Créer des rapports d’instantanés Cloud Discovery

Notes

  • Nous avons renommé Microsoft Cloud App Security. C’est maintenant appelé Microsoft Defender for Cloud Apps. Dans les semaines à venir, nous allons mettre à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le renommage récent des services de sécurité Microsoft, consultez le blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fait maintenant partie de Microsoft 365 Defender. Le portail Microsoft 365 Defender permet aux administrateurs de sécurité d’effectuer leurs tâches de sécurité à un seul emplacement. Cela simplifie les flux de travail et ajoute les fonctionnalités des autres services Microsoft 365 Defender. Microsoft 365 Defender sera la maison pour la surveillance et la gestion de la sécurité sur vos identités, données, appareils, applications et infrastructure Microsoft. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.

Il est important de charger manuellement un journal et de laisser Microsoft Defender for Cloud Apps l’analyser avant d’essayer d’utiliser le collecteur de journaux automatique. Pour plus d’informations sur le fonctionnement du collecteur de journaux et le format de journal attendu, consultez Utilisation de journaux de trafic pour Cloud Discovery.

Si vous n’avez pas encore de journal et que vous voulez voir à quoi ressemble un journal, téléchargez un exemple de fichier journal. Suivez la procédure ci-dessous pour voir à quoi doit ressembler votre journal.

Pour créer un rapport d’instantané :

  1. Collectez les fichiers journaux de votre pare-feu et de votre proxy, via lesquels les utilisateurs de votre organisation accèdent à Internet. Veillez à collecter les journaux pendant les heures de pointe représentatives de toute l’activité utilisateur dans votre organisation.

  2. Dans le portail Defender pour le cloud Applications, sélectionnez Découvrir, puis créer un rapport d’instantané.

    Create new snapshot report.

  3. Entrez un nom de rapport et une description

    New snapshot report.

  4. Sélectionnez la source à partir de laquelle vous souhaitez charger les fichiers journaux.

  5. Examinez le format de votre journal pour vérifier qu’il est mis en forme correctement en vous basant sur l’exemple de journal que vous pouvez télécharger. Sous Vérifier le format de votre journal, sélectionnez Afficher le format du journal , puis sélectionnez Télécharger l’exemple de journal. Comparez votre journal à l’exemple fourni pour vérifier qu’il est compatible.

    Verify your log format.

    Notes

    L’exemple de format FTP est pris en charge dans les instantanés et dans le chargement automatique, tandis que syslog n’est pris en charge que dans le chargement automatique. Le téléchargement d’un exemple de journal télécharge un exemple de journal FTP.

  6. Télécharger journaux de trafic que vous souhaitez charger. Vous pouvez charger jusqu’à 20 fichiers à la fois. Les fichiers compressés et zippés sont également pris en charge.

    Upload traffic logs.

  7. Sélectionnez Télécharger journaux.

  8. Une fois le chargement terminé, le message d’état s’affiche en haut à droite de votre écran, ce qui vous indique que votre journal a été correctement chargé.

  9. Une fois que vos fichiers journaux sont chargés, un certain temps est nécessaire pour leur extraction et leur analyse. Après le traitement de vos fichiers journaux, vous recevez un e-mail pour vous avertir que l’opération est terminée.

  10. Une bannière de notification apparaît dans la barre d’état en haut du tableau de bord Cloud Discovery. La bannière se met à jour avec l’état du traitement de vos fichiers journaux. processing log file menu bar.

  11. Une fois les journaux téléchargés, une notification vous informant que le traitement du fichier journal s’est terminé correctement doit s’afficher. À ce stade, vous pouvez afficher le rapport en sélectionnant le lien dans la barre d’état, ou en sélectionnant l’engrenage settings icon.des paramètres, puis en sélectionnant Paramètres.

  12. Ensuite, sous Cloud Discovery, sélectionnez rapports d’instantanés, puis sélectionnez votre rapport d’instantané.

    snapshot report management.

Utilisation des journaux de trafic pour Cloud Discovery

Cloud Discovery utilise les données de vos journaux de trafic. Plus le journal est détaillé, meilleure est la visibilité. Cloud Discovery nécessite des données de trafic web avec les attributs suivants :

  • Date de la transaction
  • Adresse IP source
  • Utilisateur source (vivement recommandé)
  • Adresse IP de destination
  • URL de destination recommandée (les URL assurent une meilleure précision pour la détection d’applications cloud que les adresses IP)
  • Quantité totale de données (les informations de données sont extrêmement précieuses)
  • Quantité de données chargées ou téléchargées (fournit des informations sur les modèles d’utilisation des applications cloud)
  • Action effectuée (autorisée/bloquée)

Cloud Discovery ne peut pas afficher ni analyser des attributs qui ne se trouvent pas dans vos journaux. Par exemple, le format de journal standard du pare-feu Cisco ASA n’a pas le nombre d’octets chargés par transaction, de nom d’utilisateur et d’URL cible (adresse IP cible uniquement). Par conséquent, ces attributs ne seront pas affichés dans les données Cloud Discovery pour ces journaux et la visibilité des applications cloud sera limitée. Pour les pare-feu Cisco ASA, il est nécessaire de définir le niveau d’informations sur 6.

Pour générer correctement un rapport Cloud Discovery, vos journaux de trafic doivent respecter les conditions suivantes :

  1. La source de données est prise en charge.
  2. Le format de journal correspond au format standard attendu (le format est vérifié lors du chargement par l’outil Log).
  3. Les événements ne datent pas de plus de 90 jours.
  4. Le fichier journal est valide et inclut des informations sur le trafic sortant.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.