Konfigurowanie rozwiązania Cloud DiscoverySet up Cloud Discovery

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ważne

Nazwy produktów ochrony przed zagrożeniami firmy Microsoft są zmieniane.Threat protection product names from Microsoft are changing. Więcej informacji na temat tego i innych aktualizacji można znaleźć tutaj.Read more about this and other updates here. Będziemy aktualizować nazwy w produktach i w dokumentach w najbliższej przyszłości.We'll be updating names in products and in the docs in the near future.

Cloud Discovery analizuje dzienniki ruchu w odniesieniu do wykazu aplikacji w chmurze Microsoft Cloud App Security ponad 16 000 aplikacji w chmurze.Cloud Discovery analyzes your traffic logs against Microsoft Cloud App Security's cloud app catalog of over 16,000 cloud apps. Aplikacje są klasyfikowane i oceniane w oparciu o ponad 80 czynników ryzyka, aby zapewnić ciągły wgląd w użycie chmury, jej Zacień oraz cień ryzyka, który stanowi Twoja organizacja.The apps are ranked and scored based on more than 80 risk factors to provide you with ongoing visibility into cloud use, Shadow IT, and the risk Shadow IT poses into your organization.

Raporty migawki i ciągłej oceny ryzykaSnapshot and continuous risk assessment reports

Można generować następujące typy raportów:You can generate the following types of reports:

  • Raporty migawek — umożliwia wgląd ad hoc w zestawie w przypadku dzienników ruchu ręcznie przekazywanych z zapór i serwerów proxy.Snapshot reports - Provides ad-hoc visibility on a set on traffic logs you manually upload from your firewalls and proxies.

  • Raporty ciągłe — Analizuj wszystkie dzienniki przekazywane z sieci przy użyciu Cloud App Security.Continuous reports - Analyze all logs that are forwarded from your network using Cloud App Security. Zapewniają one ulepszony wgląd we wszystkie dane i automatycznie identyfikują nietypowe użycie za pomocą aparatu wykrywania anomalii korzystającego z uczenia maszynowego lub za pomocą zasad niestandardowych, zdefiniowanych przez użytkownika.They provide improved visibility over all data, and automatically identify anomalous use using either the Machine Learning anomaly detection engine or by using custom policies that you define. Te raporty można utworzyć, łącząc je w następujący sposób:These reports can be created by connecting in the following ways:

    • Integracja usługi Microsoft Defender dla punktów końcowych: Usługa Cloud App Security integruje się z usługą Defender dla punktu końcowego w sposób natywny, aby uprościć wdrażanie Cloud Discovery, należy rozciągnąć możliwości Cloud Discovery poza siecią firmową i umożliwić badanie oparte na maszynach.Microsoft Defender for Endpoint integration: Cloud App Security integrates with Defender for Endpoint natively, to simplify rollout of Cloud Discovery, extend Cloud Discovery capabilities beyond your corporate network, and enable machine-based investigation.
    • Moduł zbierający dzienniki: moduły zbierające dzienniki umożliwiają łatwe Automatyzowanie przekazywania dzienników z sieci.Log collector: Log collectors enable you to easily automate log upload from your network. Moduł zbierający dzienniki działa w sieci i odbiera dzienniki za pośrednictwem protokołu Syslog lub FTP.The log collector runs on your network and receives logs over Syslog or FTP.
    • Bezpieczna Brama sieci Web (SWG): Jeśli pracujesz z obiema Cloud App Security i jednym z następujących SWGs, możesz zintegrować produkty, aby zwiększyć bezpieczeństwo Cloud Discovery.Secure Web Gateway (SWG): If you work with both Cloud App Security and one of the following SWGs, you can integrate the products to enhance your security Cloud Discovery experience. Razem Cloud App Security i SWGs umożliwiają bezproblemowe wdrażanie Cloud Discovery, automatyczne blokowanie aplikacji niezaakceptowanych oficjalnie oraz ocenę ryzyka bezpośrednio w portalu SWG.Together, Cloud App Security and SWGs provide seamless deployment of Cloud Discovery, automatic blocking of unsanctioned apps, and risk assessment directly in the SWG's portal.
  • Cloud Discovery API — używanie interfejsu api Cloud Discovery Cloud App Security do automatyzowania przekazywania dzienników i uzyskiwania zautomatyzowanej Cloud Discovery raportu i oceny ryzyka.Cloud Discovery API – Use Cloud App Security's Cloud Discovery API to automate traffic log upload and get automated Cloud Discovery report and risk assessment. Za pomocą interfejsu API można również generować skrypty blokowe i usprawniać kontrolę aplikacji bezpośrednio do urządzenia sieciowego.You can also use the API to generate block scripts and streamline app controls directly to your network appliance.

