Creación de informes de Cloud Discovery de instantáneas

  • Artículo

Es importante cargar un registro manualmente y permitir que Microsoft Defender para aplicaciones en la nube lo analice antes de intentar usar el recopilador de registros automático. Para obtener información sobre cómo funciona el recopilador de registros y el formato de registro esperado, consulte Usar registros de tráfico para Cloud Discovery.

Si aún no tiene un registro y quiere ver un ejemplo del aspecto de su registro, descargue un archivo de registro de ejemplo. Siga el siguiente procedimiento para ver el aspecto que debería tener el registro.

Para crear un informe de instantáneas:

  1. Recopile archivos de registro desde el firewall y el proxy, a través de los cuales los usuarios de su organización acceden a Internet. Asegúrese de recopilar registros que sean representativos de toda la actividad de los usuarios de su organización durante las horas de tráfico máximo.

  2. En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery.

  3. En la esquina superior derecha, extraiga Acciones y seleccione Crear informe de instantáneas de Cloud Discovery.

    Create new snapshot report.

  4. Seleccione Siguiente.

  5. Escriba un nombre de informe y una descripción

    New snapshot report.

  6. Seleccione la Fuente desde el que desea cargar los archivos de registro. Si no se admite el origen (consulte Firewalls y servidores proxy admitidos para obtener la lista completa), puede crear un analizador personalizado. Para obtener más información, vea Uso del analizador de registros personalizado.

  7. Compruebe el formato de registro para asegurarse de que tiene el formato correcto según el registro de ejemplo que puede descargar. En Comprobar el formato de registro, seleccione Formato de registro de vista y, a continuación, seleccione Descargar el registro de ejemplo. Compare el registro con el ejemplo proporcionado para asegurarse de que es compatible.

    Verify your log format.

    Nota:

    El formato FTP de ejemplo se admite en las instantáneas y la carga automatizada, mientras que Syslog solo se admite en la carga automatizada. Al descargar un registro de ejemplo, se descargará un registro FTP de ejemplo.

  8. Cargue los registros de tráfico que desee. Puede cargar hasta 20 archivos a la vez. También se admiten archivos comprimidos y en carpeta .zip.

    Upload traffic logs.

  9. Seleccione Cargar registros.

  10. Una vez finalizada la carga, aparecerá el mensaje de estado en la esquina superior derecha de la pantalla, que informa de que el registro se ha cargado correctamente.

  11. Después de cargar los archivos de registro, tardará algún tiempo en analizarlos. Una vez completado el procesamiento de los archivos de registro, recibirá un correo electrónico para notificarle que ha terminado.

  12. Aparecerá un banner de notificación en la barra de estado en la parte superior del panel de Cloud Discovery. El banner le actualiza con el estado de procesamiento de los archivos de registro. processing log file menu bar.

  13. Una vez cargados correctamente los registros, debería ver una notificación que le informa de que el procesamiento del archivo de registro se completó correctamente. En este momento, puede ver el informe seleccionando el vínculo en la barra de estado. O bien, en el portal de Microsoft Defender, seleccione Configuración.

  14. A continuación, en Cloud Discovery, seleccione Informes de instantáneas y seleccione su informe de instantáneas.

    snapshot report management.

Uso de registros de tráfico para Cloud Discovery

Cloud Discovery usa los datos en sus registros de tráfico. Cuanto más detallado sea el registro, mejor visibilidad obtendrá. Cloud Discovery requiere datos de tráfico web con los siguientes atributos:

  • Estado de la transacción.
  • IP de origen
  • Usuario de origen: altamente recomendado
  • Dirección IP de destino
  • Dirección URL de destino: recomendado (las direcciones URL proporcionan una mayor precisión para la detección de aplicaciones en la nube que las direcciones IP)
  • Cantidad total de datos (la información de datos es muy valiosa)
  • Cantidad de datos cargados o descargados (proporciona información sobre los patrones de uso de las aplicaciones en la nube)
  • Acción realizada (permitido/bloqueado)

Cloud Discovery no puede mostrar ni analizar atributos que no estén incluidos en los registros. Por ejemplo, el formato de registro estándar del firewall de Cisco ASA no tiene la cantidad de bytes cargados por transacción ni el nombre de usuario, y tampoco tiene la dirección URL de destino (solo la IP de destino). Por lo tanto, estos atributos no se mostrarán en los datos de Cloud Discovery de estos registros y la visibilidad de las aplicaciones en la nube será limitada. Para los firewalls de Cisco ASA, es necesario establecer el nivel de información en 6.

Para generar correctamente un informe de Cloud Discovery, los registros de tráfico deben cumplir las siguientes condiciones:

  1. Se admite el origen de datos.
  2. El formato de registro coincide con el formato estándar esperado (formato comprobado tras la carga por la herramienta Registro).
  3. Los eventos no tienen más de 90 días de antigüedad.
  4. El archivo de registro es válido e incluye información de tráfico saliente.

Pasos siguientes

Controlar las aplicaciones en la nube con directivas

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.