Tworzenie raportów migawek usługi Cloud DiscoveryCreate snapshot Cloud Discovery reports

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Należy ręcznie przekazać dziennik i umożliwić Microsoft Cloud App Security go przeanalizować przed próbą użycia automatycznego modułu zbierającego.It's important to upload a log manually and let Microsoft Cloud App Security parse it before trying to use the automatic log collector. Aby uzyskać informacje na temat sposobu działania moduł zbierający i z oczekiwanym formatem dziennika, zobacz Używanie dzienników ruchu dla rozwiązania Cloud Discovery.For information on how the log collector works and the expected log format, see Using traffic logs for Cloud Discovery.

Jeśli nie masz jeszcze dziennika i chcesz zobaczyć przykład jak powinien wyglądać dziennik, Pobierz przykładowy plik dziennika.If you don't have a log yet and you want to see an example of what your log should look like, download a sample log file. Postępuj zgodnie z poniższą procedurą, aby zobaczyć, jak powinien wyglądać dziennik.Follow the procedure below to see what your log should look like.

Aby utworzyć raport migawki:To create a snapshot report:

  1. Zbierz pliki dzienników z zapory i serwera proxy, za pośrednictwem których użytkownicy w organizacji uzyskują dostęp do Internetu.Collect log files from your firewall and proxy, through which users in your organization access the Internet. Upewnij się, że dzienniki są zbierane w okresach szczytowego natężenia ruchu, gdy reprezentują całą aktywność użytkowników w organizacji.Make sure to gather logs during times of peak traffic that are representative of all user activity in your organization.

  2. W portalu Cloud App Security kliknij odnajdź następnie Utwórz raport migawek.In the Cloud App Security portal, click on Discover then Create snapshot report.

    Tworzenie nowego raportu migawki

  3. Wprowadź nazwę raportu i opis.Enter a Report name and a Description

    Nowy raport migawki

  4. Wybierz źródło danych, z którego chcesz przekazać pliki dzienników.Select the Data source from which you want to upload the log files.

  5. Zweryfikuj format dziennika do upewnij się, że jest on formatowany prawidłowo zgodnie z przykładowy dziennik, którą można pobrać.Verify your log format to make sure that it's formatted properly according to the sample log you can download. Kliknij przycisk Wyświetl i Zweryfikuj następnie Pobierz przykładowy dziennik.Click View and verify then Download sample log. Porównaj swój dziennik z przykładowym, aby upewnić się, że jest zgodny.Compare your log with the sample provided to make sure it's compatible.

    Sprawdzenie formatu dziennika

    Uwaga

    Przykładowy format FTP jest obsługiwana w migawek i automatycznego przekazywania usługi syslog jest obsługiwana w ramach automatycznego przekazywania tylko.The FTP sample format is supported in snapshots and automated upload while syslog is supported in automated upload only.
    Pobieranie przykładowy dziennik spowoduje pobranie przykładowego dziennika FTP.Downloading a sample log will download a sample FTP log.

  6. Wybierz dzienniki ruchu, które chcesz przekazać.Choose the traffic logs that you want to upload. Jednocześnie można przekazać do 20 plików.You can upload up to 20 files at once. Obsługiwane są także skompresowane i spakowane pliki.Compressed and zipped files are also supported.

  7. Kliknij pozycję Utwórz.Click Create.

  8. Po ukończeniu przekazywania w prawym górnym rogu ekranu zostanie wyświetlony komunikat o stanie informujący o pomyślnym przekazaniu dziennika.After upload completes, the status message will appear at the top right corner of your screen letting you know that your log was successfully uploaded.

  9. Analiza przekazanych plików dzienników może potrwać jakiś czas.After you upload your log files, it will take some time for them to be parsed and analyzed.
    Po zakończeniu przetwarzania plików dzienników otrzymasz wiadomość e-mail informujące o tym, że jest wykonywane.After processing of your log files completes, you'll receive an email to notify you that it's done.

  10. Transparent powiadomienia będą wyświetlane na pasku stanu w górnej części pulpit nawigacyjny rozwiązania Cloud Discovery.A notification banner will appear in the status bar at the top of the Cloud Discovery dashboard. Transparent aktualizuje stan przetwarzania plików dzienników.The banner updates you with the processing status of your log files.
    Przetwarzanie pasek menu Plik dziennikaprocessing log file menu bar

  11. Po pomyślnym przekazaniu dzienników powinno zostać wyświetlone powiadomienie z informacją, że przetwarzanie pliku dziennika zostało zakończone pomyślnie.After the logs are uploaded successfully, you should see a notification letting you know that the log file processing completed successfully. W tym momencie można wyświetlić raport, klikając link na pasku stanu lub przechodząc do koła zębatego ustawień i wybierając ustawienia funkcji Cloud Discovery.At this point, you can view the report either by clicking the link in the status bar, or by going to the Settings cog and selecting Cloud Discovery settings.