Przepływ przetwarzania dziennika: od danych pierwotnych do oceny ryzykaLog process flow: From raw data to risk assessment

Proces generowania oceny ryzyka składa się z następujących kroków.The process of generating a risk assessment consists of the following steps. Proces trwa od kilku minut do kilku godzin w zależności od ilości przetworzonych danych.The process takes between a few minutes to several hours depending on the amount of data processed.

  • Przekazywanie — dzienniki ruchu w sieci Web są przekazywane do portalu.Upload – Web traffic logs from your network are uploaded to the portal.

  • Analizowanie dzienników — usługa Cloud App Security analizuje i wyodrębnia dane o ruchu z dzienników ruchu za pomocą dedykowanego parsera dla każdego źródła danych.Parse – Cloud App Security parses and extracts traffic data from the traffic logs with a dedicated parser for each data source.

  • Analiza — dane o ruchu są analizowane względem katalogu aplikacji w chmurze, aby można było zidentyfikować więcej niż 16 000 aplikacji w chmurze i ocenić ich ocenę ryzyka.Analyze – Traffic data is analyzed against the Cloud App Catalog to identify more than 16,000 cloud apps and to assess their risk score. Podczas analizy identyfikowani są także aktywni użytkownicy i aktywne adresy IP.Active users and IP addresses are also identified as part of the analysis.

  • Generowanie raportu — wygenerowanie raportu oceny ryzyka danych wyodrębnionych z plików dziennika.Generate report - A risk assessment report of the data extracted from log files is generated.

Uwaga

Dane raportu ciągłego są analizowane cztery razy dziennie.Continuous report data is analyzed four times a day.

Obsługiwane zapory i serwery proxy Supported firewalls and proxies

  • Barracuda — zapora aplikacji internetowej (W3C)Barracuda - Web App Firewall (W3C)
  • Blue Coat Proxy SG — dziennik dostępu (W3C)Blue Coat Proxy SG - Access log (W3C)
  • Check PointCheck Point
  • Cisco ASA z FirePOWERCisco ASA with FirePOWER
  • Zapora Cisco ASA (dla zapór Cisco ASA należy ustawić poziom informacji na 6)Cisco ASA Firewall (For Cisco ASA firewalls, it's necessary to set the information level to 6)
  • Zabezpieczenia sieci Web Cisco CloudCisco Cloud Web Security
  • Cisco FWSMCisco FWSM
  • Cisco IronPort WSACisco IronPort WSA
  • Cisco Meraki — dziennik adresów URLCisco Meraki – URLs log
  • Clavister NGFW (dziennik systemowy)Clavister NGFW (Syslog)
  • ContentKeeperContentKeeper
  • CorrataCorrata
  • Cyfrowa i wielocyfrowy filtr sztukiDigital Arts i-FILTER
  • ForcepointForcepoint
  • Fortinet FortigateFortinet Fortigate
  • Usługa iboss Secure Cloud Gatewayiboss Secure Cloud Gateway
  • Juniper SRXJuniper SRX
  • Juniper SSGJuniper SSG
  • McAfee Secure Web GatewayMcAfee Secure Web Gateway
  • Menlo Security (CEF)Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)Microsoft Forefront Threat Management Gateway (W3C)
  • Zapora serii Palo AltoPalo Alto series Firewall
  • SonicWALL (dawniej firma Dell)Sonicwall (formerly Dell)
  • Sophos SGSophos SG
  • Sophos XGSophos XG
  • Sophos CyberoamSophos Cyberoam
  • Squid (typowy)Squid (Common)
  • Squid (natywny)Squid (Native)
  • StormshieldStormshield
  • Websense — Web Security Solutions — szczegółowy raport dochodzeniowy (CSV)Websense - Web Security Solutions - Investigative detail report (CSV)
  • Websense — Web Security Solutions — dziennik działań w Internecie (CEF)Websense - Web Security Solutions - Internet activity log (CEF)
  • WatchGuardWatchGuard
  • ZscalerZscaler

Uwaga

Cloud Discovery obsługuje zarówno adresy IPv4, jak i IPv6.Cloud Discovery supports both IPv4 and IPv6 addresses.

Jeśli dziennik nie jest obsługiwany lub jeśli używasz nowo wydanego formatu dziennika z jednego z obsługiwanych źródeł danych, a przekazywanie kończy się niepowodzeniem, wybierz opcję inne jako Źródło danych i określ urządzenie i dziennik, który próbujesz przekazać.If your log isn't supported, or if you are using a newly released log format from one of the supported data sources and the upload is failing, select Other as the Data source and specify the appliance and log you're trying to upload. Twój Dziennik zostanie sprawdzony przez zespół analityków chmury Cloud App Security i zostanie wyświetlony monit o dodanie obsługi typu dziennika.Your log will be reviewed by the Cloud App Security cloud analyst team and you'll be notified if support for your log type is added. Alternatywnie można zdefiniować niestandardowy analizator składni zgodny z używanym formatem.Alternatively, you can define a custom parser that matches your format. Aby uzyskać więcej informacji, zobacz Korzystanie z analizatora dzienników niestandardowych.For more information, see Use a custom log parser.

