Configuración de Cloud Discovery
Nota
Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.
Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.
Cloud Discovery analiza los registros de tráfico en el catálogo de Microsoft Defender for Cloud Apps de más de 25 000 aplicaciones en la nube. Las aplicaciones se clasifican y puntúan en función de más de 90 factores de riesgo para proporcionarle visibilidad continua sobre el uso en la nube, Shadow IT y el riesgo que shadow IT supone en su organización.
Informes de instantáneas y de evaluación continua de riesgos
Puede generar los siguientes tipos de informes:
Informes de instantáneas: proporcionan visibilidad ad hoc de un conjunto de registros de tráfico que puede cargar manualmente desde los firewalls y los servidores proxy.
Informes continuos: analice todos los registros que se reenvieron desde la red mediante Defender for Cloud Apps. Proporcionan una mejor visibilidad de todos los datos e identifican automáticamente los usos erróneos, ya sea mediante el motor de detección de anomalías de aprendizaje automático o mediante las directivas personalizadas que haya definido. Estos informes pueden crearse conectándose de varias maneras:
- Microsoft Defender para punto de conexión integración: Defender for Cloud Apps se integra con Defender for Endpoint de forma nativa, para simplificar la implementación de Cloud Discovery, ampliar las funcionalidades de Cloud Discovery más allá de la red corporativa y habilitar la investigación basada en máquinas.
- Recopilador de registros: los recopiladores de registros permiten automatizar fácilmente la carga de registros desde la red. El recopilador de registros se ejecuta en la red y recibe los registros a través de Syslog o FTP.
- Secure Web Gateway (SWG): si trabaja con Defender for Cloud Apps y uno de los siguientes SWG, puede integrar los productos para mejorar la experiencia de Cloud Discovery de seguridad. Juntos, las aplicaciones de Defender for Cloud y las SWG proporcionan una implementación fluida de Cloud Discovery, bloqueo automático de aplicaciones no autorizadas y evaluación de riesgos directamente en el portal de las SWG.
API de Cloud Discovery: use la API de Cloud Discovery de Defender for Cloud Apps para automatizar la carga del registro de tráfico y obtener un informe automatizado de Cloud Discovery y la evaluación de riesgos. También puede usar la API para generar scripts de bloque y simplificar los controles de aplicación directamente en el dispositivo de red.
Flujo del proceso de registro: de datos sin procesar a evaluación de riesgos
El proceso de generación de una evaluación de riesgos consta de los siguientes pasos. El proceso tarda desde unos minutos hasta varias horas según la cantidad de datos procesados.
Cargar: se cargan los registros de tráfico web de la red en el portal.
Análisis: Defender for Cloud Apps analiza y extrae datos de tráfico de los registros de tráfico con un analizador dedicado para cada origen de datos.
Analizar : los datos de tráfico se analizan en el catálogo de aplicaciones en la nube para identificar más de 25 000 aplicaciones en la nube y evaluar su puntuación de riesgo. Los usuarios activos y las direcciones IP también se identifican como parte del análisis.
Generar informe: se genera un informe de evaluación de riesgos de los datos extraídos de los archivos de registro.
Nota
Los datos de detección se analizan y actualizan cuatro veces al día.
Firewalls y servidores proxy admitidos
- Barracuda - Firewall de aplicación web (W3C)
- Blue Coat Proxy SG - Registros de acceso (W3C)
- Punto de comprobación
- Cisco ASA con FirePOWER
- Firewall de Cisco ASA (en el caso de los firewalls de Cisco ASA, es necesario establecer el nivel de información en 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – Registro de direcciones URL
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- Puerta de enlace web de McAfee Secure
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Firewall de serie Palo Alto
- Sonicwall (anteriormente Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense - Soluciones de seguridad web - Registro de actividad de Internet (CEF)
- Websense - Soluciones de seguridad web - Informe de detalle de investigación (CSV)
- Zscaler
Nota
Cloud Discovery admite tanto direcciones IPv4 como IPv6.
