Cloud Discovery のセットアップSet up Cloud Discovery

適用対象:Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Cloud Discovery では、16,000 以上のクラウド アプリを掲載した Microsoft Cloud App Security のクラウド アプリ カタログに照らしてトラフィック ログが分析されます。Cloud Discovery analyzes your traffic logs against Microsoft Cloud App Security's cloud app catalog of over 16,000 cloud apps. これらのアプリは、80以上のリスク要因に基づいてランク付けおよびスコア付けされ、クラウドの使用状況を継続的に可視化し、シャドウ IT を組織にもたらすリスクシャドウを提供します。The apps are ranked and scored based on more than 80 risk factors to provide you with ongoing visibility into cloud use, Shadow IT, and the risk Shadow IT poses into your organization.

スナップショットと継続的なリスク評価レポートSnapshot and continuous risk assessment reports

次の 2 種類のレポートを生成できます。There are two types of reports you can generate:

  • スナップショット レポート: ファイアウォールやプロキシから手動でアップロードするトラフィック ログのセットに対するアドホックな可視性を提供します。Snapshot reports - Provides ad-hoc visibility on a set on traffic logs you manually upload from your firewalls and proxies.

  • 継続レポート: Cloud App Security を使用してネットワークから転送されるすべてのログを分析します。Continuous reports - Analyze all logs that are forwarded from your network using Cloud App Security. これらにより、すべてのデータの可視性が高まり、Machine Learning 異常検出エンジンまたは定義したカスタム ポリシーが使用され、特異な使用を自動的に検出できるようになります。They provide improved visibility over all data, and automatically identify anomalous use using either the Machine Learning anomaly detection engine or by using custom policies that you define. これらのレポートは、次の方法で接続することにより作成できます。These reports can be created by connecting in the following ways:

    • Microsoft DEFENDER ATP 統合:Cloud App Security は、Microsoft Defender Advanced Threat Protection (ATP) にネイティブに統合されており、Cloud Discovery のロールアウトを簡素化し、企業ネットワークを超えて Cloud Discovery 機能を拡張し、コンピューターベースの調査を有効にします。Microsoft Defender ATP integration: Cloud App Security integrates with Microsoft Defender Advanced Threat Protection (ATP) natively, to simplify rollout of Cloud Discovery, extend Cloud Discovery capabilities beyond your corporate network, and enable machine-based investigation.
    • ログ コレクター:ログ コレクターを使用すると、ネットワークからのログのアップロードを簡単に自動化することができます。Log collector: Log collectors enable you to easily automate log upload from your network. ログ コレクターをネットワーク上で実行すると、Syslog または FTP でログを受け取ります。The log collector runs on your network and receives logs over Syslog or FTP.
    • Zscaler の統合:Cloud App Security と Zscaler の両方を使用する場合、2 つの製品を統合することでセキュリティの Cloud Discovery エクスペリエンスを強化することができます。Zscaler integration: If you work with both Cloud App Security and Zscaler, you can integrate the two products to enhance your security Cloud Discovery experience. さらに Cloud App Security と Zscaler には、Cloud Discovery のシームレスなデプロイ、承認されていないアプリの自動ブロック、Zscaler ポータルでの直接のリスク評価が備わっています。Together, Cloud App Security and Zscaler provide seamless deployment of Cloud Discovery, automatic blocking of unsanctioned apps, and risk assessment directly in the Zscaler portal.
    • ibossとの統合:Cloud App Security と iboss の両方を使用する場合、2 つの製品を統合することでセキュリティの Cloud Discovery エクスペリエンスを強化することができます。iboss integration: If you work with both Cloud App Security and iboss, you can integrate the two products to enhance your security Cloud Discovery experience. また、Cloud App Security と iboss が連携して、Cloud Discovery のシームレスなデプロイ、承認されていないアプリの自動ブロック、および iboss ポータルでのリスク評価を直接行うことができます。Together, Cloud App Security and iboss provide seamless deployment of Cloud Discovery, automatic blocking of unsanctioned apps, and risk assessment directly in the iboss portal.