Uwaga

Poniższa lista obsługiwanych urządzeń może nie funkcjonować w przypadku nowo wydanych formatów dzienników.The following list of supported appliances may not work with newly released log formats. Jeśli używasz nowo wydanego formatu, a przekazywanie kończy się niepowodzeniem, Użyj niestandardowego analizatora dzienników i w razie potrzeby Otwórz przypadek pomocy technicznej.If you are using a newly released format and the upload is failing, use a custom log parser and if required, open a support case.

Atrybuty danych (zgodnie z dokumentacją dostawcy):Data attributes (according to vendor documentation):

Źródło danychData source Docelowy adres URL aplikacjiTarget App URL Docelowy adres IP aplikacjiTarget App IP Nazwa użytkownikaUsername Źródłowy adres IPOrigin IP Całkowity ruchTotal traffic Przekazane bajtyUploaded bytes
BarracudaBarracuda TakYes TakYes TakYes TakYes NieNo NieNo
Blue CoatBlue Coat TakYes NieNo TakYes TakYes TakYes TakYes
Check PointCheck Point NieNo TakYes NieNo TakYes NieNo NieNo
Cisco ASA (Dziennik systemowy)Cisco ASA (Syslog) NieNo TakYes NieNo TakYes TakYes NieNo
Cisco ASA z FirePOWERCisco ASA with FirePOWER TakYes TakYes TakYes TakYes TakYes TakYes
Zabezpieczenia sieci Web Cisco CloudCisco Cloud Web Security TakYes TakYes TakYes TakYes TakYes TakYes
Cisco FWSMCisco FWSM NieNo TakYes NieNo TakYes TakYes NieNo
Cisco IronPort WSACisco Ironport WSA TakYes TakYes TakYes TakYes TakYes TakYes
Cisco MerakiCisco Meraki TakYes TakYes NieNo TakYes NieNo NieNo
Clavister NGFW (dziennik systemowy)Clavister NGFW (Syslog) TakYes TakYes TakYes TakYes TakYes TakYes
ContentKeeperContentKeeper TakYes TakYes TakYes TakYes TakYes TakYes
CorrataCorrata TakYes TakYes TakYes TakYes TakYes TakYes
SonicWall (dawniej firma Dell)SonicWall (formerly Dell) TakYes TakYes NieNo TakYes TakYes TakYes
Cyfrowa i wielocyfrowy filtr sztukiDigital Arts i-FILTER TakYes TakYes TakYes TakYes TakYes TakYes
ForcePoint LEEFForcePoint LEEF TakYes TakYes TakYes TakYes TakYes TakYes
ForcePoint Web Security Cloud*ForcePoint Web Security Cloud* TakYes TakYes TakYes TakYes TakYes TakYes
Fortinet FortigateFortinet Fortigate NieNo TakYes NieNo TakYes TakYes TakYes
FortiOSFortiOS TakYes TakYes NieNo TakYes TakYes TakYes
ibossiboss TakYes TakYes TakYes TakYes TakYes TakYes
Juniper SRXJuniper SRX NieNo TakYes NieNo TakYes TakYes TakYes
Juniper SSGJuniper SSG NieNo TakYes TakYes TakYes TakYes TakYes
McAfee SWGMcAfee SWG TakYes NieNo NieNo TakYes TakYes TakYes
Menlo Security (CEF)Menlo Security (CEF) TakYes TakYes TakYes TakYes TakYes TakYes
MS TMGMS TMG TakYes NieNo TakYes TakYes TakYes TakYes
Palo Alto NetworksPalo Alto Networks NieNo TakYes TakYes TakYes TakYes TakYes
SophosSophos TakYes TakYes TakYes TakYes TakYes NieNo
Squid (typowy)Squid (Common) TakYes NieNo TakYes TakYes TakYes NieNo
Squid (natywny)Squid (Native) TakYes NieNo TakYes TakYes NieNo NieNo
StormshieldStormshield NieNo TakYes TakYes TakYes TakYes TakYes
Websense — szczegółowy raport dochodzeniowy (CSV)Websense - Investigative detail report (CSV) TakYes TakYes TakYes TakYes TakYes TakYes
Websense — dziennik działań w Internecie (CEF)Websense - Internet activity log (CEF) TakYes TakYes TakYes TakYes TakYes TakYes
WatchGuardWatchGuard TakYes TakYes TakYes TakYes TakYes TakYes
ZscalerZscaler TakYes TakYes TakYes TakYes TakYes TakYes

* Wersje 8,5 i nowsze z usługi Forcepoint Web Security Cloud nie są obsługiwane* Versions 8.5 and later of Forcepoint Web Security Cloud are not supported

Następne krokiNext steps