Creare report snapshot di Cloud Discovery

  • Articolo
  • 4 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

È importante caricare manualmente un log e consentire Microsoft Defender for Cloud Apps analizzarlo prima di provare a usare l'agente di raccolta log automatico. Per informazioni su come funziona l'agente di raccolta log e il formato di log previsto, vedere Uso dei log di traffico per Cloud Discovery.

Se non si ha ancora un log e si vuole visualizzare un esempio dell'aspetto del log, scaricare un file di log di esempio. Seguire la procedura riportata di seguito per vedere l'aspetto del log.

Per creare un report snapshot:

  1. Raccogliere i file di log dal firewall e dal proxy, tramite cui gli utenti dell'organizzazione accedono a Internet. Assicurarsi di raccogliere i log durante i momenti di picco di traffico rappresentativi di tutte le attività degli utenti nell'organizzazione.

  2. Nel portale delle app di Defender per il cloud selezionare Individua e quindi crea report snapshot.

    Create new snapshot report.

  3. Immettere un nome report e una descrizione

    New snapshot report.

  4. Selezionare l'origine da cui caricare i file di log.

  5. Verificare il formato del log per assicurarsi che sia formattato correttamente in base al log di esempio che è possibile scaricare. In Verifica il formato del log selezionare Visualizza formato log e quindi selezionare Scarica log di esempio. Confrontare il log con l'esempio per verificare che sia compatibile.

    Verify your log format.

    Nota

    Il formato di esempio FTP è supportato negli snapshot e nel caricamento automatico, mentre syslog è supportato solo nel caricamento automatico. Se si scarica un log di esempio viene scaricato un log di esempio FTP.

  6. Upload i log del traffico da caricare. È possibile caricare fino a 20 file contemporaneamente. I file compressi e ZIP sono supportati.

    Upload traffic logs.

  7. Selezionare Upload log.

  8. Al termine del caricamento, il messaggio di stato verrà visualizzato nell'angolo superiore destro della schermata che informa che il log è stato caricato correttamente.

  9. Dopo aver caricato i file di log, la relativa analisi richiederà un po' di tempo. Al termine dell'elaborazione dei file di log si riceverà un messaggio di posta elettronica che notifica il completamento.

  10. Verrà visualizzato un banner di notifica nella barra di stato nella parte superiore del dashboard di Cloud Discovery. Il banner è aggiornato con lo stato di elaborazione dei file di log. processing log file menu bar.

  11. Dopo aver caricato i log, viene visualizzata una notifica che informa che l'elaborazione del file di log è stata completata correttamente. A questo punto, è possibile visualizzare il report selezionando il collegamento nella barra di stato oppure selezionando l'ingranaggio settings icon.delle impostazioni e quindi selezionare Impostazioni.

  12. In Cloud Discovery selezionare Quindi Report snapshot e selezionare il report snapshot.

    snapshot report management.

Uso dei log del traffico per Cloud Discovery

Cloud Discovery usa i dati dei log di traffico. Più il log è dettaglio, migliore è la visibilità che si ottiene. Cloud Discovery richiede i dati del traffico Web con i seguenti attributi:

  • Data della transazione
  • IP di origine
  • Utente origine - consigliato
  • Indirizzo IP di destinazione
  • URL di destinazione consigliato (gli URL consentono una maggiore precisione per il rilevamento delle app cloud rispetto agli indirizzi IP)
  • Quantità totale di dati (le informazioni sui dati sono estremamente utili)
  • Quantità di dati caricati o scaricati (fornisce informazioni sugli schemi di utilizzo delle app cloud)
  • Azione intrapresa (elementi consentiti/bloccati)

Cloud Discovery non può visualizzare o analizzare attributi che non sono inclusi nei log. Ad esempio, il formato di log standard di Cisco ASA Firewall non ha il numero di byte caricati per transazione, nome utente e URL di destinazione (solo IP di destinazione). Di conseguenza, questi attributi non verranno visualizzati nei dati di Cloud Discovery per questi log e la visibilità delle app cloud sarà limitata. Per i firewall Cisco ASA, è necessario impostare il livello di informazioni su 6.

Per poter generare un report di Cloud Discovery, i log di traffico devono soddisfare le condizioni seguenti:

  1. L'origine dati è supportata.
  2. Il formato di log corrisponde al formato standard previsto, ovvero al formato verificato al momento del caricamento dallo strumento Log.
  3. Gli eventi non sono più vecchi di 90 giorni.
  4. Il file di log è valido e include informazioni sul traffico in uscita.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.