Konfigurowanie rozwiązania Cloud DiscoverySet up Cloud Discovery

Rozwiązania cloud Discovery analizuje dzienników ruchu sieciowego dla wykazu aplikacji w chmurze Cloud App Security ponad 15 000 chmury, które aplikacje, które są pozycjonowane i oceniane w oparciu ponad 60 czynników ryzyka, zapewnienie trwającą wgląd w chmurze używasz, cień IT, i stanowi ryzyka tle IT w Twojej organizacji.Cloud Discovery analyzes your traffic logs against Cloud App Security's cloud app catalog of over 15,000 cloud apps that are ranked and scored based on more than 60 risk factors, to provide you with ongoing visibility into cloud use, Shadow IT, and the risk Shadow IT poses into your organization.

Raporty migawki i ciągłej oceny ryzykaSnapshot and continuous risk assessment reports

Istnieją dwa typy raportów, które można generować:There are two types of reports you can generate:

  • Raporty migawki zapewniają wgląd ad hoc w zestaw dzienników ruchu przekazanych ręcznie z zapór i serwerów proxy.Snapshot reports provide ad-hoc visibility on a set on traffic logs you manually upload from your firewalls and proxies.

  • Raporty ciągłe analizują wszystkie dzienniki, które są przekazywane z sieci za pośrednictwem modułu zbierającego dzienniki usługi Cloud App Security.Continuous reports analyze all logs that are forwarded from your network using Cloud App Security’s log collector. Zapewniają one ulepszony wgląd we wszystkie dane i automatycznie identyfikują nietypowe użycie za pomocą aparatu wykrywania anomalii korzystającego z uczenia maszynowego lub za pomocą zasad niestandardowych, zdefiniowanych przez użytkownika.They provide improved visibility over all data, and automatically identify anomalous use using either the Machine Learning anomaly detection engine or by using custom policies that you define.

Przepływ przetwarzania dziennika: od danych pierwotnych do oceny ryzykaLog process flow: From raw data to risk assessment

Proces generowania oceny ryzyka składa się z następujących czynności i zajmuje od kilku minut do kilku godzin w zależności od ilości przetwarzanych danych.The process of generating a risk assessment consists of the following steps and takes between a few minutes to several hours depending of the amount of data processed.

  • Przekazywanie — dzienniki ruchu w sieci Web są przekazywane do portalu.Upload – Web traffic logs from your network are uploaded to the portal.

  • Analizowanie dzienników — usługa Cloud App Security analizuje i wyodrębnia dane o ruchu z dzienników ruchu za pomocą dedykowanego parsera dla każdego źródła danych.Parse – Cloud App Security parses and extracts traffic data from the traffic logs with a dedicated parser for each data source.

  • Analizowanie — dane o ruchu są analizowane względem katalogu aplikacji chmurze zidentyfikować więcej niż 15 000 aplikacji w chmurze i oceny ich oceny ryzyka.Analyze – Traffic data is analyzed against the Cloud App Catalog to identify more than 15,000 cloud apps and to assess their risk score. Podczas analizy identyfikowani są także aktywni użytkownicy i aktywne adresy IP.Active users and IP addresses are also identified as part of the analysis.

  • Generowanie raportu — wygenerowanie raportu oceny ryzyka danych wyodrębnionych z plików dziennika.Generate report - A risk assessment report of the data extracted from log files is generated.

Uwaga

  • Dane raportów ciągłych są analizowane dwa razy dziennie.Continuous report data is analyzed twice a day.
  • Moduł zbierający dzienniki kompresuje dane przed przesłaniem.The log collector compresses data before it is uploaded. Ruch wychodzący z modułu zbierającego dzienniki będą 10% rozmiaru dzienników ruchu, który odbiera.The outbound traffic on the log collector will be 10% of the size of the traffic logs it receives.

