Configurar Cloud DiscoverySet up Cloud Discovery

Cloud Discovery analiza los registros de tráfico del catálogo de aplicaciones en la nube de Cloud App Security de más de 15 000 aplicaciones en la nube que se clasifican y se puntúan en función de más de 60 factores de riesgo, a fin de proporcionar visibilidad continua del uso de la nube, Shadow IT y el riesgo que Shadow IT supone para la organización.Cloud Discovery analyzes your traffic logs against Cloud App Security's cloud app catalog of over 15,000 cloud apps that are ranked and scored based on more than 60 risk factors, to provide you with ongoing visibility into cloud use, Shadow IT, and the risk Shadow IT poses into your organization.

Informes de instantáneas y de evaluación continua de riesgosSnapshot and continuous risk assessment reports

Se pueden generar dos tipos de informes:There are two types of reports you can generate:

  • Informes de instantáneas: proporcionan visibilidad ad hoc de un conjunto de registros de tráfico que puede cargar manualmente desde los firewalls y los servidores proxy.Snapshot reports provide ad-hoc visibility on a set on traffic logs you manually upload from your firewalls and proxies.

  • Informes continuos: analizan todos los registros que se reenvían desde la red mediante el recopilador de registros de Cloud App Security.Continuous reports analyze all logs that are forwarded from your network using Cloud App Security’s log collector. Proporcionan una mejor visibilidad de todos los datos e identifican automáticamente los usos erróneos, ya sea mediante el motor de detección de anomalías de aprendizaje automático o mediante las directivas personalizadas que haya definido.They provide improved visibility over all data, and automatically identify anomalous use using either the Machine Learning anomaly detection engine or by using custom policies that you define.

Flujo del proceso de registro: de datos sin procesar a evaluación de riesgosLog process flow: From raw data to risk assessment

El proceso de generación de una evaluación de riesgos consta de los siguientes pasos y tarda entre unos minutos y varias horas en función de la cantidad de datos procesados.The process of generating a risk assessment consists of the following steps and takes between a few minutes to several hours depending of the amount of data processed.

  • Cargar: se cargan los registros de tráfico web de la red en el portal.Upload – Web traffic logs from your network are uploaded to the portal.

  • Redistribuir: Cloud App Security redistribuye y extrae datos de tráfico de los registros de tráfico con un analizador dedicado para cada origen de datos.Parse – Cloud App Security parses and extracts traffic data from the traffic logs with a dedicated parser for each data source.

  • Analizar: se analizan los datos de tráfico con el catálogo de aplicaciones en la nube para identificar más de 15 000 aplicaciones en la nube y evaluar su puntuación de riesgo.Analyze – Traffic data is analyzed against the Cloud App Catalog to identify more than 15,000 cloud apps and to assess their risk score. También se identifican los usuarios activos y las direcciones IP como parte del análisis.Active users and IP addresses are also identified as part of the analysis.

  • Generar informe: se genera un informe de evaluación de riesgos de los datos extraídos de los archivos de registro.Generate report - A risk assessment report of the data extracted from log files is generated.

Nota

  • Los datos de los informes continuos se analizan dos veces al día.Continuous report data is analyzed twice a day.
  • El recopilador de registros comprime los datos antes de que se carguen.The log collector compresses data before it is uploaded. El tráfico saliente en el recopilador de registros constituirá un 10 % del tamaño de los registros de tráfico que recibe.The outbound traffic on the log collector will be 10% of the size of the traffic logs it receives.

