Tworzenie raportów migawek usługi Cloud Discovery

  • Artykuł

Ważne jest, aby ręcznie przekazać dziennik i umożliwić Microsoft Defender dla Chmury Apps analizowanie go przed próbą użycia automatycznego modułu zbierającego dzienniki. Aby uzyskać informacje na temat działania modułu zbierającego dzienniki i oczekiwanego formatu dziennika, zobacz Używanie dzienników ruchu dla rozwiązania Cloud Discovery.

Jeśli nie masz jeszcze dziennika i chcesz zobaczyć przykład tego, jak powinien wyglądać dziennik, pobierz przykładowy plik dziennika. Postępuj zgodnie z poniższą procedurą, aby zobaczyć, jak powinien wyglądać dziennik.

Aby utworzyć raport migawki:

  1. Zbierz pliki dzienników z zapory i serwera proxy, za pośrednictwem których użytkownicy w organizacji uzyskują dostęp do Internetu. Upewnij się, że dzienniki są zbierane w okresach szczytowego natężenia ruchu, gdy reprezentują całą aktywność użytkowników w organizacji.

  2. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze wybierz pozycję Odnajdywanie w chmurze.

  3. W prawym górnym rogu przeciągnij akcje i wybierz pozycję Utwórz raport migawki rozwiązania Cloud Discovery.

    Create new snapshot report.

  4. Wybierz Dalej.

  5. Wprowadź nazwę raportu i opis.

    New snapshot report.

  6. Wybierz źródło, z którego chcesz przekazać pliki dziennika. Jeśli źródło nie jest obsługiwane (zobacz Obsługiwane zapory i serwery proxy dla pełnej listy), możesz utworzyć analizator niestandardowy. Aby uzyskać więcej informacji, zobacz Use a custom log parser (Używanie analizatora dzienników niestandardowych).

  7. Sprawdź format dziennika, aby upewnić się, że jest on poprawnie sformatowany zgodnie z przykładowym dziennikem, który można pobrać. W obszarze Weryfikowanie formatu dziennika wybierz pozycję Wyświetl format dziennika, a następnie wybierz pozycję Pobierz przykładowy dziennik. Porównaj dziennik z podanym przykładem, aby upewnić się, że jest on zgodny.

    Verify your log format.

    Uwaga

    Format przykładu FTP jest obsługiwany w migawkach i automatycznym przekazaniu, podczas gdy dziennik syslog jest obsługiwany tylko w zautomatyzowanym przekazaniu. Pobranie przykładowego dziennika spowoduje pobranie przykładowego dziennika FTP.

  8. Przekaż dzienniki ruchu, które chcesz przekazać. Jednocześnie można przekazać do 20 plików. Obsługiwane są także skompresowane i spakowane pliki.

    Upload traffic logs.

  9. Wybierz pozycję Przekaż dzienniki.

  10. Po zakończeniu przekazywania w prawym górnym rogu ekranu zostanie wyświetlony komunikat o stanie informujący o pomyślnym przekazaniu dziennika.

  11. Analiza przekazanych plików dzienników może potrwać jakiś czas. Po zakończeniu przetwarzania plików dziennika otrzymasz wiadomość e-mail z powiadomieniem o jego zakończeniu.

  12. Na pasku stanu w górnej części pulpitu nawigacyjnego rozwiązania Cloud Discovery zostanie wyświetlony baner powiadomienia. Baner aktualizuje Cię ze stanem przetwarzania plików dziennika. processing log file menu bar.

  13. Po pomyślnym przekazaniu dzienników powinno zostać wyświetlone powiadomienie z informacją, że przetwarzanie pliku dziennika zostało zakończone pomyślnie. W tym momencie możesz wyświetlić raport, wybierając link na pasku stanu. Możesz też wybrać pozycję Ustawienia w portalu Microsoft Defender.

  14. Następnie w obszarze Cloud Discovery wybierz pozycję Raporty migawek i wybierz raport migawki.

    snapshot report management.

Używanie dzienników ruchu dla rozwiązania Cloud Discovery

Usługa Cloud Discovery używa danych w dziennikach ruchu. Im bardziej szczegółowy dziennik, tym lepszy wgląd zapewni. Rozwiązanie Cloud Discovery wymaga danych o ruchu w sieci Web z następującymi atrybutami:

  • Data transakcji
  • Źródłowy adres IP
  • Użytkownik źródłowy — zdecydowanie zalecane
  • Docelowy adres IP
  • Docelowy adres URL — zalecany (adresy URL zapewniają większą dokładność wykrywania aplikacji w chmurze niż adresy IP)
  • Łączna ilość danych (informacje o danych są bardzo przydatne)
  • Ilość danych przekazanych lub pobranych (zapewnia informacje na temat wzorców użycia aplikacji w chmurze)
  • Podejmowane akcje (dozwolone/zablokowane)

Usługa Cloud Discovery nie może wyświetlać ani analizować atrybutów, które nie są uwzględnione w dziennikach. Na przykład standardowy format dziennika zapory Cisco ASA nie ma liczby przekazanych bajtów na transakcję, nazwę użytkownika i docelowy adres URL (tylko docelowy adres IP). W związku z tym te atrybuty nie będą wyświetlane w danych usługi Cloud Discovery dla tych dzienników, a wgląd w aplikacje w chmurze będzie ograniczony. W przypadku zapór cisco ASA należy ustawić poziom informacji na 6.

Aby pomyślnie wygenerować raport usługi Cloud Discovery, dzienniki ruchu muszą spełniać następujące warunki:

  1. Źródło danych jest obsługiwane.
  2. Format dziennika jest zgodny z oczekiwanym standardowym formatem (format sprawdzany podczas przekazywania przez narzędzie dzienników).
  3. Zdarzenia nie mają więcej niż 90 dni.
  4. Plik dziennika jest prawidłowy i zawiera informacje o ruchu wychodzącym.

Następne kroki

Kontrola aplikacji w chmurze za pomocą zasad

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.