Przy użyciu dzienników ruchu w usłudze Cloud DiscoveryUsing traffic logs for Cloud Discovery

Rozwiązanie Cloud Discovery korzysta z danych w dziennikach ruchu.Cloud Discovery utilizes the data in your traffic logs. Im bardziej szczegółowy dziennik, tym lepszy wgląd zapewni.The more detailed your log, the better visibility you get. Rozwiązanie Cloud Discovery wymaga danych o ruchu w sieci Web z następującymi atrybutami:Cloud Discovery requires web-traffic data with the following attributes:

  • Data transakcjiDate of the transaction
  • Źródłowy adres IPSource IP
  • Użytkownik źródłowy — zdecydowanie zalecaneSource user - highly recommended
  • Docelowy adres IPDestination IP address
  • Docelowy adres URL — zalecany (adresy URL zapewniają większą dokładność wykrywania aplikacji w chmurze niż adresy IP)Destination URL recommended (URLs provide higher accuracy for cloud app detection than IP addresses)
  • Łączna ilość danych (informacje o danych są bardzo przydatne)Total amount of data (data information is highly valuable)
  • Ilość danych przekazanych lub pobranych (zapewnia informacje na temat wzorców użycia aplikacji w chmurze)Amount of uploaded or downloaded data (provides insights about the usage patterns of the cloud apps)
  • Podejmowane akcje (dozwolone/zablokowane)Action taken (allowed/blocked)

Rozwiązanie Cloud Discovery nie może pokazać ani analizować atrybutów, które nie są uwzględnione w dziennikach.Cloud Discovery cannot show or analyze attributes that are not included in your logs. Na przykład standardowy format dziennika zapory Cisco ASA nie zawiera ilości przekazanych bajtów na transakcję, nazwy użytkownika ani docelowego adresu URL (jedynie docelowy adres IP).For example, Cisco ASA Firewall standard log format does not contain the Amount of uploaded bytes per transaction nor Username, and does not contain Target URL (but only target IP). Dlatego te atrybuty nie będą wyświetlane w danych rozwiązania Cloud Discovery dla tych dzienników i wgląd w aplikacje w chmurze będzie ograniczony.Therefore, these attributes will not be shown in Cloud Discovery data for these logs, and the visibility into the cloud apps we be limited. Dla zapór Cisco ASA należy ustawić poziom informacji na 6.For Cisco ASA firewalls, it is necessary to set the information level to 6.

Aby pomyślnie wygenerować raport rozwiązania Cloud Discovery, dzienniki ruchu muszą spełniać następujące warunki:In order to successfully generate a Cloud Discovery report, your traffic logs must meet the following conditions:

  1. Źródło danych jest obsługiwane (zobacz listę poniżej).Data source is supported (see list below).
  2. Format dziennika pasuje do oczekiwanego formatu standardowego (zostanie on sprawdzony podczas przekazywania przez narzędzie dzienników).Log format matches the expected standard format (this will be checked upon upload by the Log tool).
  3. Zdarzenia nie są starsze niż 90 dni.Events are not more than 90 days old.
  4. Plik dziennika jest prawidłowy i zawiera informacje o ruchu wychodzącym.The log file is valid and includes outbound traffic information.

Obsługiwanych zapór i serwerów proxy Supported firewalls and proxies

  • Barracuda — zapora aplikacji sieci Web (W3C)Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG — dziennik dostępu (W3C)Blue Coat Proxy SG - Access log (W3C)
  • Check PointCheck Point
  • Zapora Cisco ASA (dla zapór Cisco ASA należy ustawić poziom informacji na 6)Cisco ASA Firewall (For Cisco ASA firewalls, it is necessary to set the information level to 6)
  • Cisco ASA z siłę rażeniaCisco ASA with FirePOWER
  • Cisco IronPort WSACisco IronPort WSA
  • Cisco ScanSafeCisco ScanSafe
  • Cisco Meraki — dziennik adresów URLCisco Meraki – URLs log
  • Clavister NGFW (dziennik systemowy)Clavister NGFW (Syslog)
  • Dell SonicwallDell Sonicwall
  • Filtr i Arts cyfrowychDigital Arts i-FILTER
  • Fortinet FortigateFortinet Fortigate
  • Juniper SRXJuniper SRX
  • Juniper SSGJuniper SSG
  • McAfee Secure Web GatewayMcAfee Secure Web Gateway
  • Microsoft Forefront Threat Management Gateway (W3C)Microsoft Forefront Threat Management Gateway (W3C)
  • Zapora serii Palo AltoPalo Alto series Firewall
  • Sophos SGSophos SG
  • Sophos CyberoamSophos Cyberoam
  • Squid (typowy)Squid (Common)
  • Squid (natywny)Squid (Native)
  • Websense — Web Security Solutions — szczegółowy raport dochodzeniowy (CSV)Websense - Web Security Solutions - Investigative detail report (CSV)
  • Websense — Web Security Solutions — dziennik działań w Internecie (CEF)Websense - Web Security Solutions - Internet activity log (CEF)
  • ZscalerZscaler

Uwaga

Rozwiązania cloud Discovery obsługuje adresy IPv4 i IPv6.Cloud Discovery supports both IPv4 and IPv6 addresses.

