Momentrapporten van Cloud Discovery maken

Notitie

  • De naam van Microsoft Cloud App Security is gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermafbeeldingen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Het is belangrijk om een logboek handmatig te uploaden en het Microsoft Defender for Cloud Apps te parseren voordat u de automatische logboekverzamelaar probeert te gebruiken. Zie Verkeerslogboeken gebruiken voor Cloud Discovery voor informatie over de werking van de logboekverzamelaar en de verwachte logboekindeling.

Als u nog geen logboek hebt en u een voorbeeld wilt zien van hoe uw logboek eruit moet zien, downloadt u een voorbeeldlogboekbestand. Volg de onderstaande procedure om te zien hoe uw logboek eruit moet zien.

Ga als volgt te werk om een momentopnamerapport te maken:

  1. Verzamel de logboekbestanden van uw firewall en proxy, via welke gebruikers in uw organisatie toegang tot het Internet krijgen. Zorg dat u logboeken verzamelt tijdens piekverkeer die representatief zijn voor alle gebruikersactiviteit in uw organisatie.

  2. Selecteer In de Defender voor Cloud Apps-portal de optie Ontdekken en selecteer vervolgens Momentopnamerapport maken.

    Create new snapshot report.

  3. Voer een rapportnaam en een beschrijving in.

    New snapshot report.

  4. Selecteer de bron waaruit u de logboekbestanden wilt uploaden.

  5. Controleer de logboekindeling om ervoor te zorgen dat deze correct is opgemaakt volgens het voorbeeldlogboek dat u kunt downloaden. Selecteer onder De logboekindeling Controleren de indeling Logboek weergeven en selecteer vervolgens Voorbeeldlogboek downloaden. Vergelijk uw logboek met het opgegeven voorbeeld om ervoor te zorgen dat het compatibel is.

    Verify your log format.

    Notitie

    De FTP-voorbeeldindeling wordt ondersteund in momentopnamen en geautomatiseerd uploaden, terwijl Syslog alleen wordt ondersteund in geautomatiseerde upload. Als u een voorbeeldlogboek downloadt, wordt een FTP-voorbeeldlogboek gedownload.

  6. Upload verkeerslogboeken die u wilt uploaden. U kunt maximaal 20 bestanden tegelijk uploaden. Gecomprimeerde en gezipte bestanden worden ook ondersteund.

    Upload traffic logs.

  7. Selecteer Upload logboeken.

  8. Nadat het uploaden is voltooid, wordt het statusbericht weergegeven in de rechterbovenhoek van het scherm, zodat u weet dat uw logboek is geüpload.

  9. Na het uploaden van uw logboekbestanden duurt het even voordat ze zijn geparseerd en geanalyseerd. Nadat de verwerking van uw logboekbestanden is voltooid, ontvangt u een e-mail om u te laten weten dat deze is voltooid.

  10. Boven aan het Cloud Discovery-dashboard wordt een meldingsbanner weergegeven op de statusbalk. De banner werkt u bij met de verwerkingsstatus van uw logboekbestanden. processing log file menu bar.

  11. Nadat de logboeken zijn geüpload, krijgt u een melding te zien waarin wordt aangegeven dat de verwerking van de logboekbestanden is voltooid. Op dit moment kunt u het rapport weergeven door de koppeling in de statusbalk te selecteren of door het tandwiel instellingen settings icon.te selecteren en vervolgens Instellingen te selecteren.

  12. Selecteer vervolgens onder Cloud Discoverymomentopnamerapporten en selecteer uw momentopnamerapport.

    snapshot report management.

Verkeerslogboeken gebruiken voor Cloud Discovery

Cloud Discovery gebruikt de gegevens in uw verkeerslogboeken. Hoe gedetailleerder uw logboeken, hoe meer inzicht u krijgt. Voor Cloud Discovery zijn webverkeersgegevens met de volgende kenmerken vereist:

  • Datum van de transactie
  • Bron-IP
  • Brongebruiker - sterk aanbevolen
  • IP-adres van doel
  • Doel-URL aanbevolen (URL's bieden meer nauwkeurigheid voor de detectie van cloud-apps dan IP-adressen)
  • Totale hoeveelheid gegevens (informatie over gegevens is zeer waardevol)
  • Hoeveelheid geüploade of gedownloade gegevens (biedt inzicht in de gebruikspatronen van de cloud-apps)
  • Ondernomen actie (toegestaan/geblokkeerd)

Cloud Discovery kan geen kenmerken weergeven of analyseren die niet zijn opgenomen in uw logboeken. De standaardlogboekindeling van Cisco ASA Firewall heeft bijvoorbeeld niet het aantal geüploade bytes per transactie, gebruikersnaam en doel-URL (alleen doel-IP). Daarom worden deze kenmerken niet weergegeven in Cloud Discovery-gegevens voor deze logboeken en is de zichtbaarheid van de cloud-apps beperkt. Voor Cisco ASA-firewalls is het noodzakelijk om het informatieniveau in te stellen op 6.

Als u een Cloud Discovery-rapport wilt genereren, moeten uw verkeerslogboeken voldoen aan de volgende voorwaarden:

  1. Gegevensbron wordt ondersteund.
  2. Logboekindeling komt overeen met de verwachte standaardindeling (indeling gecontroleerd bij upload door het hulpprogramma Logboek).
  3. Gebeurtenissen zijn niet meer dan 90 dagen oud.
  4. Het logboekbestand is geldig en bevat gegevens over uitgaand verkeer.

Volgende stappen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.