Uso de registros de tráfico para Cloud DiscoveryUsing traffic logs for Cloud Discovery

Cloud Discovery usa los datos de los registros de tráfico.Cloud Discovery utilizes the data in your traffic logs. Cuanto más detallado sea el registro, mejor visibilidad se logrará.The more detailed your log, the better visibility you get. Cloud Discovery requiere que los datos de tráfico de web tengan los siguientes atributos:Cloud Discovery requires web-traffic data with the following attributes:

  • Fecha de la transacciónDate of the transaction
  • IP de origenSource IP
  • Usuario de origen: altamente recomendadoSource user - highly recommended
  • Dirección IP de destinoDestination IP address
  • Dirección URL de destino: recomendado (las direcciones URL proporcionan una mayor precisión para la detección de aplicaciones en la nube que las direcciones IP)Destination URL recommended (URLs provide higher accuracy for cloud app detection than IP addresses)
  • Cantidad total de datos (la información de datos es muy valiosa)Total amount of data (data information is highly valuable)
  • Cantidad de datos cargados o descargados (proporciona información sobre los patrones de uso de las aplicaciones en la nube)Amount of uploaded or downloaded data (provides insights about the usage patterns of the cloud apps)
  • Acción realizada (permitido/bloqueado)Action taken (allowed/blocked)

Cloud Discovery no puede mostrar ni analizar los atributos que no estén incluidos en los registros.Cloud Discovery cannot show or analyze attributes that are not included in your logs. Por ejemplo, el formato de registro estándar del firewall de Cisco ASA no contiene la cantidad de bytes cargados por transacción ni el nombre de usuario, y no contiene la dirección URL de destino (solo la IP de destino).For example, Cisco ASA Firewall standard log format does not contain the Amount of uploaded bytes per transaction nor Username, and does not contain Target URL (but only target IP). Por lo tanto, estos atributos no se mostrarán en los datos de Cloud Discovery de estos registros, y la visibilidad de las aplicaciones en la nube será limitada.Therefore, these attributes will not be shown in Cloud Discovery data for these logs, and the visibility into the cloud apps we be limited. En el caso de los firewalls de Cisco ASA, es necesario establecer el nivel de información en 6.For Cisco ASA firewalls, it is necessary to set the information level to 6.

Para generar correctamente un informe de Cloud Discovery, los registros de tráfico deben cumplir las condiciones siguientes:In order to successfully generate a Cloud Discovery report, your traffic logs must meet the following conditions:

  1. Se admite el origen de datos (consulte la lista siguiente).Data source is supported (see list below).
  2. El formato de registro coincide con el formato estándar esperado (esto se comprobará después de la carga mediante la herramienta de registro).Log format matches the expected standard format (this will be checked upon upload by the Log tool).
  3. Los eventos no tienen más de 90 días.Events are not more than 90 days old.
  4. El archivo de registro es válido e incluye información sobre el tráfico saliente.The log file is valid and includes outbound traffic information.

Firewalls y servidores proxy compatiblesSupported firewalls and proxies

  • Barracuda - Web App Firewall (W3C)Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG - registros de acceso (W3C)Blue Coat Proxy SG - Access log (W3C)
  • Check PointCheck Point
  • Firewall de Cisco ASA (en el caso de los firewalls de Cisco ASA, es necesario establecer el nivel de información en 6)Cisco ASA Firewall (For Cisco ASA firewalls, it is necessary to set the information level to 6)
  • Cisco ASA con FirePOWERCisco ASA with FirePOWER
  • Cisco IronPort WSACisco IronPort WSA
  • Cisco ScanSafeCisco ScanSafe
  • Cisco Meraki – Registro de direcciones URLCisco Meraki – URLs log
  • Clavister NGFW (Syslog)Clavister NGFW (Syslog)
  • Dell SonicwallDell Sonicwall
  • Fortinet FortigateFortinet Fortigate
  • Juniper SRXJuniper SRX
  • Juniper SSGJuniper SSG
  • McAfee Secure Web GatewayMcAfee Secure Web Gateway
  • Microsoft Forefront Threat Management Gateway (W3C)Microsoft Forefront Threat Management Gateway (W3C)
  • Firewalls de la serie Palo AltoPalo Alto series Firewall
  • Sophos SGSophos SG
  • Sophos CyberoamSophos Cyberoam
  • Squid (Common)Squid (Common)
  • Squid (Native)Squid (Native)
  • Websense - Web Security Solutions - Investigative detail report (CSV)Websense - Web Security Solutions - Investigative detail report (CSV)
  • Websense - Web Security Solutions - Internet activity log (CEF)Websense - Web Security Solutions - Internet activity log (CEF)
  • ZscalerZscaler

Nota

Cloud Discovery admite tanto direcciones IPv4 como IPv6.Cloud Discovery supports both IPv4 and IPv6 addresses.

