A Cloud Discovery beállítása
Megjegyzés
Új nevet adtunk Microsoft Cloud App Security. A neve mostantól Microsoft Defender for Cloud Apps. Az elkövetkező hetekben frissíteni fogjuk a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A változással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezését a Microsoft Ignite biztonsági blogján olvashatja el.
Cloud Discovery a forgalmi naplókat a Microsoft Defender for Cloud Apps több mint 25 000 felhőalkalmazást tároló katalógus alapján. Az alkalmazások több mint 90 kockázati tényező alapján vannak rangsorolva és pontozással, így folyamatos betekintést nyújtanak a felhőhasználatba, az árnyék-információkezelésbe és az árnyék-alapú it-alkalmazásokba.
Pillanatkép- és folyamatos kockázatbecslési jelentések
A következő típusú jelentéseket hozhatja létre:
Pillanatkép-jelentések – Alkalmi láthatóságot biztosít a tűzfalakról és proxykról manuálisan feltöltött forgalmi naplók egy készletére.
Folyamatos jelentések – Elemezheti a hálózatról továbbított összes naplót a Felhőhöz készült Defender alkalmazásokkal. Ezek a jelentések átláthatóbb képet adnak az összes adatról, és vagy a gépi tanulást alkalmazó anomáliadetektálási motorral, vagy az Ön által meghatározott egyéni szabályzatok segítségével automatikusan azonosítják a rendellenes használatot. Ezeket a jelentéseket a következő módokon lehet létrehozni:
- Végponthoz készült Microsoft Defender: a Felhőhöz készült Defender Apps natív módon integrálható a Defender for Endpoint alkalmazással, leegyszerűsíti a Cloud Discovery bevezetést, kiterjeszti a Cloud Discovery-képességeket a vállalati hálózaton túlra, és lehetővé teszi a gépalapú vizsgálatot.
- Naplógyűjtő: A naplógyűjtők segítségével könnyedén automatizálhatja a hálózatról való naplófeltöltést. A naplógyűjtő a hálózaton fut, a naplókat pedig a Syslog vagy FTP segítségével fogadja.
- Secure Web Gateway (SWG): Ha az Felhőhöz készült Defender Apps és az alábbi SWG-k valamelyikével is dolgozik, integrálhatja a termékeket a biztonsági és Cloud Discovery érdekében. A Felhőhöz készült Defender Apps és a SWG-k együttesen biztosítják a Cloud Discovery zökkenőmentes üzembe helyezését, a nem használt alkalmazások automatikus blokkolását és a kockázatfelmérést közvetlenül az SWG portálján.
Cloud Discovery API – A Felhőhöz készült Defender Apps Cloud Discovery API-val automatizálhatja a forgalmi naplók feltöltését, és automatizált Cloud Discovery jelentés- és kockázatfelmérést kap. Az API-val blokkszk szkripteket hozhat létre, és közvetlenül a hálózati berendezésen keresztül egyszerűsítheti az alkalmazásvezérlőket.
A naplózás folyamata: a nyers adatoktól a kockázatbecslésig
A kockázatértékelés létrehozása a következő lépésekből áll. A folyamat a feldolgozott adatok mennyiségétől függően néhány perctől több óráig is eltarthat.
Feltöltés – A hálózatra vonatkozó webforgalomnaplók feltöltése a portálra.
Parse –Felhőhöz készült Defender Apps adatforgalmi adatokat elemez és von ki a forgalmi naplókból egy dedikált elemzővel minden adatforráshoz.
Elemzés – A rendszer elemzi a forgalmi adatokat a cloud appkatalógus alapján, így több mint 25 000 felhőalkalmazást azonosít, és felméri a kockázati pontszámot. Az elemzés részeként a rendszer azonosítja az aktív felhasználókat és az IP-címeket is.
Jelentés létrehozása – Létrejön egy kockázatbecslési jelentés a naplófájlokból kinyert adatokkal.
Megjegyzés
A rendszer naponta négyszer elemzi és frissíti a felderítési adatokat.
Támogatott tűzfalak és proxyk
- Barracuda – webalkalmazás-tűzfal (W3C)
- Blue Coat Proxy SG – Hozzáférési napló (W3C)
- Ellenőrzőpont
- Cisco ASA FirePOWER-sel
- Cisco ASA tűzfal (Cisco ASA tűzfalak esetén az információs szintet 6-ra kell állítani)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URL-napló
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Jelsértő i-FILTER
- Forcepoint (Kényszerítőpont)
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto series tűzfal
- Sonicwall (korábban Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense - Web Security Solutions - internetes tevékenységnapló (CEF)
- Websense - Web Security Solutions - részletes nyomozási jelentés (CSV)
- Zscaler
Megjegyzés
Cloud Discovery IPv4- és IPv6-címeket is támogat.
