A Cloud Discovery beállításaSet up Cloud Discovery

A cloud Discovery elemzi a forgalmi naplók Cloud App Security felhőalkalmazások katalógusa a több mint 15 000 felhőalapú alkalmazások, amelyek szerint rangsorolunk és pontozunk alapján több mint 60 kockázati tényezők, adja meg a folyamatban lévő betekinthet a felhőalapú használatakor, FELTÁRÁSÁT, és a kockázati FELTÁRÁSÁT jelent a szervezetbe ellen.Cloud Discovery analyzes your traffic logs against Cloud App Security's cloud app catalog of over 15,000 cloud apps that are ranked and scored based on more than 60 risk factors, to provide you with ongoing visibility into cloud use, Shadow IT, and the risk Shadow IT poses into your organization.

Pillanatkép- és folyamatos kockázatbecslési jelentésekSnapshot and continuous risk assessment reports

Kétféle jelentés létrehozására van lehetősége:There are two types of reports you can generate:

  • A pillanatkép-jelentések segítségével esetileg tekintheti át a tűzfalakról és a proxykról feltöltött fogalmi naplók egy csoportját.Snapshot reports provide ad-hoc visibility on a set on traffic logs you manually upload from your firewalls and proxies.

  • A folyamatos jelentések minden olyan naplót elemeznek, amelyet a hálózatról a Cloud App Security naplógyűjtői továbbítanak.Continuous reports analyze all logs that are forwarded from your network using Cloud App Security’s log collector. Ezek a jelentések átláthatóbb képet adnak az összes adatról, és vagy a gépi tanulást alkalmazó anomáliadetektálási motorral, vagy az Ön által meghatározott egyéni szabályzatok segítségével automatikusan azonosítják a rendellenes használatot.They provide improved visibility over all data, and automatically identify anomalous use using either the Machine Learning anomaly detection engine or by using custom policies that you define.

A naplózás folyamata: a nyers adatoktól a kockázatbecslésigLog process flow: From raw data to risk assessment

A kockázatbecslést végrehajtó folyamat a következő lépésekből tevődik össze, a művelet pedig a feldolgozandó adatok mennyiségétől függően néhány perctől kezdve akár több óráig is eltarthat.The process of generating a risk assessment consists of the following steps and takes between a few minutes to several hours depending of the amount of data processed.

  • Feltöltés – A hálózatra vonatkozó webforgalomnaplók feltöltése a portálra.Upload – Web traffic logs from your network are uploaded to the portal.

  • Értelmezés – A Cloud App Security egy dedikált program segítségével adatforrásonként értelmezi és kivonatolja a forgalmi naplók forgalmi adatait.Parse – Cloud App Security parses and extracts traffic data from the traffic logs with a dedicated parser for each data source.

  • Elemezze – forgalmi adatok elemzése a Felhőalkalmazások katalógusa 15 000-nél több felhőalkalmazások azonosításához, és meghatározza a kockázati pontszámukat.Analyze – Traffic data is analyzed against the Cloud App Catalog to identify more than 15,000 cloud apps and to assess their risk score. Az elemzés részeként a rendszer azonosítja az aktív felhasználókat és az IP-címeket is.Active users and IP addresses are also identified as part of the analysis.

  • Jelentés létrehozása – Létrejön egy kockázatbecslési jelentés a naplófájlokból kinyert adatokkal.Generate report - A risk assessment report of the data extracted from log files is generated.

Megjegyzés

A folyamatos jelentések adatai naponta kétszer esnek át elemzésen.Continuous report data is analyzed twice a day.

