integration: Defender für Cloud Apps lässt sich nativ in Defender for Endpoint integrieren, um den Rollout von Cloud Discovery zu vereinfachen, Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus zu erweitern und computerbasierte Untersuchungen zu ermöglichen.
- Protokollsammler: Mit Protokollsammlern können Sie den Protokollupload aus Ihrem Netzwerk ganz einfach automatisieren. Der Protokollsammler wird in Ihrem Netzwerk ausgeführt und empfängt Protokolle über Syslog oder FTP.
- Sicheres Webgateway (SWG): Wenn Sie sowohl mit Defender für Cloud-Apps als auch mit einem der folgenden SWGs arbeiten, können Sie die Produkte integrieren, um ihre Sicherheitsanforderungen Cloud Discovery verbessern. Zusammen bieten Defender für Cloud Apps und SWGs eine nahtlose Bereitstellung von Cloud Discovery, automatische Blockierung nicht gesperrter Apps und Risikobewertung direkt im SWG-Portal.
Cloud Discovery-API: Verwenden Sie die Defender für Cloud Apps Cloud Discovery-API, um den Upload von Datenverkehrsprotokollen zu automatisieren und automatisierte Cloud Discovery und Risikobewertungen zu erhalten. Sie können die API auch verwenden, um Blockskripts zu generieren und App-Steuerelemente direkt für Ihr Netzwerkgerät zu optimieren.
Prozessablaufprotokollierung: von Rohdaten zur Risikobewertung
Der Prozess zum Generieren einer Risikobewertung besteht aus den folgenden Schritten. Der Vorgang kann nur wenige Minuten aber auch mehrere Stunden in Anspruch nehmen. Dies ist von der Datenmenge abhängig, die verarbeitet wird.
Hochladen – Webverkehrsprotokolle aus Ihrem Netzwerk werden auf das Portal hochgeladen.
Analysieren: Defender für Cloud Apps analysiert und extrahiert Datenverkehrsdaten aus den Datenverkehrsprotokollen mit einem dedizierten Parser für jede Datenquelle.
Analysieren : Datenverkehrsdaten werden für den Cloud-App-Katalog analysiert, um mehr als 25.000 Cloud-Apps zu identifizieren und deren Risikobewertung zu bewerten. Auch aktive Benutzer und IP-Adressen werden im Rahmen der Analyse ermittelt.
Bericht erstellen – Es wird ein Risikobewertungsbericht der Daten generiert, die aus Protokolldateien extrahiert wurden.
Hinweis
Ermittlungsdaten werden viermal täglich analysiert und aktualisiert.
Unterstützte Firewalls und Proxys
- Barracuda – Web-App-Firewall (W3C)
- Blue Coat Proxy SG – Zugriffsprotokoll (W3C)
- Check Point
- Cisco ASA mit FirePOWER
- Cisco ASA-Firewall (für Cisco ASA-Firewalls ist es erforderlich, die Informationsebene auf 6 festzulegen)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URLs log
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto series Firewall
- SonicWall (früher Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense – Web Security Solutions – Internetaktivitätsprotokoll (CEF)
- Websense – Web Security Solutions – Detailbericht (CSV)
- Zscaler
Hinweis
Cloud Discovery unterstützt IPv4- und IPv6-Adressen.
Wenn Ihr Protokoll nicht unterstützt wird oder Sie ein neu veröffentlichtes Protokollformat aus einer der unterstützten Datenquellen verwenden und der Upload fehlschlägt, wählen Sie Andere als Datenquelle aus, und geben Sie die Appliance und das Protokoll an, die Sie hochladen möchten. Ihr Protokoll wird vom Cloudanalystenteam von Defender für Cloud Apps überprüft, und Sie werden benachrichtigt, wenn Unterstützung für Ihren Protokolltyp hinzugefügt wird. Alternativ können Sie einen benutzerdefinierten Parser definieren, der mit Ihrem Format übereinstimmt. Weitere Informationen finden Sie unter Use a custom log parser (Verwenden eines benutzerdefinierten Protokollparsers).
Hinweis
Die folgende Liste der unterstützten Appliances funktioniert möglicherweise nicht mit neu veröffentlichten Protokollformaten. Wenn Sie ein neu freigegebenes Format verwenden und der Upload fehlschlägt, verwenden Sie einen benutzerdefinierten Protokollparser , und öffnen Sie bei Bedarf einen Supportfall.
Datenattribute (gemäß der Dokumentation des Anbieters):
| Datenquellen- | Ziel-App-URL | Ziel-App-IP-Adresse | Username | Ursprungs-IP-Adresse | Gesamter Datenverkehr | Hochgeladene Bytes |
|---|---|---|---|---|---|---|
| Barracuda | Ja | Ja | Ja | Ja | Nein | Nein |
| Blue Coat | Ja | Nein | Ja | Ja | Ja | Ja |
| Check Point | Nein | Ja | Nein | Ja | Nein | Nein |
| Cisco ASA (Syslog) | Nein | Ja | Nein | Ja | Ja | Nein |
| Cisco ASA mit FirePOWER | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Cloud Web Security | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco FWSM | Nein | Ja | Nein | Ja | Ja | Nein |
| Cisco Ironport WSA | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco Meraki | Ja | Ja | Nein | Ja | Nein | Nein |
| Clavister NGFW (Syslog) | Ja | Ja | Ja | Ja | Ja | Ja |
| ContentKeeper | Ja | Ja | Ja | Ja | Ja | Ja |
| Corrata | Ja | Ja | Ja | Ja | Ja | Ja |
| Digital Arts i-FILTER | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint LEEF | Ja | Ja | Ja | Ja | Ja | Ja |
| ForcePoint Web Security Cloud* | Ja | Ja | Ja | Ja | Ja | Ja |
| Fortinet Fortigate | Nein | Ja | Ja | Ja | Ja | Ja |
| FortiOS | Ja | Ja | Nein | Ja | Ja | Ja |
| iboss | Ja | Ja | Ja | Ja | Ja | Ja |
| Juniper SRX | Nein | Ja | Nein | Ja | Ja | Ja |
| Juniper SSG | Nein | Ja | Ja | Ja | Ja | Ja |
| McAfee SWG | Ja | Nein | Nein | Ja | Ja | Ja |
| Menlo Security (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| MS TMG | Ja | Nein | Ja | Ja | Ja | Ja |
| Open Systems Secure Web Gateway | Ja | Ja | Ja | Ja | Ja | Ja |
| Palo Alto Networks | Nein | Ja | Ja | Ja | Ja | Ja |
| SonicWall (früher Dell) | Ja | Ja | Nein | Ja | Ja | Ja |
| Sophos | Ja | Ja | Ja | Ja | Ja | Nein |
| Squid (Common) | Ja | Nein | Ja | Ja | Ja | Nein |
| Squid (Native) | Ja | Nein | Ja | Ja | Nein | Nein |
| Stormshield | Nein | Ja | Ja | Ja | Ja | Ja |
| Wandera | Ja | Ja | Ja | Ja | Ja | Ja |
| WatchGuard | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense – Internetaktivitätsprotokoll (CEF) | Ja | Ja | Ja | Ja | Ja | Ja |
| Websense – investigativer detaillierter Bericht (CSV) | Ja | Ja | Ja | Ja | Ja | Ja |
| Zscaler | Ja | Ja | Ja | Ja | Ja | Ja |
* Die Versionen 8.5 und höher von ForcePoint Web Security Cloud werden nicht unterstützt.