Ha a napló nem támogatott, vagy ha újonnan kiadott naplóformátumot használ az egyik támogatott adatforrásból, és a feltöltés sikertelen, válassza az Egyéb lehetőséget adatforrásként, és adja meg a feltölteni kívánt berendezést és naplót. A naplót a Felhőhöz készült Defender Apps felhőelemző csapata fogja áttekintni, és értesítést kap, ha a naplótípus támogatása hozzá van adva. Ezen kívül definiálhat a formátumnak megfelelő egyéni elemzőt is. További információ: Egyéni napló elemző használata.
Megjegyzés
Előfordulhat, hogy a támogatott berendezések alábbi listája nem működik az újonnan kiadott naplóformátumokkal. Ha újonnan kiadott formátumot használ, és a feltöltés sikertelen, használjon egyéni napló elemzőt, és ha szükséges, nyisson meg egy támogatási esetet.
Adatattribútumok (a gyártó dokumentációja alapján):
| Adatforrás | Célalkalmazás URL-címe | Célalkalmazás IP-címe | Felhasználónév | Forrás IP-cím | Teljes forgalom | Feltöltött bájtok |
|---|---|---|---|---|---|---|
| Barracuda | Igen | Igen | Igen | Igen | Nem | Nem |
| Blue Coat | Igen | No | Igen | Igen | Igen | Igen |
| Ellenőrzőpont | No | Igen | No | Igen | Nem | Nem |
| Cisco ASA (Syslog) | No | Igen | No | Igen | Igen | No |
| Cisco ASA FirePOWER-sel | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco Cloud Web Security | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco FWSM | No | Igen | No | Igen | Igen | No |
| Cisco IronPort WSA | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco Meraki | Igen | Igen | No | Igen | Nem | Nem |
| Clavister NGFW (Syslog) | Igen | Igen | Igen | Igen | Igen | Igen |
| ContentKeeper | Igen | Igen | Igen | Igen | Igen | Igen |
| Corrata | Igen | Igen | Igen | Igen | Igen | Igen |
| Digital Jelsértő i-FILTER | Igen | Igen | Igen | Igen | Igen | Igen |
| ForcePoint LEEF | Igen | Igen | Igen | Igen | Igen | Igen |
| ForcePoint Web Security Cloud* | Igen | Igen | Igen | Igen | Igen | Igen |
| Fortinet Fortigate | No | Igen | Igen | Igen | Igen | Igen |
| FortiOS | Igen | Igen | No | Igen | Igen | Igen |
| iboss | Igen | Igen | Igen | Igen | Igen | Igen |
| Juniper SRX | No | Igen | No | Igen | Igen | Igen |
| Juniper SSG | No | Igen | Igen | Igen | Igen | Igen |
| McAfee SWG | Igen | Nem | Nem | Igen | Igen | Igen |
| Menlo Security (CEF) | Igen | Igen | Igen | Igen | Igen | Igen |
| MS TMG | Igen | No | Igen | Igen | Igen | Igen |
| Open Systems Secure Web Gateway | Igen | Igen | Igen | Igen | Igen | Igen |
| Palo Alto Networks | No | Igen | Igen | Igen | Igen | Igen |
| SonicWall (korábban Dell) | Igen | Igen | No | Igen | Igen | Igen |
| Sophos | Igen | Igen | Igen | Igen | Igen | No |
| Squid (Common) | Igen | No | Igen | Igen | Igen | No |
| Squid (Native) | Igen | No | Igen | Igen | Nem | Nem |
| Stormshield | No | Igen | Igen | Igen | Igen | Igen |
| Wandera | Igen | Igen | Igen | Igen | Igen | Igen |
| WatchGuard | Igen | Igen | Igen | Igen | Igen | Igen |
| Websense – internetes tevékenységnapló (CEF) | Igen | Igen | Igen | Igen | Igen | Igen |
| Websense – részletes nyomozási jelentés (CSV) | Igen | Igen | Igen | Igen | Igen | Igen |
| Zscaler | Igen | Igen | Igen | Igen | Igen | Igen |
* A ForcePoint Web Security Cloud 8.5-ös és újabb verziói nem támogatottak