Usare un parser di log personalizzato

  • Articolo
  • 3 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Defender per il cloud App consente di configurare un parser personalizzato in modo da corrispondere ed elaborare il formato dei log in modo che possano essere usati per Cloud Discovery. In genere si userebbe un parser personalizzato se il firewall o il dispositivo non è supportato in modo esplicito da app Defender per il cloud. Può trattarsi di un parser CSV o di un parser chiave-valore personalizzato.

Il parser personalizzato consente di usare i log provenienti da firewall non supportati seguendo questa procedura.

Per configurare un parser personalizzato:

  1. Nel portale di app Defender per il cloud selezionare Individua e quindi Crea report snapshot.

    Create new snapshot report.

  2. Immettere un nome del report e una descrizione

  3. In Origine selezionare Formato log personalizzato....

    New snapshot report.

  4. Raccogliere i log dal firewall e dal proxy tramite cui gli utenti dell'organizzazione accedono a Internet. Assicurarsi di raccogliere i log durante i momenti di picco di traffico rappresentativi di tutte le attività degli utenti nell'organizzazione.

  5. Aprire i log da elaborare in un editor di testo. Esaminarne il formato, assicurandosi che i nomi delle colonne nel log corrispondano ai campi della schermata Custom log format (Formato di log personalizzato).

    Review field in custom log parser.

  6. Compilare quindi i campi in base ai dati per delineare le colonne dei dati correlate a campi specifici nelle app di Defender per il cloud. Può essere necessario modificare i nomi di colonna nel file di log per correlare correttamente i dati.

    Nota

    I campi fanno distinzione tra maiuscole e minuscole. Assicurarsi di scrivere e digitare i nomi delle colonne in modo identico in Defender per il cloud Apps e nel file di log. Assicurarsi inoltre che il formato data scelto sia identico.

    Fill in custom log parser fields.

  7. Selezionare Salva. Il formato di log personalizzato configurato verrà salvato come parser personalizzato predefinito. È possibile modificarlo in qualsiasi momento facendo clic su Modifica.

  8. In Upload log del traffico selezionare il file di log modificato e caricarlo. È possibile caricare fino a 20 file contemporaneamente. I file compressi e ZIP sono supportati.

  9. Selezionare Upload log.

  10. Al termine del caricamento, il messaggio di stato verrà visualizzato nell'angolo superiore destro della schermata che indica che il log è stato caricato correttamente.

  11. Dopo aver caricato i file di log, la relativa analisi richiederà un po' di tempo. Al termine dell'elaborazione dei file di log si riceverà un messaggio di posta elettronica che notifica il completamento.

  12. Verrà visualizzato un banner di notifica nella barra di stato nella parte superiore del dashboard di Cloud Discovery. Il banner è aggiornato con lo stato di elaborazione dei file di log. processing log file menu bar.

  13. Dopo aver caricato i log, viene visualizzata una notifica che informa che l'elaborazione del file di log è stata completata correttamente. A questo punto è possibile visualizzare il report facendo clic sul collegamento nella barra di stato o accedendo alla ruota dentata delle impostazioni e selezionando Cloud Discovery settings (Impostazioni di Cloud Discovery).

    Discovery settings tab.

  14. Quindi selezionare Gestisci report snapshot e scegliere il report snapshot.

    snapshot report management.

Passaggi successivi

Creare report snapshot di Cloud Discovery

Configurare il caricamento automatico dei log per i report continui

Utilizzo dei dati di Cloud Discovery

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.