Cloud Discovery 스냅샷 보고서 만들기

  • 아티클
  • 읽는 데 7분 걸림

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경 내용에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하기 위한 홈이 될 것입니다. 이러한 변경 내용에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

자동 로그 수집기를 사용하기 전에 로그를 수동으로 업로드하고 Microsoft Defender for Cloud Apps 구문 분석하도록 하는 것이 중요합니다. 로그 수집기가 작동하는 방법과 예상되는 로그 형식에 대한 자세한 내용은 Cloud Discovery에 트래픽 로그 사용을 참조하세요.

로그가 아직 없고 로그가 어떤 모양인지 예제를 보려면 샘플 로그 파일을 다운로드합니다. 로그의 모양을 보려면 다음 절차를 따르세요.

스냅샷 보고서를 만들려면

  1. 조직의 사용자가 인터넷에 액세스할 때 사용하는 방화벽 및 프록시에서 로그 파일을 수집합니다. 조직의 모든 사용자 활동을 나타내는 최대 트래픽 시간 동안 로그를 수집해야 합니다.

  2. 클라우드용 Defender 앱 포털에서 검색을 선택한 다음 스냅샷 보고서 만들기를 선택합니다.

    Create new snapshot report.

  3. 보고서 이름설명 입력

    New snapshot report.

  4. 로그 파일을 업로드할 원본 을 선택합니다.

  5. 로그 형식을 확인하여 다운로드할 수 있는 샘플 로그에 따라 형식이 올바로 지정되었는지 확인합니다. 로그 형식 확인에서 로그 형식 보기를 선택한 다음 샘플 로그 다운로드를 선택합니다. 로그를 제공된 샘플과 비교하여 호환되는지 확인합니다.

    Verify your log format.

    참고

    FTP 샘플 형식은 스냅샷과 자동 업로드에서 지원되며 syslog는 자동 업로드에서만 지원됩니다. 샘플 로그를 다운로드하면 샘플 FTP 로그가 다운로드됩니다.

  6. 업로드하려는 트래픽 로그를 업로드. 한 번에 최대 20개의 파일을 업로드할 수 있습니다. 압축된 파일도 지원합니다.

    Upload traffic logs.

  7. 업로드 로그를 선택합니다.

  8. 업로드가 완료되면 로그가 성공적으로 업로드되었음을 알리는 상태 메시지가 화면의 오른쪽 위 모서리에 표시됩니다.

  9. 로그 파일을 업로드한 후 구문 분석하고 분석하려면 다소 시간이 걸립니다. 로그 파일의 처리가 완료되면 작업이 완료되었음을 알리는 이메일을 받게 됩니다.

  10. Cloud Discovery 대시보드의 맨 위에 있는 상태 표시줄에 알림 배너가 나타납니다. 배너는 로그 파일의 처리 상태를 업데이트합니다. processing log file menu bar.

  11. 로그를 업로드하는 데 성공하고 나면 로그 파일 처리가 완료되었다는 내용의 알림이 표시됩니다. 이때 상태 표시줄에서 링크를 선택하거나 설정 코그settings icon.를 선택한 다음 설정 선택하여 보고서를 볼 수 있습니다.

  12. 그런 다음 Cloud Discovery에서 스냅샷 보고서를 선택하고 스냅샷 보고서를 선택합니다.

    snapshot report management.

Cloud Discovery에 트래픽 로그 사용

Cloud Discovery에서는 트래픽 로그의 데이터를 사용합니다. 로그가 더 자세할수록 더 명확하게 파악할 수 있습니다. Cloud Discovery에는 다음과 같은 특성이 있는 웹 트래픽 데이터가 필요합니다.

  • 트랜잭션 날짜
  • 원본 IP
  • 원본 사용자 - 권장
  • 대상 IP 주소
  • 대상 URL 권장(URL은 IP 주소보다 클라우드 앱 검색에 더 높은 정확도를 제공함)
  • 총 데이터 양(데이터 정보는 매우 중요함)
  • 업로드하거나 다운로드한 데이터 양(클라우드 앱의 사용 패턴에 대한 통찰력 제공)
  • 수행 작업(허용/차단)

Cloud Discovery에서는 로그에 포함되지 않은 특성을 표시하거나 분석할 수 없습니다. 예를 들어 Cisco ASA 방화벽 표준 로그 형식에는 트랜잭션당 업로드된 바이트 수, 사용자 이름대상 URL (대상 IP만 해당)이 없습니다. 따라서 이러한 특성은 이러한 로그에 대한 Cloud Discovery 데이터에 표시되지 않으며 클라우드 앱에 대한 가시성이 제한됩니다. Cisco ASA 방화벽의 경우 정보 수준을 6으로 설정해야 합니다.

Cloud Discovery 보고서를 성공적으로 생성하려면 트래픽 로그가 다음 조건을 충족해야 합니다.

  1. 데이터 원본이 지원됩니다.
  2. 로그 형식은 예상되는 표준 형식과 일치합니다(로그 도구로 업로드 시 확인되는 형식).
  3. 이벤트가 90일보다 오래되지 않았습니다.
  4. 로그 파일이 올바르며 아웃바운드 트래픽 정보를 포함합니다.

다음 단계

정책을 사용하여 클라우드 앱 제어

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.