Créer des rapports de Cloud Discovery d’instantané

Il est important de charger un journal manuellement et de laisser Microsoft Defender pour Cloud Apps l’analyser avant d’essayer d’utiliser le collecteur de journaux automatique. Pour plus d’informations sur le fonctionnement du collecteur de journaux et le format de journal attendu, consultez Utilisation des journaux de trafic pour Cloud Discovery.

Si vous n’avez pas encore de journal et que vous voulez voir à quoi ressemble un journal, téléchargez un exemple de fichier journal. Suivez la procédure ci-dessous pour voir à quoi doit ressembler votre journal.

Pour créer un rapport d’instantané :

  1. Collectez les fichiers journaux à partir de votre pare-feu et proxy, via lesquels les utilisateurs de votre organisation accèdent à Internet. Veillez à collecter les journaux pendant les pics de trafic qui sont représentatifs de toutes les activités des utilisateurs au sein de votre organisation.

  2. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery.

  3. Dans le coin supérieur droit, développez Actions, puis sélectionnez Créer un rapport instantané Cloud Discovery.

    Create new snapshot report.

  4. Cliquez sur Suivant.

  5. Renseignez Nom du rapport et Description

    New snapshot report.

  6. Sélectionnez la Source à partir de laquelle vous souhaitez charger les fichiers journaux. Si votre source n’est pas prise en charge (consultez Pare-feu et proxys pris en charge pour la liste complète), vous pouvez créer un analyseur personnalisé. Pour plus d’informations, consultez Utiliser un analyseur de journaux personnalisé.

  7. Vérifiez le format de votre journal pour vous assurer qu’il est correctement mis en forme conformément à l’exemple de journal que vous pouvez télécharger. Sous Vérifier le format de votre journal, sélectionnez Afficher le format de journal puis sélectionnez Télécharger l’exemple de journal. Comparez votre journal à l’exemple fourni pour vous assurer qu’il est compatible.

    Verify your log format.

    Remarque

    L’exemple de format FTP est pris en charge dans les captures instantanées et le chargement automatique alors que syslog est pris en charge dans le chargement automatique uniquement. Le téléchargement d’un exemple de journal téléchargera un exemple de journal FTP.

  8. Chargez les journaux de trafic que vous souhaitez charger. Vous pouvez charger jusqu’à 20 fichiers à la fois. Les fichiers compressés et compressés sont également pris en charge.

    Upload traffic logs.

  9. Sélectionnez Charger les journaux.

  10. Une fois le chargement terminé, un message d’état s’affiche dans le coin supérieur droit de votre écran pour vous informer que le journal a correctement été chargé.

  11. Une fois que vous avez chargé vos fichiers journaux, leur analyse et leur analyse prendront un certain temps. Une fois le traitement de vos fichiers journaux terminé, vous recevrez un e-mail vous informant qu’il est terminé.

  12. Une bannière de notification apparaît dans la barre d’état en haut du tableau de bord Cloud Discovery. La bannière vous met à jour avec l’état de traitement de vos fichiers journaux. processing log file menu bar.

  13. Une fois les journaux correctement chargés, vous devez voir une notification vous informant que le traitement du fichier journal s’est terminé correctement. À ce stade, vous pouvez afficher le rapport en sélectionnant le lien dans la barre d’état. Dans le portail Microsoft Defender, sélectionnez Paramètres.

  14. Ensuite, sous Cloud Discovery, sélectionnez Rapports d’instantanés, puis votre rapport d’instantané.

    snapshot report management.

Utilisation de journaux de trafic pour Cloud Discovery

Cloud Discovery utilise les données contenues dans vos journaux de trafic. Plus votre journal est détaillé, plus vous bénéficiez d’une meilleure visibilité. Cloud Discovery nécessite des données de trafic web avec les attributs suivants :

  • Date de la transaction
  • IP source
  • Utilisateur source (mais vivement recommandé)
  • Adresse IP de destination
  • URL de destination recommandée (les URL assurent une meilleure précision pour la détection d’applications cloud que les adresses IP)
  • Quantité totale de données (les informations de données sont très utiles)
  • Quantité de données téléchargées ou chargées (fournit des insights sur les modèles d’utilisation des applications cloud)
  • Action prise (autorisée/bloquée)

Cloud Discovery ne peut pas afficher ou analyser des attributs qui ne sont pas inclus dans vos journaux. Par exemple, le format de journal standard Pare-feu Cisco ASA ne contient pas le nombre d’octets chargés par transaction, le nom d’utilisateur et l’URL cible (il contient seulement l’adresse IP cible). Par conséquent, ces attributs ne seront pas affichés dans Cloud Discovery données pour ces journaux, et la visibilité des applications cloud sera limitée. Pour Cisco ASA pare-feu, il est nécessaire de définir le niveau d’informations sur 6.

Pour générer correctement un rapport Cloud Discovery, vos journaux de trafic doivent respecter les conditions suivantes :

  1. La source de données est prise en charge.
  2. Le format de journal correspond au format standard attendu (format vérifié lors du chargement par l’outil Journal).
  3. Les événements n’ont pas plus de 90 jours.
  4. Le fichier journal est valide et inclut des informations de trafic sortant.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.