Einrichten von Cloud Discovery

Hinweis

Wir haben den Namen Microsoft Cloud App Security. Sie wird jetzt als Microsoft Defender for Cloud Apps. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Cloud Discovery analysiert Ihre Datenverkehrsprotokolle für den Microsoft Defender for Cloud Apps katalog von über 25.000 Cloud-Apps. Die Apps werden basierend auf mehr als 90 Risikofaktoren eingestuft und bewertet, um Ihnen fortlaufendEn Einblick in die Cloudnutzung, Schatten-IT und das Risiko zu bieten, das Schatten-IT für Ihre Organisation darstellt.

Momentaufnahmeberichte und kontinuierliche Berichte zur Risikobewertung

Sie können die folgenden Arten von Berichten generieren:

  • Momentaufnahmeberichte enthalten Ad-Hoc-Sichtbarkeit für mehrere Datenverkehrsprotokolle, die Sie manuell von Ihren Firewalls und Proxys hochladen.

  • Fortlaufende Berichte: Analysieren Sie alle Protokolle, die von Ihrem Netzwerk weitergeleitet werden, mithilfe Defender für Cloud Apps. Sie bieten verbesserte Sichtbarkeit aller Daten, und identifizieren anormale Verwendungen automatisch, indem sie entweder die Machine Learning-Anomalieerkennungs-Engine oder benutzerdefinierte Richtlinien verwenden, die Sie definieren. Diese Berichte können durch eine auf folgende Weise hergestellte Verbindung generiert werden:

    • Microsoft Defender für Endpunkt Integration: Defender für Cloud Apps lässt sich nativ in Defender for Endpoint integrieren, um den Rollout von Cloud Discovery zu vereinfachen, Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus zu erweitern und computerbasierte Untersuchungen zu ermöglichen.
    • Protokollsammler: Mit Protokollsammlern können Sie den Protokollupload aus Ihrem Netzwerk ganz einfach automatisieren. Der Protokollsammler wird in Ihrem Netzwerk ausgeführt und empfängt Protokolle über Syslog oder FTP.
    • Sicheres Webgateway (SWG): Wenn Sie sowohl mit Defender für Cloud-Apps als auch mit einem der folgenden SWGs arbeiten, können Sie die Produkte integrieren, um ihre Sicherheitsanforderungen Cloud Discovery verbessern. Zusammen bieten Defender für Cloud Apps und SWGs eine nahtlose Bereitstellung von Cloud Discovery, automatische Blockierung nicht gesperrter Apps und Risikobewertung direkt im SWG-Portal.
  • Cloud Discovery-API: Verwenden Sie die Defender für Cloud Apps Cloud Discovery-API, um den Upload von Datenverkehrsprotokollen zu automatisieren und automatisierte Cloud Discovery und Risikobewertungen zu erhalten. Sie können die API auch verwenden, um Blockskripts zu generieren und App-Steuerelemente direkt für Ihr Netzwerkgerät zu optimieren.

Prozessablaufprotokollierung: von Rohdaten zur Risikobewertung

Der Prozess zum Generieren einer Risikobewertung besteht aus den folgenden Schritten. Der Vorgang kann nur wenige Minuten aber auch mehrere Stunden in Anspruch nehmen. Dies ist von der Datenmenge abhängig, die verarbeitet wird.

  • Hochladen – Webverkehrsprotokolle aus Ihrem Netzwerk werden auf das Portal hochgeladen.

  • Analysieren: Defender für Cloud Apps analysiert und extrahiert Datenverkehrsdaten aus den Datenverkehrsprotokollen mit einem dedizierten Parser für jede Datenquelle.

  • Analysieren : Datenverkehrsdaten werden für den Cloud-App-Katalog analysiert, um mehr als 25.000 Cloud-Apps zu identifizieren und deren Risikobewertung zu bewerten. Auch aktive Benutzer und IP-Adressen werden im Rahmen der Analyse ermittelt.

  • Bericht erstellen – Es wird ein Risikobewertungsbericht der Daten generiert, die aus Protokolldateien extrahiert wurden.

Hinweis

Ermittlungsdaten werden viermal täglich analysiert und aktualisiert.