Si el registro no es compatible, seleccione Otro como Origen de datos y especifique el dispositivo y el registro que está intentando cargar.If your log is not supported, select Other as the Data source and specify the appliance and log you are trying to upload. El equipo de analistas de la nube de Cloud App Security examinará el registro y se le notificará si se ha agregado compatibilidad con el tipo de registro.Your log will be reviewed by the Cloud App Security cloud analyst team and you will be notified if support for your log type is added. También puede definir un analizador personalizado que coincida con el formato.Alternatively, you can define a custom parser that matches your format. Para obtener más información, consulte Uso del analizador de registros personalizado.For more information see Use a custom log parser.

Atributos de datos (según la documentación del proveedor):Data attributes (according to vendor documentation):

Origen de datosData source Dirección URL de la aplicación de destinoTarget App URL IP de la aplicación de destinoTarget App IP Nombre de usuarioUsername IP de origenOrigin IP Tráfico totalTotal traffic Bytes cargadosUploaded bytes
BarracudaBarracuda Yes Yes Yes Yes NoNo NoNo
Blue CoatBlue Coat Yes NoNo Yes Yes Yes Yes
CheckpointCheckpoint NoNo Yes NoNo Yes NoNo NoNo
Cisco ASACisco ASA NoNo Yes NoNo Yes Yes NoNo
Cisco ASA con FirePOWERCisco ASA with FirePOWER Yes Yes Yes Yes Yes Yes
Cisco FWSMCisco FWSM NoNo Yes NoNo Yes Yes NoNo
Cisco Ironport WSACisco Ironport WSA Yes Yes Yes Yes Yes Yes
Cisco MerakiCisco Meraki Yes Yes NoNo Yes NoNo NoNo
Clavister NGFW (Syslog)Clavister NGFW (Syslog) Yes Yes Yes Yes Yes Yes
Dell SonicWallDell SonicWall Yes Yes NoNo Yes Yes Yes
FortiGateFortigate NoNo Yes NoNo Yes Yes Yes
Juniper SRXJuniper SRX NoNo Yes NoNo Yes Yes Yes
Juniper SSGJuniper SSG NoNo Yes NoNo Yes Yes Yes
McAfee SWGMcAfee SWG Yes NoNo NoNo Yes Yes Yes
MS TMGMS TMG Yes NoNo Yes Yes Yes Yes
Palo Alto NetworksPalo Alto Networks Yes Yes Yes Yes Yes Yes
SophosSophos Yes Yes Yes Yes Yes NoNo
Squid (Common)Squid (Common) Yes NoNo Yes Yes NoNo Yes
Squid (Native)Squid (Native) Yes NoNo Yes Yes NoNo Yes
Websense: informe de detalle de investigación (CSV)Websense - Investigative detail report (CSV) Yes Yes Yes Yes Yes Yes
Websense: registro de actividad de Internet (CEF)Websense - Internet activity log (CEF) Yes Yes Yes Yes Yes Yes
ZscalerZscaler Yes Yes Yes Yes Yes Yes

Vea tambiénSee also

Crear informes de instantáneas de Cloud DiscoveryCreate snapshot Cloud Discovery reports

Configurar la carga de registros automática para informes continuosConfigure automatic log upload for continuous reports

Trabajar con datos de Cloud DiscoveryWorking with Cloud Discovery data