Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Tworzenie raportów migawek usługi Cloud DiscoveryCreate snapshot Cloud Discovery reports

Należy ręcznie przekazać dziennik i umożliwić Microsoft Cloud App Security go przeanalizować przed użyciem automatycznego modułu zbierającego.It is important to upload a log manually and let Microsoft Cloud App Security parse it before attempting to use the automatic log collector. Aby uzyskać informacje na temat sposobu działania moduł zbierający i z oczekiwanym formatem dziennika, zobacz Używanie dzienników ruchu dla rozwiązania Cloud Discovery.For information on how the log collector works and the expected log format, see Using traffic logs for Cloud Discovery.

Jeśli nie masz jeszcze dziennika i chcesz zobaczyć przykład, jak powinien wyglądać dziennik, wykonaj poniższą procedurą, a następnie pobierz przykładowy plik dziennika, aby zobaczyć, jak ma wyglądać.If you don't have a log yet and you want to see a sample of what your log should look like, follow the procedure below, and download a sample log file to see what your log is supposed to look like.

Aby utworzyć raport migawki:To create a snapshot report:

  1. Zbierz pliki dzienników z zapory i serwera proxy, za pośrednictwem których użytkownicy w organizacji uzyskują dostęp do Internetu.Collect log files from your firewall and proxy, through which users in your organization access the Internet. Upewnij się, że dzienniki są zbierane w okresach szczytowego natężenia ruchu, gdy reprezentują całą aktywność użytkowników w organizacji.Make sure to gather logs during times of peak traffic that are representative of all user activity in your organization.

  2. W portalu usługi Cloud App Security kliknij kolejno pozycje Odnajdywanie i Utwórz nowy raport migawek.In the Cloud App Security portal, click on Discover and then Create new snapshot report.

    Tworzenie nowego raportu migawki

  3. Wprowadź nazwę raportu i opis.Enter a Report name and a Description

    Nowy raport migawki

  4. Wybierz źródło danych, z którego chcesz przekazać pliki dzienników.Select the Data source from which you want to upload the log files.

  5. Sprawdź format dziennika, aby upewnić się, że jest prawidłowo sformatowany zgodnie z próbką do pobrania.Verify your log format to make sure that it is formatted properly according to the sample you can download. Kliknij przycisk Wyświetl i zweryfikuj, a następnie kliknij opcję Pobierz przykładowy dziennik.Click View and verify and then click Download sample log. Następnie porównaj swój dziennik z przykładowym, aby upewnić się, że jest zgodny.Then compare your log with the sample provided to make sure it's compatible.

    Sprawdzenie formatu dziennika

    Uwaga

    Przykładowy format FTP jest obsługiwana w migawek i automatycznego przekazywania usługi syslog jest obsługiwana w ramach automatycznego przekazywania tylko.The FTP sample format is supported in snapshots and automated upload while syslog is supported in automated upload only.
    Pobieranie przykładowy dziennik spowoduje pobranie przykładowego dziennika FTP.Downloading a sample log will download a sample FTP log.

  6. Wybierz dzienniki ruchu, które chcesz przekazać.Choose the traffic logs that you want to upload. Jednocześnie można przekazać do 20 plików.You can upload up to 20 files at once. Obsługiwane są także skompresowane i spakowane pliki.Compressed and zipped files are also supported.

  7. Kliknij przycisk Utwórz.Click Create.

  8. Po ukończeniu przekazywania w prawym górnym rogu ekranu zostanie wyświetlony komunikat o stanie informujący o pomyślnym przekazaniu dziennika.After upload completes, the status message will appear at the top right corner of your screen letting you know that your log was successfully uploaded.

  9. Analiza przekazanych plików dzienników może potrwać jakiś czas.After you upload your log files, it will take some time for them to be parsed and analyzed.
    Po zakończeniu przetwarzania plików dzienników otrzymasz odpowiednią wiadomość e-mail.After processing of your log files completes, you will receive an email to notify you that it is done.

  10. Informacje o aktualizacjach stanu przetwarzania plików dzienników będą wyświetlane na transparencie powiadomienia na pasku stanu w górnej części portalu.A notification banner will appear in the status bar at the top of the portal to update you with the processing status of your log files.
    pasek menu z informacjami o przetwarzaniu pliku dziennika

  11. Po pomyślnym przekazaniu dzienników powinno zostać wyświetlone powiadomienie z informacją, że przetwarzanie pliku dziennika zostało zakończone pomyślnie.After the logs are uploaded successfully, you should see a notification letting you know that the log file processing completed successfully. Możesz teraz wyświetlić raport, klikając link na pasku stanu lub wybierając ikonę Ustawienia, a następnie pozycję Ustawienia usługi Cloud Discovery.At this point, a you can view the report either by clicking the link in the status bar, or by going to the Settings cog, and selecting Cloud Discovery settings.