Unterstützte Firewalls und Proxys

  • Barracuda – Web-App-Firewall (W3C)
  • Blue Coat Proxy SG – Zugriffsprotokoll (W3C)
  • Check Point
  • Cisco ASA mit FirePOWER
  • Cisco ASA-Firewall (für Cisco ASA-Firewalls ist es erforderlich, die Informationsebene auf 6 festzulegen)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URLs log
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto series Firewall
  • SonicWall (früher Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (Common)
  • Squid (Native)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense – Web Security Solutions – Internetaktivitätsprotokoll (CEF)
  • Websense – Web Security Solutions – Detailbericht (CSV)
  • Zscaler

Hinweis

Cloud Discovery unterstützt IPv4- und IPv6-Adressen.

Wenn Ihr Protokoll nicht unterstützt wird oder Sie ein neu veröffentlichtes Protokollformat aus einer der unterstützten Datenquellen verwenden und der Upload fehlschlägt, wählen Sie Andere als Datenquelle aus, und geben Sie die Appliance und das Protokoll an, die Sie hochladen möchten. Ihr Protokoll wird vom Cloudanalystenteam von Defender für Cloud Apps überprüft, und Sie werden benachrichtigt, wenn Unterstützung für Ihren Protokolltyp hinzugefügt wird. Alternativ können Sie einen benutzerdefinierten Parser definieren, der mit Ihrem Format übereinstimmt. Weitere Informationen finden Sie unter Use a custom log parser (Verwenden eines benutzerdefinierten Protokollparsers).

Hinweis

Die folgende Liste der unterstützten Appliances funktioniert möglicherweise nicht mit neu veröffentlichten Protokollformaten. Wenn Sie ein neu freigegebenes Format verwenden und der Upload fehlschlägt, verwenden Sie einen benutzerdefinierten Protokollparser , und öffnen Sie bei Bedarf einen Supportfall.

Datenattribute (gemäß der Dokumentation des Anbieters):

Datenquellen- Ziel-App-URL Ziel-App-IP-Adresse Username Ursprungs-IP-Adresse Gesamter Datenverkehr Hochgeladene Bytes
Barracuda Ja Ja Ja Ja Nein Nein
Blue Coat Ja Nein Ja Ja Ja Ja
Check Point Nein Ja Nein Ja Nein Nein
Cisco ASA (Syslog) Nein Ja Nein Ja Ja Nein
Cisco ASA mit FirePOWER Ja Ja Ja Ja Ja Ja
Cisco Cloud Web Security Ja Ja Ja Ja Ja Ja
Cisco FWSM Nein Ja Nein Ja Ja Nein
Cisco Ironport WSA Ja Ja Ja Ja Ja Ja
Cisco Meraki Ja Ja Nein Ja Nein Nein
Clavister NGFW (Syslog) Ja Ja Ja Ja Ja Ja
ContentKeeper Ja Ja Ja Ja Ja Ja
Corrata Ja Ja Ja Ja Ja Ja
Digital Arts i-FILTER Ja Ja Ja Ja Ja Ja
ForcePoint LEEF Ja Ja Ja Ja Ja Ja
ForcePoint Web Security Cloud* Ja Ja Ja Ja Ja Ja
Fortinet Fortigate Nein Ja Ja Ja Ja Ja
FortiOS Ja Ja Nein Ja Ja Ja
iboss Ja Ja Ja Ja Ja Ja
Juniper SRX Nein Ja Nein Ja Ja Ja
Juniper SSG Nein Ja Ja Ja Ja Ja
McAfee SWG Ja Nein Nein Ja Ja Ja
Menlo Security (CEF) Ja Ja Ja Ja Ja Ja
MS TMG Ja Nein Ja Ja Ja Ja
Open Systems Secure Web Gateway Ja Ja Ja Ja Ja Ja
Palo Alto Networks Nein Ja Ja Ja Ja Ja
SonicWall (früher Dell) Ja Ja Nein Ja Ja Ja
Sophos Ja Ja Ja Ja Ja Nein
Squid (Common) Ja Nein Ja Ja Ja Nein
Squid (Native) Ja Nein Ja Ja Nein Nein
Stormshield Nein Ja Ja Ja Ja Ja
Wandera Ja Ja Ja Ja Ja Ja
WatchGuard Ja Ja Ja Ja Ja Ja
Websense – Internetaktivitätsprotokoll (CEF) Ja Ja Ja Ja Ja Ja
Websense – investigativer detaillierter Bericht (CSV) Ja Ja Ja Ja Ja Ja
Zscaler Ja Ja Ja Ja Ja Ja

* Die Versionen 8.5 und höher von ForcePoint Web Security Cloud werden nicht unterstützt.

Nächste Schritte