Utiliser un analyseur de journal personnalisé

Defender for Cloud Apps vous permet de configurer un analyseur personnalisé correspondant au format de vos journaux et de traiter le format de vos journaux pour qu’ils soient utilisables avec Cloud Discovery. En règle générale, vous utilisez un analyseur personnalisé si le pare-feu ou l’appareil n’est pas explicitement pris en charge par Defender for Cloud Apps. Il peut s’agir d’un analyseur CSV ou d’un analyseur Clé-Valeur personnalisé.

L’analyseur personnalisé vous permet d’utiliser les journaux de pare-feu non pris en charge.

Pour configurer un analyseur personnalisé :

  1. Dans le portail Microsoft Defender, sous Cloud Apps, sélectionnez Cloud Discovery>Actions>Create Cloud Discovery instantané report. Par exemple :

    Screenshot of the Create new snapshot report option.

  2. Renseignez Nom du rapport et Description

  3. Sous Source, faites défiler tout le chemin vers le bas et sélectionnez Format de journal personnalisé.... Par exemple :

    Screenshot of the Create new Cloud Discovery snapshot report dialog.

  4. Collectez les journaux de votre pare-feu et de votre proxy, par le biais desquels les utilisateurs de votre organisation accèdent à Internet. Veillez à collecter les journaux pendant les pics de trafic qui sont représentatifs de toutes les activités des utilisateurs au sein de votre organisation.

  5. Ouvrez les journaux que vous voulez traiter dans un éditeur de texte. Passez en revue leur format, en vous assurant que les noms de colonnes dans le journal correspondent aux champs de la boîte de dialogue Format du journal personnalisé.

    Les champs obligatoires sont marqués dans la boîte de dialogue Format du journal personnalisé avec un astérisque (*) et doivent être présents dans les journaux dans la même séquence que celles présentées dans la boîte de dialogue Format du journal personnalisé. Les journaux d’activité sont traités uniquement si les champs requis sont trouvés dans le journal. Les champs supplémentaires, qui ne sont pas utilisés par Defender pour le cloud Apps, sont dis carte ed.

  6. Dans la boîte de dialogue Format du journal personnalisé, renseignez les champs en fonction de vos données pour délimiter les colonnes des données corrélées à des champs spécifiques dans Defender pour le cloud Apps. Vous devrez peut-être modifier les noms des colonnes dans votre fichier journal pour effectuer correctement la corrélation.

    Remarque

    Les champs respectent la casse. Vérifiez que les noms des colonnes sont identiques dans Defender for Cloud Apps et dans le fichier journal. Veillez également à ce que le format de date choisi soit le même.

    Par exemple, les images suivantes montrent un exemple de fichier journal ouvert dans un éditeur de texte et la boîte de dialogue de format de journal personnalisé correspondante, renseignée.

    Screenshot of a log file opened in a text editor.

    Screenshot of the Custom log format dialog, with populated values.

  7. Sélectionnez Enregistrer. Le format de journal personnalisé que vous configurez est enregistré comme analyseur personnalisé par défaut. Vous pouvez le modifier à tout moment en sélectionnant Modifier.

  8. Sous Charger les journaux du trafic, sélectionnez le fichier journal que vous avez modifié et sélectionnez Charger les journaux pour le charger. Vous pouvez charger jusqu’à 20 fichiers à la fois. Les fichiers compressés et compressés sont également pris en charge.

Une fois le chargement terminé, un message d’état s’affiche en haut à droite de votre écran, ce qui vous indique que votre journal a été correctement chargé.

L’analyse et l’analyse de vos journaux prendront un certain temps. Une bannière de notification s’affiche dans la barre d’état en haut de l’onglet Tableau de bord Cloud Discovery>, montrant l’état de traitement de vos fichiers journaux. Par exemple :

Screenshot of a processing log file menu bar.

Une fois le traitement de vos fichiers journaux terminé, vous recevrez un e-mail pour vous informer qu’il est terminé.

Affichez le rapport en sélectionnant le lien dans la barre d’état, ou sélectionnez Paramètres> Cloud Apps>Cloud Discovery>Snapshot reports. Sélectionnez votre rapport instantané pour l’ouvrir. Par exemple :

Screenshot of a the Snapshot reports page.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.