    Karta ustawień odnajdywania

  12. Następnie wybierając raporty migawki i wybierz raport migawki.Then selecting Snapshot reports and select your snapshot report.

zarządzanie raportami migawek

Używanie dzienników ruchu dla rozwiązania Cloud Discovery Using traffic logs for Cloud Discovery

Rozwiązanie Cloud Discovery korzysta z danych w dziennikach ruchu.Cloud Discovery utilizes the data in your traffic logs. Im bardziej szczegółowy dziennik, tym lepszy wgląd zapewni.The more detailed your log, the better visibility you get. Rozwiązanie Cloud Discovery wymaga danych o ruchu w sieci Web z następującymi atrybutami:Cloud Discovery requires web-traffic data with the following attributes:

  • Data transakcjiDate of the transaction
  • Źródłowy adres IPSource IP
  • Użytkownik źródłowy — zdecydowanie zalecaneSource user - highly recommended
  • Docelowy adres IPDestination IP address
  • Docelowy adres URL — zalecany (adresy URL zapewniają większą dokładność wykrywania aplikacji w chmurze niż adresy IP)Destination URL recommended (URLs provide higher accuracy for cloud app detection than IP addresses)
  • Łączna ilość danych (informacje o danych są bardzo przydatne)Total amount of data (data information is highly valuable)
  • Ilość danych przekazanych lub pobranych (zapewnia informacje na temat wzorców użycia aplikacji w chmurze)Amount of uploaded or downloaded data (provides insights about the usage patterns of the cloud apps)
  • Podejmowane akcje (dozwolone/zablokowane)Action taken (allowed/blocked)

Rozwiązanie Cloud Discovery nie może pokazać ani analizować atrybutów, które nie są uwzględnione w dziennikach.Cloud Discovery cannot show or analyze attributes that are not included in your logs. Na przykład Zapora Cisco ASA standardowy format dziennika nie zawiera liczby przekazanych bajtów na transakcję ani Usernamei nie może zawierać Docelowy adres URL (ale jedynie docelowy adres IP).For example, Cisco ASA Firewall standard log format does not contain the number of uploaded bytes per transaction nor Username, and does not contain Target URL (but only target IP). Dlatego te atrybuty nie będą wyświetlane w danych rozwiązania Cloud Discovery dla tych dzienników i wgląd w aplikacje w chmurze będzie ograniczony.Therefore, these attributes will not be shown in Cloud Discovery data for these logs, and the visibility into the cloud apps will be limited. Dla zapór Cisco ASA należy ustawić poziom informacji na 6.For Cisco ASA firewalls, it is necessary to set the information level to 6.

Aby pomyślnie wygenerować raport rozwiązania Cloud Discovery, dzienniki ruchu muszą spełniać następujące warunki:In order to successfully generate a Cloud Discovery report, your traffic logs must meet the following conditions:

  1. Źródło danych jest obsługiwane (zobacz listę poniżej).Data source is supported (see list below).
  2. Format dziennika pasuje do oczekiwanego formatu standardowego (zostanie on sprawdzony podczas przekazywania przez narzędzie dzienników).Log format matches the expected standard format (this will be checked upon upload by the Log tool).
  3. Zdarzenia nie są starsze niż 90 dni.Events are not more than 90 days old.
  4. Plik dziennika jest prawidłowy i zawiera informacje o ruchu wychodzącym.The log file is valid and includes outbound traffic information.

Obsługiwane zapory i serwery proxy Supported firewalls and proxies

  • Barracuda — zapora aplikacji internetowej (W3C)Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG — dziennik dostępu (W3C)Blue Coat Proxy SG - Access log (W3C)
  • Check PointCheck Point
  • Zapora Cisco ASA (dla zapór Cisco ASA należy ustawić poziom informacji na 6)Cisco ASA Firewall (For Cisco ASA firewalls, it is necessary to set the information level to 6)
  • Cisco ASA z siłę rażeniaCisco ASA with FirePOWER
  • Cisco IronPort WSACisco IronPort WSA
  • Cisco ScanSafeCisco ScanSafe
  • Cisco Meraki — dziennik adresów URLCisco Meraki – URLs log
  • Clavister NGFW (dziennik systemowy)Clavister NGFW (Syslog)
  • Sztuka cyfrowych i FILTROWANIEDigital Arts i-FILTER
  • Fortinet FortigateFortinet Fortigate
  • iboss Secure bramy w chmurzeiboss Secure Cloud Gateway
  • Juniper SRXJuniper SRX
  • Juniper SSGJuniper SSG
  • McAfee Secure Web GatewayMcAfee Secure Web Gateway
  • Microsoft Forefront Threat Management Gateway (W3C)Microsoft Forefront Threat Management Gateway (W3C)
  • Zapora serii Palo AltoPalo Alto series Firewall
  • Sonicwall (dawniej Dell)Sonicwall (formerly Dell)
  • Sophos SGSophos SG
  • XG firmy SophosSophos XG
  • Sophos CyberoamSophos Cyberoam
  • Squid (typowy)Squid (Common)
  • Squid (natywny)Squid (Native)
  • Websense — Web Security Solutions — szczegółowy raport dochodzeniowy (CSV)Websense - Web Security Solutions - Investigative detail report (CSV)
  • Websense — Web Security Solutions — dziennik działań w Internecie (CEF)Websense - Web Security Solutions - Internet activity log (CEF)
  • ZscalerZscaler

