A Cloud Discovery beállítása

Megjegyzés

Új nevet adtunk Microsoft Cloud App Security. A neve mostantól Microsoft Defender for Cloud Apps. Az elkövetkező hetekben frissíteni fogjuk a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A változással kapcsolatos további információkért tekintse meg ezt a bejelentést. A Microsoft biztonsági szolgáltatásainak legutóbbi átnevezését a Microsoft Ignite biztonsági blogján olvashatja el.

Cloud Discovery a forgalmi naplókat a Microsoft Defender for Cloud Apps több mint 25 000 felhőalkalmazást tároló katalógus alapján. Az alkalmazások több mint 90 kockázati tényező alapján vannak rangsorolva és pontozással, így folyamatos betekintést nyújtanak a felhőhasználatba, az árnyék-információkezelésbe és az árnyék-alapú it-alkalmazásokba.

Pillanatkép- és folyamatos kockázatbecslési jelentések

A következő típusú jelentéseket hozhatja létre:

  • Pillanatkép-jelentések – Alkalmi láthatóságot biztosít a tűzfalakról és proxykról manuálisan feltöltött forgalmi naplók egy készletére.

  • Folyamatos jelentések – Elemezheti a hálózatról továbbított összes naplót a Felhőhöz készült Defender alkalmazásokkal. Ezek a jelentések átláthatóbb képet adnak az összes adatról, és vagy a gépi tanulást alkalmazó anomáliadetektálási motorral, vagy az Ön által meghatározott egyéni szabályzatok segítségével automatikusan azonosítják a rendellenes használatot. Ezeket a jelentéseket a következő módokon lehet létrehozni:

    • Végponthoz készült Microsoft Defender: a Felhőhöz készült Defender Apps natív módon integrálható a Defender for Endpoint alkalmazással, leegyszerűsíti a Cloud Discovery bevezetést, kiterjeszti a Cloud Discovery-képességeket a vállalati hálózaton túlra, és lehetővé teszi a gépalapú vizsgálatot.
    • Naplógyűjtő: A naplógyűjtők segítségével könnyedén automatizálhatja a hálózatról való naplófeltöltést. A naplógyűjtő a hálózaton fut, a naplókat pedig a Syslog vagy FTP segítségével fogadja.
    • Secure Web Gateway (SWG): Ha az Felhőhöz készült Defender Apps és az alábbi SWG-k valamelyikével is dolgozik, integrálhatja a termékeket a biztonsági és Cloud Discovery érdekében. A Felhőhöz készült Defender Apps és a SWG-k együttesen biztosítják a Cloud Discovery zökkenőmentes üzembe helyezését, a nem használt alkalmazások automatikus blokkolását és a kockázatfelmérést közvetlenül az SWG portálján.
  • Cloud Discovery API – A Felhőhöz készült Defender Apps Cloud Discovery API-val automatizálhatja a forgalmi naplók feltöltését, és automatizált Cloud Discovery jelentés- és kockázatfelmérést kap. Az API-val blokkszk szkripteket hozhat létre, és közvetlenül a hálózati berendezésen keresztül egyszerűsítheti az alkalmazásvezérlőket.

A naplózás folyamata: a nyers adatoktól a kockázatbecslésig

A kockázatértékelés létrehozása a következő lépésekből áll. A folyamat a feldolgozott adatok mennyiségétől függően néhány perctől több óráig is eltarthat.

  • Feltöltés – A hálózatra vonatkozó webforgalomnaplók feltöltése a portálra.

  • Parse –Felhőhöz készült Defender Apps adatforgalmi adatokat elemez és von ki a forgalmi naplókból egy dedikált elemzővel minden adatforráshoz.

  • Elemzés – A rendszer elemzi a forgalmi adatokat a cloud appkatalógus alapján, így több mint 25 000 felhőalkalmazást azonosít, és felméri a kockázati pontszámot. Az elemzés részeként a rendszer azonosítja az aktív felhasználókat és az IP-címeket is.

  • Jelentés létrehozása – Létrejön egy kockázatbecslési jelentés a naplófájlokból kinyert adatokkal.

Megjegyzés

A rendszer naponta négyszer elemzi és frissíti a felderítési adatokat.