    Karta ustawień odnajdywania

  12. Następnie wybierając raporty migawki i wybierz raport migawki.Then selecting Snapshot reports and select your snapshot report.

    zarządzanie raportami migawek

Używanie dzienników ruchu dla rozwiązania Cloud Discovery Using traffic logs for Cloud Discovery

Rozwiązanie cloud Discovery wykorzystuje dane z dzienników ruchu sieciowego.Cloud Discovery uses the data in your traffic logs. Im bardziej szczegółowy dziennik, tym lepszy wgląd zapewni.The more detailed your log, the better visibility you get. Rozwiązanie Cloud Discovery wymaga danych o ruchu w sieci Web z następującymi atrybutami:Cloud Discovery requires web-traffic data with the following attributes:

  • Data transakcjiDate of the transaction
  • Źródłowy adres IPSource IP
  • Użytkownik źródłowy — zdecydowanie zalecaneSource user - highly recommended
  • Docelowy adres IPDestination IP address
  • Docelowy adres URL — zalecany (adresy URL zapewniają większą dokładność wykrywania aplikacji w chmurze niż adresy IP)Destination URL recommended (URLs provide higher accuracy for cloud app detection than IP addresses)
  • Łączna ilość danych (informacje o danych są bardzo przydatne)Total amount of data (data information is highly valuable)
  • Ilość danych przekazanych lub pobranych (zapewnia informacje na temat wzorców użycia aplikacji w chmurze)Amount of uploaded or downloaded data (provides insights about the usage patterns of the cloud apps)
  • Podejmowane akcje (dozwolone/zablokowane)Action taken (allowed/blocked)

Rozwiązania cloud Discovery nie można pokazać ani analizować atrybutów, które nie są zawarte w dziennikach.Cloud Discovery can't show or analyze attributes that aren't included in your logs. Na przykład Zapora Cisco ASA standardowy format dziennika nie ma liczby przekazanych bajtów na transakcję, Username, i docelowy adres URL (jedynie docelowy adres IP).For example, Cisco ASA Firewall standard log format doesn't have the number of uploaded bytes per transaction, Username, and Target URL (only target IP). Dlatego te atrybuty nie będą wyświetlane w danych rozwiązania Cloud Discovery dla tych dzienników i wgląd w aplikacje w chmurze będzie ograniczony.Therefore, these attributes will not be shown in Cloud Discovery data for these logs, and the visibility into the cloud apps will be limited. Dla zapór Cisco ASA należy ustawić poziom informacji na 6.For Cisco ASA firewalls, it is necessary to set the information level to 6.

Aby pomyślnie wygenerować raport rozwiązania Cloud Discovery, dzienniki dotyczące ruchu muszą spełniać następujące warunki:To successfully generate a Cloud Discovery report, your traffic logs must meet the following conditions:

  1. Źródło danych jest obsługiwane (zobacz listę poniżej).Data source is supported (see list below).
  2. Format dziennika jest zgodny z oczekiwanym formatem standardowym (w formacie sprawdzony podczas przekazywania przez narzędzie dzienników).Log format matches the expected standard format (format checked upon upload by the Log tool).
  3. Zdarzenia nie są starsze niż 90 dni.Events aren't more than 90 days old.
  4. Plik dziennika jest prawidłowy i zawiera informacje o ruchu wychodzącym.The log file is valid and includes outbound traffic information.

Obsługiwane zapory i serwery proxy Supported firewalls and proxies

  • Barracuda — zapora aplikacji internetowej (W3C)Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG — dziennik dostępu (W3C)Blue Coat Proxy SG - Access log (W3C)
  • Check PointCheck Point
  • Zapora Cisco ASA (dla zapór Cisco ASA, jest to konieczne, należy ustawić poziom informacji na 6)Cisco ASA Firewall (For Cisco ASA firewalls, it's necessary to set the information level to 6)
  • Cisco ASA z siłę rażeniaCisco ASA with FirePOWER
  • Cisco IronPort WSACisco IronPort WSA
  • Cisco ScanSafeCisco ScanSafe
  • Cisco Meraki — dziennik adresów URLCisco Meraki – URLs log
  • Clavister NGFW (dziennik systemowy)Clavister NGFW (Syslog)
  • Sztuka cyfrowych i FILTROWANIEDigital Arts i-FILTER
  • Fortinet FortigateFortinet Fortigate
  • iboss Secure bramy w chmurzeiboss Secure Cloud Gateway
  • Juniper SRXJuniper SRX
  • Juniper SSGJuniper SSG
  • McAfee Secure Web GatewayMcAfee Secure Web Gateway
  • Microsoft Forefront Threat Management Gateway (W3C)Microsoft Forefront Threat Management Gateway (W3C)
  • Zapora serii Palo AltoPalo Alto series Firewall
  • Sonicwall (dawniej Dell)Sonicwall (formerly Dell)
  • Sophos SGSophos SG
  • XG firmy SophosSophos XG
  • Sophos CyberoamSophos Cyberoam
  • Squid (typowy)Squid (Common)
  • Squid (natywny)Squid (Native)
  • Websense — Web Security Solutions — szczegółowy raport dochodzeniowy (CSV)Websense - Web Security Solutions - Investigative detail report (CSV)
  • Websense — Web Security Solutions — dziennik działań w Internecie (CEF)Websense - Web Security Solutions - Internet activity log (CEF)
  • ZscalerZscaler