Forgalmi naplók használata a Cloud Discovery szolgáltatáshozUsing traffic logs for Cloud Discovery

A Cloud Discovery a forgalmi naplókban szereplő adatokat hasznosítja.Cloud Discovery utilizes the data in your traffic logs. Minél részletesebb a napló, annál jobb rálátást kaphat.The more detailed your log, the better visibility you get. A Cloud Discovery által feldolgozott webforgalmi adatoknak a következő attribútumokkal kell rendelkezniük:Cloud Discovery requires web-traffic data with the following attributes:

  • A tranzakció dátumaDate of the transaction
  • Forrás IP-címeSource IP
  • Forrásfelhasználó – kifejezetten ajánlottSource user - highly recommended
  • Cél IP-címeDestination IP address
  • Cél URL-címe ajánlott (az URL-címekkel pontosabb felhőalkalmazás-felderítés végezhető, mint az IP-címekkel)Destination URL recommended (URLs provide higher accuracy for cloud app detection than IP addresses)
  • Összes adat mennyisége (az adatokkal kapcsolatos információk rendkívül értékesek)Total amount of data (data information is highly valuable)
  • Feltöltött vagy letöltött adatok mennyisége (információkkal szolgál a felhőalapú alkalmazások használati szokásaira vonatkozóan)Amount of uploaded or downloaded data (provides insights about the usage patterns of the cloud apps)
  • Elvégzett művelet (engedélyezve/blokkolva)Action taken (allowed/blocked)

A Cloud Discovery nem tudja megjeleníteni és elemezni a naplókban nem szereplő attribútumokat.Cloud Discovery cannot show or analyze attributes that are not included in your logs. Például a Cisco ASA tűzfal szabványos naplóformátum nem tartalmazza sem a tranzakciónként feltöltött bájtok mennyiségét, sem a felhasználónevet, és nem tartalmazza a cél URL-címet (csak a cél IP-címet).For example, Cisco ASA Firewall standard log format does not contain the Amount of uploaded bytes per transaction nor Username, and does not contain Target URL (but only target IP). Ezért ezek az attribútumok nem jelennek meg a naplók Cloud Discovery-adatai közt, és a felhőalkalmazásokra vonatkozó információk korlátozottak lesznek.Therefore, these attributes will not be shown in Cloud Discovery data for these logs, and the visibility into the cloud apps we be limited. A Cisco ASA tűzfalak esetében a 6. információszint beállítására van szükség.For Cisco ASA firewalls, it is necessary to set the information level to 6.

A Cloud Discovery-jelentések sikeres létrehozása érdekében a forgalmi naplóknak a következő feltételeknek kell megfelelniük:In order to successfully generate a Cloud Discovery report, your traffic logs must meet the following conditions:

  1. Az adatforrás támogatott (lásd az alábbi listát).Data source is supported (see list below).
  2. A napló formátuma megegyezik a várt szabványos formátummal (ezt a feltöltés során a naplóeszköz ellenőrzi).Log format matches the expected standard format (this will be checked upon upload by the Log tool).
  3. Az események 90 napnál nem régebbiek.Events are not more than 90 days old.
  4. A naplófájl érvényes, és tartalmaz kimenő forgalomra vonatkozó információkat.The log file is valid and includes outbound traffic information.

Támogatott tűzfalak és proxykSupported firewalls and proxies

  • Barracuda – webalkalmazás-tűzfal (W3C)Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG – Hozzáférési napló (W3C)Blue Coat Proxy SG - Access log (W3C)
  • Check PointCheck Point
  • Cisco ASA tűzfal (a Cisco ASA tűzfalak esetében a 6. információszint beállítására van szükség)Cisco ASA Firewall (For Cisco ASA firewalls, it is necessary to set the information level to 6)
  • Cisco IronPort WSACisco IronPort WSA
  • Cisco ScanSafeCisco ScanSafe
  • Cisco Meraki – URL-naplóCisco Meraki – URLs log
  • Clavister NGFW (Syslog)Clavister NGFW (Syslog)
  • Dell SonicWallDell Sonicwall
  • Fortinet FortigateFortinet Fortigate
  • Juniper SRXJuniper SRX
  • Juniper SSGJuniper SSG
  • McAfee Secure Web GatewayMcAfee Secure Web Gateway
  • Microsoft Forefront Threat Management Gateway (W3C)Microsoft Forefront Threat Management Gateway (W3C)
  • Palo Alto series tűzfalPalo Alto series Firewall
  • Sophos SGSophos SG
  • Sophos CyberoamSophos Cyberoam
  • Squid (Common)Squid (Common)
  • Squid (Native)Squid (Native)
  • Websense - Web Security Solutions - részletes nyomozási jelentés (CSV)Websense - Web Security Solutions - Investigative detail report (CSV)
  • Websense - Web Security Solutions - internetes tevékenységnapló (CEF)Websense - Web Security Solutions - Internet activity log (CEF)
  • ZscalerZscaler
Megjegyzés

A cloud Discovery IPv4 és IPv6-címeket is támogatja.Cloud Discovery supports both IPv4 and IPv6 addresses.