ログのプロセス フロー: 生データからリスク評価までLog process flow: From raw data to risk assessment

リスク評価を生成するプロセスは、次の手順で構成されています。The process of generating a risk assessment consists of the following steps. この処理には、処理されるデータの量に応じて数分から数時間かかります。The process takes between a few minutes to several hours depending on the amount of data processed.

  • アップロード – ネットワークの Web トラフィック ログがポータルにアップロードされます。Upload – Web traffic logs from your network are uploaded to the portal.

  • 解析 – Cloud App Security で、トラフィック ログからトラフィック データが抽出され、データ ソースごとに専用のパーサーを使用して解析されます。Parse – Cloud App Security parses and extracts traffic data from the traffic logs with a dedicated parser for each data source.

  • 分析 – トラフィック データをクラウド アプリ カタログと比較して分析することで、16,000 以上のクラウド アプリを識別できるほか、アプリのリスク スコアの評価もできます。Analyze – Traffic data is analyzed against the Cloud App Catalog to identify more than 16,000 cloud apps and to assess their risk score. アクティブ ユーザーと IP アドレスも、分析の一環として識別されます。Active users and IP addresses are also identified as part of the analysis.

  • レポートの生成 – ログ ファイルから抽出されたデータのリスク評価レポートが生成されます。Generate report - A risk assessment report of the data extracted from log files is generated.

注意

継続的なレポート データは 1 日に 2 回分析されます。Continuous report data is analyzed twice a day.

サポートされているファイアウォールとプロキシ Supported firewalls and proxies

  • Barracuda - Web App Firewall (W3C)Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG - Access ログ (W3C)Blue Coat Proxy SG - Access log (W3C)
  • Check PointCheck Point
  • Cisco ASA with FirePOWERCisco ASA with FirePOWER
  • Cisco ASA Firewall (Cisco ASA Firewall では、情報レベルを 6 に設定する必要があります)Cisco ASA Firewall (For Cisco ASA firewalls, it's necessary to set the information level to 6)
  • Cisco Cloud Web SecurityCisco Cloud Web Security
  • Cisco FWSMCisco FWSM
  • Cisco IronPort WSACisco IronPort WSA
  • Cisco Meraki - URL ログCisco Meraki – URLs log
  • Clavister NGFW (Syslog)Clavister NGFW (Syslog)
  • ContentKeeperContentKeeper
  • Digital Arts i-FILTERDigital Arts i-FILTER
  • ForcepointForcepoint
  • Fortinet FortigateFortinet Fortigate
  • iboss Secure Cloud Gatewayiboss Secure Cloud Gateway
  • Juniper SRXJuniper SRX
  • Juniper SSGJuniper SSG
  • McAfee Secure Web GatewayMcAfee Secure Web Gateway
  • Microsoft Forefront Threat Management Gateway (W3C)Microsoft Forefront Threat Management Gateway (W3C)
  • Palo Alto Firewall シリーズPalo Alto series Firewall
  • Sonicwall (旧称 Dell)Sonicwall (formerly Dell)
  • Sophos SGSophos SG
  • Sophos XGSophos XG
  • Sophos CyberoamSophos Cyberoam
  • Squid (共通)Squid (Common)
  • Squid (ネイティブ)Squid (Native)
  • StormshieldStormshield
  • Websense - Web Security Solutions - 調査の詳細レポート (CSV)Websense - Web Security Solutions - Investigative detail report (CSV)
  • Websense - Web Security Solutions - インターネットのアクティビティ ログ (CEF)Websense - Web Security Solutions - Internet activity log (CEF)
  • ZscalerZscaler

注意

Cloud Discovery では、IPv4 と IPv6 の両方のアドレスをサポートします。Cloud Discovery supports both IPv4 and IPv6 addresses.

ログがサポートされていない場合は、データ ソースとして [その他] を選択し、アップロードしようとしているアプライアンスおよびログを指定します。If your log isn't supported, select Other as the Data source and specify the appliance and log you're trying to upload. ログは Cloud App Security クラウド アナリスト チームによって確認され、要求したログの種類のサポートが追加されるかどうかが通知されます。Your log will be reviewed by the Cloud App Security cloud analyst team and you'll be notified if support for your log type is added. また、書式に合うカスタム パーサーを定義することもできます。Alternatively, you can define a custom parser that matches your format. 詳細については、「カスタム ログ パーサーの使用」を参照してください。For more information, see Use a custom log parser.