Uwaga

Rozwiązanie cloud Discovery obsługuje adresy IPv4 i IPv6.Cloud Discovery supports both IPv4 and IPv6 addresses.

Jeśli dany dziennik nie jest obsługiwany, wybierz opcję innych jako źródła danych i określ urządzenie i dziennik, które próbujesz przekazać.If your log isn't supported, select Other as the Data source and specify the appliance and log you're trying to upload. Dziennik są przeglądane przez zespół analityków chmury usługi Cloud App Security i zostanie wyświetlone powiadomienie, gdy obsługa tego typu dziennika zostanie dodany.Your log will be reviewed by the Cloud App Security cloud analyst team and you'll be notified if support for your log type is added. Alternatywnie można zdefiniować niestandardowy analizator składni zgodny z używanym formatem.Alternatively, you can define a custom parser that matches your format. Aby uzyskać więcej informacji, zobacz korzystanie z analizatora dzienników niestandardowych.For more information, see Use a custom log parser.

Atrybuty danych (zgodnie z dokumentacją dostawcy):Data attributes (according to vendor documentation):

Źródło danychData source Docelowy adres URL aplikacjiTarget App URL Docelowy adres IP aplikacjiTarget App IP Nazwa użytkownikaUsername Źródłowy adres IPOrigin IP Całkowity ruchTotal traffic Przekazane bajtyUploaded bytes
BarracudaBarracuda TakYes TakYes TakYes TakYes NieNo NieNo
Blue CoatBlue Coat TakYes NieNo TakYes TakYes TakYes TakYes
Punkt kontrolnyCheckpoint NieNo TakYes NieNo TakYes NieNo NieNo
Cisco ASA (protokół Syslog)Cisco ASA (Syslog) NieNo TakYes NieNo TakYes TakYes NieNo
Cisco ASA z siłę rażeniaCisco ASA with FirePOWER TakYes TakYes TakYes TakYes TakYes TakYes
Cisco FWSMCisco FWSM NieNo TakYes NieNo TakYes TakYes NieNo
Cisco IronPort WSACisco Ironport WSA TakYes TakYes TakYes TakYes TakYes TakYes
Cisco MerakiCisco Meraki TakYes TakYes NieNo TakYes NieNo NieNo
Clavister NGFW (dziennik systemowy)Clavister NGFW (Syslog) TakYes TakYes TakYes TakYes TakYes TakYes
SonicWall (dawniej Dell)SonicWall (formerly Dell) TakYes TakYes NieNo TakYes TakYes TakYes
Sztuka cyfrowych i FILTROWANIEDigital Arts i-FILTER TakYes TakYes TakYes TakYes TakYes TakYes
FortigateFortigate NieNo TakYes NieNo TakYes TakYes TakYes
Juniper SRXJuniper SRX NieNo TakYes NieNo TakYes TakYes TakYes
Juniper SSGJuniper SSG NieNo TakYes TakYes TakYes TakYes TakYes
McAfee SWGMcAfee SWG TakYes NieNo NieNo TakYes TakYes TakYes
MS TMGMS TMG TakYes NieNo TakYes TakYes TakYes TakYes
Palo Alto NetworksPalo Alto Networks NieNo TakYes TakYes TakYes TakYes TakYes
SophosSophos TakYes TakYes TakYes TakYes TakYes NieNo
Squid (typowy)Squid (Common) TakYes NieNo TakYes TakYes NieNo TakYes
Squid (natywny)Squid (Native) TakYes NieNo TakYes TakYes NieNo TakYes
Websense — szczegółowy raport dochodzeniowy (CSV)Websense - Investigative detail report (CSV) TakYes TakYes TakYes TakYes TakYes TakYes
Websense — dziennik działań w Internecie (CEF)Websense - Internet activity log (CEF) TakYes TakYes TakYes TakYes TakYes TakYes
ZscalerZscaler TakYes TakYes TakYes TakYes TakYes TakYes

Następne krokiNext steps

Kontrola aplikacji w chmurze za pomocą zasadControl cloud apps with policies

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.