Configurer Cloud DiscoverySet up Cloud Discovery

Cloud Discovery analyse les journaux de votre trafic en se basant sur le catalogue d’applications cloud de Cloud App Security, qui contient plus de 15 000 applications cloud classées et évaluées selon plus de 60 facteurs de risque, afin de vous offrir une visibilité en continu de l’utilisation du cloud, de l’informatique fantôme et du risque que cette dernière représente pour votre organisation.Cloud Discovery analyzes your traffic logs against Cloud App Security's cloud app catalog of over 15,000 cloud apps that are ranked and scored based on more than 60 risk factors, to provide you with ongoing visibility into cloud use, Shadow IT, and the risk Shadow IT poses into your organization.

Rapports d’instantanés et continus d’évaluation des risquesSnapshot and continuous risk assessment reports

Il existe deux types de rapports que vous pouvez générer :There are two types of reports you can generate:

  • Les rapports d’instantanés fournissent une visibilité ad hoc sur un ensemble de journaux de trafic que vous chargez manuellement à partir de vos pare-feu et proxys.Snapshot reports provide ad-hoc visibility on a set on traffic logs you manually upload from your firewalls and proxies.

  • Les rapports continus analysent tous les journaux qui sont transférés à partir de votre réseau à l’aide du collecteur de journaux de Cloud App Security.Continuous reports analyze all logs that are forwarded from your network using Cloud App Security’s log collector. Ils offrent une meilleure visibilité sur toutes les données et identifient automatiquement toute utilisation anormale à l’aide du moteur de détection des anomalies Machine Learning ou des stratégies personnalisées que vous définissez.They provide improved visibility over all data, and automatically identify anomalous use using either the Machine Learning anomaly detection engine or by using custom policies that you define.

Flux du processus de journalisation : des données brutes à l’évaluation des risquesLog process flow: From raw data to risk assessment

Le processus de génération d’une évaluation des risques comporte les étapes suivantes et nécessite entre quelques minutes et plusieurs heures selon la quantité de données traitée.The process of generating a risk assessment consists of the following steps and takes between a few minutes to several hours depending of the amount of data processed.

  • Chargement : Les journaux de trafic web de votre réseau sont chargés vers le portail.Upload – Web traffic logs from your network are uploaded to the portal.

  • Extraction : Cloud App Security analyse et extrait les données de trafic depuis les journaux de trafic à l’aide d’un analyseur dédié pour chaque source de données.Parse – Cloud App Security parses and extracts traffic data from the traffic logs with a dedicated parser for each data source.

  • Analyse : Les données de trafic sont analysées par rapport au catalogue d’applications cloud dans le but d’identifier plus de 15 000 applications cloud et d’évaluer leur score de risque.Analyze – Traffic data is analyzed against the Cloud App Catalog to identify more than 15,000 cloud apps and to assess their risk score. Les utilisateurs et adresses IP actifs sont également identifiés dans le cadre de l’analyse.Active users and IP addresses are also identified as part of the analysis.

  • Générer un rapport : Un rapport d’évaluation des risques sur les données extraites des fichiers journaux est généré.Generate report - A risk assessment report of the data extracted from log files is generated.

Note

Les données des rapports continus sont analysées deux fois par jour.Continuous report data is analyzed twice a day.

Utilisation de journaux de trafic pour Cloud DiscoveryUsing traffic logs for Cloud Discovery

Cloud Discovery utilise les données dans vos journaux de trafic.Cloud Discovery utilizes the data in your traffic logs. Plus le journal est détaillé, meilleure est la visibilité.The more detailed your log, the better visibility you get. Cloud Discovery nécessite des données de trafic web avec les attributs suivants :Cloud Discovery requires web-traffic data with the following attributes:

  • Date de la transactionDate of the transaction
  • Adresse IP sourceSource IP
  • Utilisateur source (vivement recommandé)Source user - highly recommended
  • Adresse IP de destinationDestination IP address
  • URL de destination recommandée (les URL assurent une meilleure précision pour la détection d’applications cloud que les adresses IP)Destination URL recommended (URLs provide higher accuracy for cloud app detection than IP addresses)
  • Quantité totale de données (les informations de données sont extrêmement précieuses)Total amount of data (data information is highly valuable)
  • Quantité de données chargées ou téléchargées (fournit des informations sur les modèles d’utilisation des applications cloud)Amount of uploaded or downloaded data (provides insights about the usage patterns of the cloud apps)
  • Action effectuée (autorisation/blocage)Action taken (allowed/blocked)

Cloud Discovery ne peut pas afficher ni analyser des attributs qui ne sont pas inclus dans vos journaux.Cloud Discovery cannot show or analyze attributes that are not included in your logs. Par exemple, le format de journal standard Pare-feu Cisco ASA ne contient pas la quantité d’octets chargés par transaction ni le nom d’utilisateur, et ne contient pas l’URL cible (mais uniquement l’adresse IP cible).For example, Cisco ASA Firewall standard log format does not contain the Amount of uploaded bytes per transaction nor Username, and does not contain Target URL (but only target IP). Par conséquent, ces attributs ne sont pas affichés dans les données Cloud Discovery pour ces journaux et la visibilité sur les applications cloud est limitée.Therefore, these attributes will not be shown in Cloud Discovery data for these logs, and the visibility into the cloud apps we be limited. Pour les pare-feu Cisco ASA, il est nécessaire de définir le niveau d’informations 6.For Cisco ASA firewalls, it is necessary to set the information level to 6.