Jeśli dany dziennik nie jest obsługiwany, wybierz wartość Inne dla pozycji Źródło danych, a następnie określ urządzenie i dziennik, który ma zostać przekazany.If your log is not supported, select Other as the Data source and specify the appliance and log you are trying to upload. Po przejrzeniu dziennika przez zespół analityków chmury usługi Cloud App Security otrzymasz powiadomienie, jeśli zostanie dodana obsługa tego typu dziennika.Your log will be reviewed by the Cloud App Security cloud analyst team and you will be notified if support for your log type is added. Alternatywnie można zdefiniować niestandardowy analizator składni zgodny z używanym formatem.Alternatively, you can define a custom parser that matches your format. Aby uzyskać więcej informacji, zobacz Korzystanie z analizatora dzienników niestandardowych.For more information see Use a custom log parser.

Atrybuty danych (zgodnie z dokumentacją dostawcy):Data attributes (according to vendor documentation):

Źródło danychData source Docelowy adres URL aplikacjiTarget App URL Docelowy adres IP aplikacjiTarget App IP Nazwa użytkownikaUsername Źródłowy adres IPOrigin IP Całkowity ruchTotal traffic Przekazane bajtyUploaded bytes
BarracudaBarracuda TakYes TakYes TakYes TakYes NieNo NieNo
Blue CoatBlue Coat TakYes NieNo TakYes TakYes TakYes TakYes
Punkt kontrolnyCheckpoint NieNo TakYes NieNo TakYes NieNo NieNo
Cisco ASA (Syslog)Cisco ASA (Syslog) NieNo TakYes NieNo TakYes TakYes NieNo
Cisco ASA z siłę rażeniaCisco ASA with FirePOWER TakYes TakYes TakYes TakYes TakYes TakYes
Cisco FWSMCisco FWSM NieNo TakYes NieNo TakYes TakYes NieNo
Cisco IronPort WSACisco Ironport WSA TakYes TakYes TakYes TakYes TakYes TakYes
Cisco MerakiCisco Meraki TakYes TakYes NieNo TakYes NieNo NieNo
Clavister NGFW (dziennik systemowy)Clavister NGFW (Syslog) TakYes TakYes TakYes TakYes TakYes TakYes
Dell SonicwallDell SonicWall TakYes TakYes NieNo TakYes TakYes TakYes
Filtr i Arts cyfrowychDigital Arts i-FILTER TakYes TakYes TakYes TakYes TakYes TakYes
FortigateFortigate NieNo TakYes NieNo TakYes TakYes TakYes
Juniper SRXJuniper SRX NieNo TakYes NieNo TakYes TakYes TakYes
Juniper SSGJuniper SSG NieNo TakYes TakYes TakYes TakYes TakYes
McAfee SWGMcAfee SWG TakYes NieNo NieNo TakYes TakYes TakYes
MS TMGMS TMG TakYes NieNo TakYes TakYes TakYes TakYes
Palo Alto NetworksPalo Alto Networks NieNo TakYes TakYes TakYes TakYes TakYes
SophosSophos TakYes TakYes TakYes TakYes TakYes NieNo
Squid (typowy)Squid (Common) TakYes NieNo TakYes TakYes NieNo TakYes
Squid (natywny)Squid (Native) TakYes NieNo TakYes TakYes NieNo TakYes
Websense — szczegółowy raport dochodzeniowy (CSV)Websense - Investigative detail report (CSV) TakYes TakYes TakYes TakYes TakYes TakYes
Websense — dziennik działań w Internecie (CEF)Websense - Internet activity log (CEF) TakYes TakYes TakYes TakYes TakYes TakYes
ZscalerZscaler TakYes TakYes TakYes TakYes TakYes TakYes

Zobacz teżSee also

Tworzenie raportów migawek usługi Cloud DiscoveryCreate snapshot Cloud Discovery reports

Konfigurowanie automatycznego przekazywania dzienników na potrzeby raportów ciągłychConfigure automatic log upload for continuous reports

Praca z danymi rozwiązania Cloud DiscoveryWorking with Cloud Discovery data