Támogatott tűzfalak és proxyk

  • Barracuda – webalkalmazás-tűzfal (W3C)
  • Blue Coat Proxy SG – Hozzáférési napló (W3C)
  • Ellenőrzőpont
  • Cisco ASA FirePOWER-sel
  • Cisco ASA tűzfal (Cisco ASA tűzfalak esetén az információs szintet 6-ra kell állítani)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URL-napló
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Jelsértő i-FILTER
  • Forcepoint (Kényszerítőpont)
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto series tűzfal
  • Sonicwall (korábban Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (Common)
  • Squid (Native)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense - Web Security Solutions - internetes tevékenységnapló (CEF)
  • Websense - Web Security Solutions - részletes nyomozási jelentés (CSV)
  • Zscaler

Megjegyzés

Cloud Discovery IPv4- és IPv6-címeket is támogat.

Ha a napló nem támogatott, vagy ha újonnan kiadott naplóformátumot használ az egyik támogatott adatforrásból, és a feltöltés sikertelen, válassza az Egyéb lehetőséget adatforrásként, és adja meg a feltölteni kívánt berendezést és naplót. A naplót a Felhőhöz készült Defender Apps felhőelemző csapata fogja áttekintni, és értesítést kap, ha a naplótípus támogatása hozzá van adva. Ezen kívül definiálhat a formátumnak megfelelő egyéni elemzőt is. További információ: Egyéni napló elemző használata.

Megjegyzés

Előfordulhat, hogy a támogatott berendezések alábbi listája nem működik az újonnan kiadott naplóformátumokkal. Ha újonnan kiadott formátumot használ, és a feltöltés sikertelen, használjon egyéni napló elemzőt, és ha szükséges, nyisson meg egy támogatási esetet.

Adatattribútumok (a gyártó dokumentációja alapján):

Adatforrás Célalkalmazás URL-címe Célalkalmazás IP-címe Felhasználónév Forrás IP-cím Teljes forgalom Feltöltött bájtok
Barracuda Igen Igen Igen Igen Nem Nem
Blue Coat Igen No Igen Igen Igen Igen
Ellenőrzőpont No Igen No Igen Nem Nem
Cisco ASA (Syslog) No Igen No Igen Igen No
Cisco ASA FirePOWER-sel Igen Igen Igen Igen Igen Igen
Cisco Cloud Web Security Igen Igen Igen Igen Igen Igen
Cisco FWSM No Igen No Igen Igen No
Cisco IronPort WSA Igen Igen Igen Igen Igen Igen
Cisco Meraki Igen Igen No Igen Nem Nem
Clavister NGFW (Syslog) Igen Igen Igen Igen Igen Igen
ContentKeeper Igen Igen Igen Igen Igen Igen
Corrata Igen Igen Igen Igen Igen Igen
Digital Jelsértő i-FILTER Igen Igen Igen Igen Igen Igen
ForcePoint LEEF Igen Igen Igen Igen Igen Igen
ForcePoint Web Security Cloud* Igen Igen Igen Igen Igen Igen
Fortinet Fortigate No Igen Igen Igen Igen Igen
FortiOS Igen Igen No Igen Igen Igen
iboss Igen Igen Igen Igen Igen Igen
Juniper SRX No Igen No Igen Igen Igen
Juniper SSG No Igen Igen Igen Igen Igen
McAfee SWG Igen Nem Nem Igen Igen Igen
Menlo Security (CEF) Igen Igen Igen Igen Igen Igen
MS TMG Igen No Igen Igen Igen Igen
Open Systems Secure Web Gateway Igen Igen Igen Igen Igen Igen
Palo Alto Networks No Igen Igen Igen Igen Igen
SonicWall (korábban Dell) Igen Igen No Igen Igen Igen
Sophos Igen Igen Igen Igen Igen No
Squid (Common) Igen No Igen Igen Igen No
Squid (Native) Igen No Igen Igen Nem Nem
Stormshield No Igen Igen Igen Igen Igen
Wandera Igen Igen Igen Igen Igen Igen
WatchGuard Igen Igen Igen Igen Igen Igen
Websense – internetes tevékenységnapló (CEF) Igen Igen Igen Igen Igen Igen
Websense – részletes nyomozási jelentés (CSV) Igen Igen Igen Igen Igen Igen
Zscaler Igen Igen Igen Igen Igen Igen

* A ForcePoint Web Security Cloud 8.5-ös és újabb verziói nem támogatottak

Következő lépések