Pour générer correctement un rapport Cloud Discovery, vos journaux de trafic doivent respecter les conditions suivantes :In order to successfully generate a Cloud Discovery report, your traffic logs must meet the following conditions:

  1. La source de données est prise en charge (voir la liste ci-dessous).Data source is supported (see list below).
  2. Le format de journal correspond au format standard attendu (cela sera vérifié au moment du chargement par l’outil Log).Log format matches the expected standard format (this will be checked upon upload by the Log tool).
  3. Les événements ne datent pas de plus de 90 jours.Events are not more than 90 days old.
  4. Le fichier journal est valide et comprend des informations sur le trafic sortant.The log file is valid and includes outbound traffic information.

Pare-feu et proxys pris en chargeSupported firewalls and proxies

  • Barracuda - Web Application Firewall (W3C)Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG - Journal d’accès (W3C)Blue Coat Proxy SG - Access log (W3C)
  • Check PointCheck Point
  • Pare-feu Cisco ASA (pour les pare-feu Cisco ASA, il est nécessaire de définir le niveau d’informations 6)Cisco ASA Firewall (For Cisco ASA firewalls, it is necessary to set the information level to 6)
  • Cisco IronPort WSACisco IronPort WSA
  • Cisco ScanSafeCisco ScanSafe
  • Cisco Meraki – Journal des URLCisco Meraki – URLs log
  • Clavister NGFW (Syslog)Clavister NGFW (Syslog)
  • Dell SonicwallDell Sonicwall
  • Fortinet FortigateFortinet Fortigate
  • Juniper SRXJuniper SRX
  • Juniper SSGJuniper SSG
  • McAfee Secure Web GatewayMcAfee Secure Web Gateway
  • Microsoft Forefront Threat Management Gateway (W3C)Microsoft Forefront Threat Management Gateway (W3C)
  • Pare-feu de la série Palo AltoPalo Alto series Firewall
  • Sophos SGSophos SG
  • Sophos CyberoamSophos Cyberoam
  • Squid (commun)Squid (Common)
  • Squid (natif)Squid (Native)
  • Websense - Solutions de sécurité web - Rapport détaillé d’investigation (CSV)Websense - Web Security Solutions - Investigative detail report (CSV)
  • Websense - Solutions de sécurité web - Journal d’activité Internet (CEF)Websense - Web Security Solutions - Internet activity log (CEF)
  • ZscalerZscaler
Note

Cloud Discovery prend en charge les adresses IPv4 et IPv6.Cloud Discovery supports both IPv4 and IPv6 addresses.

Si votre journal n’est pas pris en charge, sélectionnez Autre comme Source de données et spécifiez l’appareil et le journal que vous essayez de charger.If your log is not supported, select Other as the Data source and specify the appliance and log you are trying to upload. Votre journal est examiné par l’équipe d’analystes cloud Cloud App Security et vous êtes averti si la prise en charge de votre type de journal est ajoutée.Your log will be reviewed by the Cloud App Security cloud analyst team and you will be notified if support for your log type is added. Vous pouvez également définir un analyseur personnalisé qui correspond à votre format.Alternatively, you can define a custom parser that matches your format. Pour plus d’informations, consultez Utiliser un analyseur de journaux personnalisé.For more information see Use a custom log parser.

Attributs de données (selon la documentation du fournisseur) :Data attributes (according to vendor documentation):

Source de donnéesData source URL de l’application cibleTarget App URL Adresse IP de l’application cibleTarget App IP Nom d'utilisateurUsername Adresse IP d’origineOrigin IP Total du traficTotal traffic Octets chargésUploaded bytes
BarracudaBarracuda OuiYes OuiYes OuiYes OuiYes NonNo NonNo
Blue CoatBlue Coat OuiYes NonNo OuiYes OuiYes OuiYes OuiYes
Point de contrôleCheckpoint NonNo OuiYes NonNo OuiYes NonNo NonNo
Cisco ASACisco ASA NonNo OuiYes NonNo OuiYes OuiYes NonNo
Cisco FWSMCisco FWSM NonNo OuiYes NonNo OuiYes OuiYes NonNo
Cisco Ironport WSACisco Ironport WSA OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
Cisco MerakiCisco Meraki OuiYes OuiYes NonNo OuiYes NonNo NonNo
Clavister NGFW (Syslog)Clavister NGFW (Syslog) OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
Dell SonicWallDell SonicWall OuiYes OuiYes NonNo OuiYes OuiYes OuiYes
FortigateFortigate NonNo OuiYes NonNo OuiYes OuiYes OuiYes
Juniper SRXJuniper SRX NonNo OuiYes NonNo OuiYes OuiYes OuiYes
Juniper SSGJuniper SSG NonNo OuiYes NonNo OuiYes OuiYes OuiYes
McAfee SWGMcAfee SWG OuiYes NonNo NonNo OuiYes OuiYes OuiYes
MS TMGMS TMG OuiYes NonNo OuiYes OuiYes OuiYes OuiYes
Palo Alto NetworksPalo Alto Networks OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
SophosSophos OuiYes OuiYes OuiYes OuiYes OuiYes NonNo
Squid (commun)Squid (Common) OuiYes NonNo OuiYes OuiYes NonNo OuiYes
Squid (natif)Squid (Native) OuiYes NonNo OuiYes OuiYes NonNo OuiYes
Websense - Rapport d’examen détaillé (CSV)Websense - Investigative detail report (CSV) OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
Websense - Journal d’activité Internet (CEF)Websense - Internet activity log (CEF) OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
ZscalerZscaler OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes

Voir aussiSee also

Créer des rapports d’instantanés Cloud DiscoveryCreate snapshot Cloud Discovery reports

Configurer le chargement automatique des journaux pour des rapports continusConfigure automatic log upload for continuous reports

Utilisation des données Cloud DiscoveryWorking with Cloud Discovery data