Creare report snapshot di Cloud Discovery

  • Articolo

È importante caricare un log manualmente e consentire a Microsoft Defender for Cloud Apps di analizzarlo prima di provare a usare l'agente di raccolta log automatico. Per informazioni sul funzionamento dell'agente di raccolta log e sul formato di log previsto, vedere Utilizzo dei log del traffico per Cloud Discovery.

Se non si ha ancora un log e si vuole visualizzare un esempio dell'aspetto del log, scaricare un file di log di esempio. Seguire questa procedura per vedere l'aspetto del log.

Per creare un report snapshot:

  1. Raccogliere i file di log dal firewall e dal proxy attraverso i quali gli utenti dell'organizzazione accedono a Internet. Assicurarsi di raccogliere i log durante i periodi di picco del traffico che sono rappresentativi di tutte le attività degli utenti nell'organizzazione.

  2. In App cloud del portale di Microsoft Defender selezionare Cloud Discovery.

  3. Nell'angolo in alto a destra, trascinare Azioni e selezionare Crea report snapshot di Cloud Discovery.

    Create new snapshot report.

  4. Seleziona Avanti.

  5. Immettere un nome per il report e una descrizione nelle rispettive caselle

    New snapshot report.

  6. Selezionare l'Origine da cui si vogliono caricare i file di log. Se l'origine non è supportata (vedere Firewall e proxy supportati per l'elenco completo), è possibile creare un parser personalizzato. Per altre informazioni, vedere Uso del parser di log personalizzato.

  7. Verificare il formato del log per assicurarsi che sia formattato correttamente in base al log di esempio che è possibile scaricare. In Verifica il formato di log selezionare Visualizza formato di log, quindi selezionare Scarica log di esempio. Confrontare il log con l'esempio fornito per assicurarsi che sia compatibile.

    Verify your log format.

    Nota

    Il formato di esempio FTP è supportato negli snapshot e nel caricamento automatico, mentre syslog è supportato solo nel caricamento automatico. Il download di un log di esempio consente di scaricare un log FTP di esempio.

  8. Caricare i log del traffico da caricare. È possibile caricare fino a 20 file alla volta. Sono supportati anche i file compressi e zippati.

    Upload traffic logs.

  9. Selezionare Carica i log.

  10. Al termine del caricamento, il messaggio di stato verrà visualizzato nell'angolo in alto a destra della schermata che informa che il log è stato caricato correttamente.

  11. Dopo il caricamento dei file di log, la verifica e l'analisi dei file richiederanno del tempo. Al termine dell'elaborazione dei file di log, si riceverà un messaggio e-mail per segnalare che l'operazione è stata completata.

  12. Verrà visualizzato un banner di notifica nella barra di stato nella parte superiore del dashboard di Cloud Discovery. Il banner fornisce all'utente informazioni aggiornate sullo stato di elaborazione dei file di log. processing log file menu bar.

  13. Dopo il caricamento corretto dei log, verrà visualizzata una notifica che informa che l'elaborazione del file di log è stata completata correttamente. A questo punto, è possibile visualizzare il report selezionando il collegamento nella barra di stato. In alternativa, nel portale di Microsoft Defender selezionare Impostazioni.

  14. Quindi in Cloud Discovery selezionare Report snapshot e selezionare il report snapshot.

    snapshot report management.

Uso dei log di traffico per Cloud Discovery

Cloud Discovery utilizza i dati nei log di traffico. Più dettagliato è il log, maggiore sarà la visibilità che si ottiene. Cloud Discovery richiede dati sul traffico Web con gli attributi seguenti:

  • Data della transazione
  • IP di origine
  • Utente di origine - scelta consigliata
  • Indirizzo IP di destinazione
  • URL di destinazione consigliato (gli URL consentono una maggiore precisione per il rilevamento delle app cloud rispetto agli indirizzi IP)
  • Quantità totale di dati (le informazioni sui dati sono estremamente utili)
  • Quantità di dati caricati o scaricati - Scelta consigliata (fornisce informazioni sui modelli di utilizzo delle app cloud)
  • Azione eseguita (consentita/bloccata)

Cloud Discovery non è può visualizzare o analizzare attributi non inclusi nei log. Ad esempio il formato di log standard Firewall ASA Cisco non include il numero di byte caricati per transazione, il nome utente e l'URL di destinazione (ma solo l'indirizzo IP di destinazione). Questi attributi non verranno quindi visualizzati nei dati di Cloud Discovery per questi log e la visibilità delle app cloud sarà limitata. Per Cisco ASA firewall è necessario impostare il livello di informazioni su 6.

Per generare correttamente un report di Cloud Discovery, i log del traffico devono soddisfare le condizioni seguenti:

  1. L'origine dati è supportata.
  2. Il formato del log corrisponde al formato standard previsto (formato verificato al caricamento dallo strumento Log).
  3. Gli eventi risalgono a non più di 90 giorni fa.
  4. Il file di log è valido e include informazioni sul traffico in uscita.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.