Configurer Cloud Discovery

Notes

Nous avons renommé Microsoft Cloud App Security. elle est maintenant appelée Microsoft Defender for Cloud Apps. Dans les semaines à venir, nous mettrons à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le changement de nom récent des services de sécurité Microsoft, consultez le blog Microsoftsur la sécurité.

Cloud Discovery analyse vos journaux de trafic sur le catalogue Microsoft Defender for Cloud Apps de plus de 25 000 applications Cloud. Les applications sont classées et évaluées en fonction de plus de 90 facteurs de risque afin de vous offrir une visibilité permanente de l’utilisation du Cloud, de l’occulter et de l’ombre des risques qu’il représente dans votre organisation.

Rapports d’instantanés et continus d’évaluation des risques

Vous pouvez générer les types de rapports suivants :

  • Rapports d’instantanés : ils fournissent une visibilité ad hoc sur un ensemble de journaux de trafic que vous chargez manuellement à partir de vos pare-feu et proxys.

  • rapports continus : analysez tous les journaux qui sont transférés à partir de votre réseau à l’aide d’applications Defender pour le cloud. Ils offrent une meilleure visibilité sur toutes les données et identifient automatiquement toute utilisation anormale à l’aide du moteur de détection des anomalies Machine Learning ou des stratégies personnalisées que vous définissez. Ces rapports peuvent être créés en vous connectant des façons suivantes :

    • intégration de Microsoft Defender pour point de terminaison: les applications Defender pour le cloud s’intègrent à defender pour le point de terminaison en mode natif, afin de simplifier le déploiement des Cloud Discovery, d’étendre les fonctionnalités de Cloud Discovery au-delà de votre réseau d’entreprise et d’activer l’investigation basée sur les machines.
    • Collecteurde journaux : les collecteurs de journaux vous permettent d’automatiser facilement le chargement du journal à partir de votre réseau. Le collecteur de journaux s’exécute sur votre réseau et reçoit les journaux par le biais de Syslog ou FTP.
    • secure Web Gateway (SWG): si vous travaillez avec Defender pour le cloud Apps et l’un des SWGs suivants, vous pouvez intégrer les produits pour améliorer votre expérience de Cloud Discovery de sécurité. ensemble, Defender pour le cloud applications et SWGs offrent un déploiement transparent de Cloud Discovery, le blocage automatique des applications non approuvées et l’évaluation des risques directement sur le portail de SWG.
  • api Cloud Discovery : utilisez l’api Defender pour le cloud des applications Cloud Discovery pour automatiser le chargement du journal du trafic et faire des Cloud Discovery automatisés de rapports et d’évaluation des risques. Vous pouvez également utiliser l’API pour générer des scripts de bloc et rationaliser les contrôles d’application directement sur votre appliance réseau.

Flux du processus de journalisation : des données brutes à l’évaluation des risques

Le processus de génération d’une évaluation des risques se compose des étapes suivantes. Le processus dure de quelques minutes à plusieurs heures en fonction de la quantité de données traitées.

  • Chargement : Les journaux de trafic web de votre réseau sont chargés vers le portail.

  • parse : les applications Defender pour le cloud analysent et extraient les données de trafic des journaux de trafic avec un analyseur dédié pour chaque source de données.

  • Analyser : les données de trafic sont analysées par rapport au catalogue d’applications Cloud afin d’identifier plus de 25 000 applications Cloud et d’évaluer leur score de risque. Les adresses IP et les utilisateurs actifs sont également identifiés dans le cadre de l’analyse.

  • Générer un rapport : Un rapport d’évaluation des risques sur les données extraites des fichiers journaux est généré.

Notes

Les données de découverte sont analysées et mises à jour quatre fois par jour.

