Crear informes de instantáneas de Cloud Discovery

Nota

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Es importante cargar un registro manualmente y dejar que Microsoft Defender for Cloud Apps analizarlo antes de intentar usar el recopilador de registros automático. Para información sobre cómo funciona el recopilador de registros y el formato de registro esperado, vea Uso de registros de tráfico para Cloud Discovery.

Si aún no tiene un registro y quiere ver un ejemplo del aspecto de su registro, descargue un archivo de registro de ejemplo. Siga este procedimiento para ver el aspecto que debería tener el registro.

Para crear un informe de instantáneas:

  1. Recopile archivos de registro del firewall y el servidor proxy a través de los cuales los usuarios de la organización acceden a Internet. Asegúrese de recopilar registros durante períodos de tráfico pico que sean representativos de toda la actividad de usuario de la organización.

  2. En el portal Defender for Cloud Aplicaciones, seleccione Detectar y, a continuación, seleccione Crear informe de instantáneas.

    Create new snapshot report.

  3. Escriba un nombre de informe y una descripción.

    New snapshot report.

  4. Seleccione el origen desde el que desea cargar los archivos de registro.

  5. Compruebe el formato del registro para asegurarse de que es correcto según el registro de ejemplo que puede descargar. En Comprobar el formato de registro, seleccione Ver formato de registro y, a continuación, seleccione Descargar registro de ejemplo. Compare su registro con el ejemplo proporcionado para asegurarse de que es compatible.

    Verify your log format.

    Nota

    Se admite el formato de ejemplo FTP en las instantáneas y en la carga automatizada mientras syslog es compatible únicamente con la carga automatizada. Si se descarga un registro de ejemplo, se descargará un registro de FTP de ejemplo.

  6. Upload registros de tráfico que desea cargar. Puede cargar hasta 20 archivos a la vez. También se admiten archivos comprimidos y zip.

    Upload traffic logs.

  7. Seleccione Upload registros.

  8. Una vez completada la carga, el mensaje de estado aparecerá en la esquina superior derecha de la pantalla para informarle de que el registro se cargó correctamente.

  9. Después de cargar los archivos de registro, pasará algún tiempo hasta que se redistribuyan y se analicen. Una vez completado el procesamiento de los archivos de registro, recibirá un correo electrónico que le notificará que ya está listo.

  10. Aparecerá un banner de notificación en la barra de estado en la parte superior del panel de Cloud Discovery. El banner actualiza el estado de procesamiento de los archivos de registro. processing log file menu bar.

  11. Una vez cargados correctamente los registros, verá una notificación informándole de que el procesamiento de los archivos de registro se ha completado correctamente. En este momento, puede ver el informe seleccionando el vínculo en la barra de estado o seleccionando el engranaje settings icon.de configuración y, a continuación, seleccione Configuración.

  12. Después, en Cloud Discovery, seleccione Informes de instantáneas y seleccione el informe de instantáneas.

    snapshot report management.

Uso de registros de tráfico para Cloud Discovery

Cloud Discovery usa los datos de los registros de tráfico. Cuanto más detallado sea el registro, mejor visibilidad se logrará. Cloud Discovery requiere que los datos de tráfico de web tengan los siguientes atributos:

  • Fecha de la transacción
  • IP de origen
  • Usuario de origen: altamente recomendado
  • Dirección IP de destino
  • Dirección URL de destino: recomendado (las direcciones URL proporcionan una mayor precisión para la detección de aplicaciones en la nube que las direcciones IP)
  • Cantidad total de datos (la información de datos es muy valiosa)
  • Cantidad de datos cargados o descargados (proporciona información sobre los patrones de uso de las aplicaciones en la nube)
  • Acción realizada (permitido o bloqueado)

Cloud Discovery no puede mostrar ni analizar los atributos que no estén incluidos en los registros. Por ejemplo, el formato de registro estándar del Firewall de Cisco ASA no tiene el número de bytes cargados por transacción, nombre de usuario y dirección URL de destino (solo ip de destino). Por lo tanto, estos atributos no se mostrarán en los datos de Cloud Discovery para estos registros y la visibilidad de las aplicaciones en la nube será limitada. Para firewalls de Cisco ASA, es necesario establecer el nivel de información en 6.

Para generar correctamente un informe de Cloud Discovery, los registros de tráfico deben cumplir las condiciones siguientes:

  1. Se admite el origen de datos.
  2. El formato de registro coincide con el formato estándar esperado (el formato se comprueba después de la carga mediante la herramienta de registro).
  3. Los eventos no tienen más de 90 días.
  4. El archivo de registro es válido e incluye información sobre el tráfico de salida.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.