Ha egy napló nem támogatott, válassza az Egyéb lehetőséget az Adatforrás beállításaként, majd határozza meg a készüléket és a feltölteni kívánt naplót.If your log is not supported, select Other as the Data source and specify the appliance and log you are trying to upload. A Cloud App Security felhőelemző csoportja megvizsgálja a naplót, és értesíti Önt, ha a napló típusa már bekerült a támogatott típusok közé.Your log will be reviewed by the Cloud App Security cloud analyst team and you will be notified if support for your log type is added. Ezen kívül definiálhat a formátumnak megfelelő egyéni elemzőt is.Alternatively, you can define a custom parser that matches your format. További információt az Egyéni naplóelemző használata című témakörben talál.For more information see Use a custom log parser.

Adatattribútumok (a gyártó dokumentációja alapján):Data attributes (according to vendor documentation):

AdatforrásData source Célalkalmazás URL-címeTarget App URL Célalkalmazás IP-címeTarget App IP FelhasználónévUsername Forrás IP-címOrigin IP Teljes forgalomTotal traffic Feltöltött bájtokUploaded bytes
BarracudaBarracuda IgenYes IgenYes IgenYes IgenYes NemNo NemNo
Blue CoatBlue Coat IgenYes NemNo IgenYes IgenYes IgenYes IgenYes
CheckpointCheckpoint NemNo IgenYes NemNo IgenYes NemNo NemNo
Cisco ASACisco ASA NemNo IgenYes NemNo IgenYes IgenYes NemNo
Cisco FWSMCisco FWSM NemNo IgenYes NemNo IgenYes IgenYes NemNo
Cisco IronPort WSACisco Ironport WSA IgenYes IgenYes IgenYes IgenYes IgenYes IgenYes
Cisco MerakiCisco Meraki IgenYes IgenYes NemNo IgenYes NemNo NemNo
Clavister NGFW (Syslog)Clavister NGFW (Syslog) IgenYes IgenYes IgenYes IgenYes IgenYes IgenYes
Dell SonicWallDell SonicWall IgenYes IgenYes NemNo IgenYes IgenYes IgenYes
FortiGateFortigate NemNo IgenYes NemNo IgenYes IgenYes IgenYes
Juniper SRXJuniper SRX NemNo IgenYes NemNo IgenYes IgenYes IgenYes
Juniper SSGJuniper SSG NemNo IgenYes NemNo IgenYes IgenYes IgenYes
McAfee SWGMcAfee SWG IgenYes NemNo NemNo IgenYes IgenYes IgenYes
MS TMGMS TMG IgenYes NemNo IgenYes IgenYes IgenYes IgenYes
Palo Alto HálózatokPalo Alto Networks IgenYes IgenYes IgenYes IgenYes IgenYes IgenYes
SophosSophos IgenYes IgenYes IgenYes IgenYes IgenYes NemNo
Squid (Common)Squid (Common) IgenYes NemNo IgenYes IgenYes NemNo IgenYes
Squid (Native)Squid (Native) IgenYes NemNo IgenYes IgenYes NemNo IgenYes
Websense – részletes nyomozási jelentés (CSV)Websense - Investigative detail report (CSV) IgenYes IgenYes IgenYes IgenYes IgenYes IgenYes
Websense – internetes tevékenységnapló (CEF)Websense - Internet activity log (CEF) IgenYes IgenYes IgenYes IgenYes IgenYes IgenYes
ZscalerZscaler IgenYes IgenYes IgenYes IgenYes IgenYes IgenYes

További információSee also

Cloud Discovery pillanatkép-jelentések készítéseCreate snapshot Cloud Discovery reports

Automatikus naplófeltöltés konfigurálása folyamatos jelentésekhezConfigure automatic log upload for continuous reports

Cloud Discovery-adatok használataWorking with Cloud Discovery data