Pare-feu et proxys pris en charge

  • Barracuda - Pare-feu d’application web (W3C)
  • Blue Coat Proxy SG - Journal d’accès (W3C)
  • Check Point
  • Cisco ASA avec FirePOWER
  • Pare-feu Cisco ASA (pour les pare-feu Cisco ASA, il est nécessaire de définir le niveau d’informations sur 6)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – journal des URL
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Sécurité Menlo (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Ouvrir la passerelle Web sécurisée pour les systèmes
  • Pare-feu de la série Palo Alto
  • SonicWall (anciennement Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (commun)
  • Squid (natif)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense - Solutions de sécurité web - Journal d’activité Internet (CEF)
  • Websense - Solutions de sécurité web - Rapport détaillé d’investigation (CSV)
  • Zscaler

Notes

Cloud Discovery prend en charge les adresses IPv4 et IPv6.

Si votre journal n’est pas pris en charge, ou si vous utilisez un format de journal récemment publié à partir de l’une des sources de données prises en charge et que le téléchargement échoue, sélectionnez autre comme source de données et spécifiez l’appliance et le journal que vous essayez de charger. votre journal est examiné par l’équipe d’analystes du cloud Defender pour le cloud Apps et vous êtes averti si la prise en charge de votre type de journal est ajoutée. Vous pouvez également définir un analyseur personnalisé qui correspond à votre format. Pour plus d’informations, consultez Utiliser un analyseur de journaux personnalisé.

Notes

La liste suivante d’appliances prises en charge peut ne pas fonctionner avec les formats de journal récemment publiés. Si vous utilisez un format récemment publié et que le téléchargement échoue, Utilisez un analyseur de journal personnalisé et, si nécessaire, ouvrez un dossier de support.

Attributs de données (selon la documentation du fournisseur) :

Paramètres URL de l’application cible Adresse IP de l’application cible Nom d’utilisateur Adresse IP d’origine Total du trafic Octets chargés
Barracuda Oui Oui Oui Oui Non Non
Blue Coat Oui Non Oui Oui Oui Oui
Check Point Non Oui Non Oui Non Non
Cisco ASA (Syslog) Non Oui Non Oui Oui Non
Cisco ASA avec FirePOWER Oui Oui Oui Oui Oui Oui
Cisco Cloud Web Security Oui Oui Oui Oui Oui Oui
Cisco FWSM Non Oui Non Oui Oui Non
Cisco Ironport WSA Oui Oui Oui Oui Oui Oui
Cisco Meraki Oui Oui Non Oui Non Non
Clavister NGFW (Syslog) Oui Oui Oui Oui Oui Oui
ContentKeeper Oui Oui Oui Oui Oui Oui
Corrata Oui Oui Oui Oui Oui Oui
Digital Arts i-FILTER Oui Oui Oui Oui Oui Oui
ForcePoint LEEF Oui Oui Oui Oui Oui Oui
ForcePoint Web Security Cloud * Oui Oui Oui Oui Oui Oui
Fortinet Fortigate Non Oui Oui Oui Oui Oui
FortiOS Oui Oui Non Oui Oui Oui
iboss Oui Oui Oui Oui Oui Oui
Juniper SRX Non Oui Non Oui Oui Oui
Juniper SSG Non Oui Oui Oui Oui Oui
McAfee SWG Oui Non Non Oui Oui Oui
Sécurité Menlo (CEF) Oui Oui Oui Oui Oui Oui
MS TMG Oui Non Oui Oui Oui Oui
Ouvrir la passerelle Web sécurisée pour les systèmes Oui Oui Oui Oui Oui Oui
Palo Alto Networks Non Oui Oui Oui Oui Oui
SonicWall (anciennement Dell) Oui Oui Non Oui Oui Oui
Sophos Oui Oui Oui Oui Oui Non
Squid (commun) Oui Non Oui Oui Oui Non
Squid (natif) Oui Non Oui Oui Non Non
Stormshield Non Oui Oui Oui Oui Oui
Wandera Oui Oui Oui Oui Oui Oui
WatchGuard Oui Oui Oui Oui Oui Oui
Websense - Journal d’activité Internet (CEF) Oui Oui Oui Oui Oui Oui
Websense - Rapport d’examen détaillé (CSV) Oui Oui Oui Oui Oui Oui
Zscaler Oui Oui Oui Oui Oui Oui

* Les versions 8,5 et ultérieures du Cloud de sécurité Web ForcePoint ne sont pas prises en charge

Étapes suivantes