Si no se admite el registro o si usa un formato de registro recién publicado de uno de los orígenes de datos admitidos y se produce un error en la carga, seleccione Otro como origen de datos y especifique el dispositivo y el registro que está intentando cargar. El equipo de analistas en la nube de Defender for Cloud Apps revisará el registro y se le notificará si se agrega compatibilidad con el tipo de registro. También puede definir un analizador personalizado que coincida con el formato. Para más información, consulte Uso de un analizador de registros personalizado.
Nota
Es posible que la siguiente lista de dispositivos compatibles no funcione con formatos de registro recién publicados. Si usa un formato recién publicado y se produce un error en la carga, use un analizador de registros personalizado y, si es necesario, abra un caso de soporte técnico.
Atributos de datos (según la documentación del proveedor):
| Origen de datos | Dirección URL de la aplicación de destino | IP de la aplicación de destino | Nombre de usuario | IP de origen | Tráfico total | Bytes cargados |
|---|---|---|---|---|---|---|
| Barracuda | Sí | Sí | Sí | Sí | No | No |
| Blue Coat | Sí | No | Sí | Sí | Sí | Sí |
| Punto de comprobación | No | Sí | No | Sí | No | No |
| Cisco ASA (Syslog) | No | Sí | No | Sí | Sí | No |
| Cisco ASA con FirePOWER | Sí | Sí | Sí | Sí | Sí | Sí |
| Cisco Cloud Web Security | Sí | Sí | Sí | Sí | Sí | Sí |
| Cisco FWSM | No | Sí | No | Sí | Sí | No |
| Cisco Ironport WSA | Sí | Sí | Sí | Sí | Sí | Sí |
| Cisco Meraki | Sí | Sí | No | Sí | No | No |
| Clavister NGFW (Syslog) | Sí | Sí | Sí | Sí | Sí | Sí |
| ContentKeeper | Sí | Sí | Sí | Sí | Sí | Sí |
| Corrata | Sí | Sí | Sí | Sí | Sí | Sí |
| Digital Arts i-FILTER | Sí | Sí | Sí | Sí | Sí | Sí |
| ForcePoint LEEF | Sí | Sí | Sí | Sí | Sí | Sí |
| ForcePoint Web Security Cloud* | Sí | Sí | Sí | Sí | Sí | Sí |
| Fortinet Fortigate | No | Sí | Sí | Sí | Sí | Sí |
| FortiOS | Sí | Sí | No | Sí | Sí | Sí |
| iboss | Sí | Sí | Sí | Sí | Sí | Sí |
| Juniper SRX | No | Sí | No | Sí | Sí | Sí |
| Juniper SSG | No | Sí | Sí | Sí | Sí | Sí |
| McAfee SWG | Sí | No | No | Sí | Sí | Sí |
| Menlo Security (CEF) | Sí | Sí | Sí | Sí | Sí | Sí |
| MS TMG | Sí | No | Sí | Sí | Sí | Sí |
| Open Systems Secure Web Gateway | Sí | Sí | Sí | Sí | Sí | Sí |
| Palo Alto Networks | No | Sí | Sí | Sí | Sí | Sí |
| SonicWall (anteriormente Dell) | Sí | Sí | No | Sí | Sí | Sí |
| Sophos | Sí | Sí | Sí | Sí | Sí | No |
| Squid (Common) | Sí | No | Sí | Sí | Sí | No |
| Squid (Native) | Sí | No | Sí | Sí | No | No |
| Stormshield | No | Sí | Sí | Sí | Sí | Sí |
| Wandera | Sí | Sí | Sí | Sí | Sí | Sí |
| WatchGuard | Sí | Sí | Sí | Sí | Sí | Sí |
| Websense - Registro de actividad de Internet (CEF) | Sí | Sí | Sí | Sí | Sí | Sí |
| Websense: informe de detalle de investigación (CSV) | Sí | Sí | Sí | Sí | Sí | Sí |
| Zscaler | Sí | Sí | Sí | Sí | Sí | Sí |
* No se admiten las versiones 8.5 y posteriores de ForcePoint Web Security Cloud.