データ属性 (ベンダーのドキュメントに従う)Data attributes (according to vendor documentation):

[データ ソース]Data source ターゲット アプリの URLTarget App URL ターゲット アプリの IPTarget App IP UsernameUsername 配信元 IPOrigin IP 総トラフィックTotal traffic アップロードされたバイト数Uploaded bytes
BarracudaBarracuda はいYes はいYes はいYes はいYes いいえNo いいえNo
Blue CoatBlue Coat はいYes いいえNo はいYes はいYes はいYes はいYes
CheckpointCheckpoint いいえNo はいYes いいえNo はいYes いいえNo いいえNo
Cisco ASA (Syslog)Cisco ASA (Syslog) いいえNo はいYes いいえNo はいYes はいYes いいえNo
Cisco ASA with FirePOWERCisco ASA with FirePOWER はいYes はいYes はいYes はいYes はいYes はいYes
Cisco Cloud Web SecurityCisco Cloud Web Security はいYes はいYes はいYes はいYes はいYes はいYes
Cisco FWSMCisco FWSM いいえNo はいYes いいえNo はいYes はいYes いいえNo
Cisco IronPort WSACisco Ironport WSA はいYes はいYes はいYes はいYes はいYes はいYes
Cisco MerakiCisco Meraki はいYes はいYes いいえNo はいYes いいえNo いいえNo
Clavister NGFW (Syslog)Clavister NGFW (Syslog) はいYes はいYes はいYes はいYes はいYes はいYes
ContentKeeperContentKeeper はいYes はいYes はいYes はいYes はいYes はいYes
SonicWall (旧称 Dell)SonicWall (formerly Dell) はいYes はいYes いいえNo はいYes はいYes はいYes
Digital Arts i-FILTERDigital Arts i-FILTER はいYes はいYes はいYes はいYes はいYes はいYes
ForcePoint LEEFForcePoint LEEF はいYes はいYes はいYes はいYes はいYes はいYes
ForcePoint Web セキュリティクラウドForcePoint Web Security Cloud はいYes はいYes はいYes はいYes はいYes はいYes
FortigateFortigate いいえNo はいYes いいえNo はいYes はいYes はいYes
Fortinet FortinetFortinet FortiOS はいYes はいYes いいえNo はいYes はいYes はいYes
ibossiboss はいYes はいYes はいYes はいYes はいYes はいYes
Juniper SRXJuniper SRX いいえNo はいYes いいえNo はいYes はいYes はいYes
Juniper SSGJuniper SSG いいえNo はいYes はいYes はいYes はいYes はいYes
McAfee SWGMcAfee SWG はいYes いいえNo いいえNo はいYes はいYes はいYes
MS TMGMS TMG はいYes いいえNo はいYes はいYes はいYes はいYes
Palo Alto NetworksPalo Alto Networks いいえNo はいYes はいYes はいYes はいYes はいYes
SophosSophos はいYes はいYes はいYes はいYes はいYes いいえNo
Squid (共通)Squid (Common) はいYes いいえNo はいYes はいYes いいえNo はいYes
Squid (ネイティブ)Squid (Native) はいYes いいえNo はいYes はいYes いいえNo はいYes
StormshieldStormshield いいえNo はいYes はいYes はいYes はいYes はいYes
Websense: 調査の詳細レポート (CSV)Websense - Investigative detail report (CSV) はいYes はいYes はいYes はいYes はいYes はいYes
Websense: インターネットのアクティビティ ログ (CEF)Websense - Internet activity log (CEF) はいYes はいYes はいYes はいYes はいYes はいYes
ZscalerZscaler はいYes はいYes はいYes はいYes はいYes はいYes

次の手順Next steps

Cloud Discovery のスナップショット レポートを作成するCreate snapshot Cloud Discovery reports

継続的なレポートのために自動ログ アップロードを構成するConfigure automatic log upload for continuous reports

Cloud Discovery データでの作業Working with Cloud Discovery data