Uwaga

Rozwiązanie cloud Discovery obsługuje adresy IPv4 i IPv6.Cloud Discovery supports both IPv4 and IPv6 addresses.

Jeśli dany dziennik nie jest obsługiwany, wybierz wartość Inne dla pozycji Źródło danych, a następnie określ urządzenie i dziennik, który ma zostać przekazany.If your log is not supported, select Other as the Data source and specify the appliance and log you are trying to upload. Po przejrzeniu dziennika przez zespół analityków chmury usługi Cloud App Security otrzymasz powiadomienie, jeśli zostanie dodana obsługa tego typu dziennika.Your log will be reviewed by the Cloud App Security cloud analyst team and you will be notified if support for your log type is added. Alternatywnie można zdefiniować niestandardowy analizator składni zgodny z używanym formatem.Alternatively, you can define a custom parser that matches your format. Aby uzyskać więcej informacji, zobacz korzystanie z analizatora dzienników niestandardowych.For more information, see Use a custom log parser.

Atrybuty danych (zgodnie z dokumentacją dostawcy):Data attributes (according to vendor documentation):

Źródło danychData source Docelowy adres URL aplikacjiTarget App URL Docelowy adres IP aplikacjiTarget App IP Nazwa użytkownikaUsername Źródłowy adres IPOrigin IP Całkowity ruchTotal traffic Przekazane bajtyUploaded bytes
BarracudaBarracuda TakYes TakYes TakYes TakYes NieNo NieNo
Blue CoatBlue Coat TakYes NieNo TakYes TakYes TakYes TakYes
Punkt kontrolnyCheckpoint NieNo TakYes NieNo TakYes NieNo NieNo
Cisco ASA (protokół Syslog)Cisco ASA (Syslog) NieNo TakYes NieNo TakYes TakYes NieNo
Cisco ASA z siłę rażeniaCisco ASA with FirePOWER TakYes TakYes TakYes TakYes TakYes TakYes
Cisco FWSMCisco FWSM NieNo TakYes NieNo TakYes TakYes NieNo
Cisco IronPort WSACisco Ironport WSA TakYes TakYes TakYes TakYes TakYes TakYes
Cisco MerakiCisco Meraki TakYes TakYes NieNo TakYes NieNo NieNo
Clavister NGFW (dziennik systemowy)Clavister NGFW (Syslog) TakYes TakYes TakYes TakYes TakYes TakYes
SonicWall (dawniej Dell)SonicWall (formerly Dell) TakYes TakYes NieNo TakYes TakYes TakYes
Sztuka cyfrowych i FILTROWANIEDigital Arts i-FILTER TakYes TakYes TakYes TakYes TakYes TakYes
FortigateFortigate NieNo TakYes NieNo TakYes TakYes TakYes
Juniper SRXJuniper SRX NieNo TakYes NieNo TakYes TakYes TakYes
Juniper SSGJuniper SSG NieNo TakYes TakYes TakYes TakYes TakYes
McAfee SWGMcAfee SWG TakYes NieNo NieNo TakYes TakYes TakYes
MS TMGMS TMG TakYes NieNo TakYes TakYes TakYes TakYes
Palo Alto NetworksPalo Alto Networks NieNo TakYes TakYes TakYes TakYes TakYes
SophosSophos TakYes TakYes TakYes TakYes TakYes NieNo
Squid (typowy)Squid (Common) TakYes NieNo TakYes TakYes NieNo TakYes
Squid (natywny)Squid (Native) TakYes NieNo TakYes TakYes NieNo TakYes
Websense — szczegółowy raport dochodzeniowy (CSV)Websense - Investigative detail report (CSV) TakYes TakYes TakYes TakYes TakYes TakYes
Websense — dziennik działań w Internecie (CEF)Websense - Internet activity log (CEF) TakYes TakYes TakYes TakYes TakYes TakYes
ZscalerZscaler TakYes TakYes TakYes TakYes TakYes TakYes

Zobacz teżSee Also

Kontrola aplikacji w chmurze za pomocą zasadControl cloud apps with policies

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.