Configurar o Cloud Discovery

Observação

  • Renomeamos Microsoft Cloud App Security. Agora se chama Microsoft Defender para Aplicativos de Nuvem. Nas próximas semanas, atualizaremos as capturas de tela e as instruções aqui e nas páginas relacionadas. Para obter mais informações sobre a alteração, consulte este comunicado. Para saber mais sobre a renomeação recente dos serviços de segurança da Microsoft, consulte o blog do Microsoft Ignite Security.

  • Microsoft Defender para Aplicativos de Nuvem agora faz parte do Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem suas tarefas de segurança em um local. Isso simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorar e gerenciar a segurança em suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft. Para obter mais informações sobre essas alterações, consulte Microsoft Defender para Aplicativos de Nuvem no Microsoft 365 Defender.

O Cloud Discovery analisa seus logs de tráfego no catálogo Microsoft Defender para Aplicativos de Nuvem de mais de 25.000 aplicativos de nuvem. Os aplicativos são classificados e pontuados com base em mais de 90 fatores de risco para fornecer visibilidade contínua sobre o uso da nuvem, a TI sombra e o risco que a TI sombra representa em sua organização.

Relatórios contínuo e de instantâneo de avaliação de riscos

Você pode gerar os seguintes tipos de relatórios:

  • Relatórios de instantâneo – fornecem visibilidade ad hoc em um conjunto de logs de tráfego cujo upload é feito manualmente dos seus firewalls e proxies.

  • Relatórios contínuos – analisar todos os logs que são encaminhados da rede usando Defender para Nuvem Aplicativos. Eles oferecem maior visibilidade em todos os dados e identificam automaticamente usos anormais com o mecanismo de detecção de anomalias do Machine Learning ou por meio de políticas personalizadas que você definir. Esses relatórios podem ser criados conectando-se das seguintes maneiras:

    • Microsoft Defender para Ponto de Extremidade integração: Defender para Nuvem Apps se integra ao Defender para Ponto de Extremidade nativamente, para simplificar a distribuição do Cloud Discovery, estender os recursos do Cloud Discovery para além da rede corporativa e habilitar a investigação baseada em computador.
    • Coletor de logs: os coletores de log permitem automatizar facilmente o upload de log da rede. O coletor de log é executado em sua rede e recebe logs por Syslog ou FTP.
    • SWG (Secure Web Gateway): se você trabalha com aplicativos Defender para Nuvem e um dos seguintes SWGs, você pode integrar os produtos para aprimorar sua experiência de descoberta de nuvem de segurança. Juntos, o Defender para Aplicativos de Nuvem e os SWGs proporcionam uma implantação perfeita do Cloud Discovery, o bloqueio automático de aplicativos não sancionados e a avaliação de riscos diretamente no portal do SWG.
  • API do Cloud Discovery – Use a API do Defender para Nuvem Apps Cloud Discovery para automatizar o upload de log de tráfego e obter relatórios e avaliações de risco automatizadas do Cloud Discovery. Você também pode usar a API para gerar scripts de bloco e simplificar controles de aplicativo diretamente para seu dispositivo de rede.

Fluxo do processo de log: dos dados brutos a avaliação de riscos

O processo de geração de uma avaliação de riscos consiste nas seguintes etapas. O processo leva de alguns minutos a várias horas, dependendo da quantidade de dados processados.

  • Carregar – os logs do tráfego da Web da sua rede são carregados no portal.

  • Análise – Defender para Nuvem Apps analisa e extrai dados de tráfego dos logs de tráfego com um analisador dedicado para cada fonte de dados.

  • Analisar – Os dados de tráfego são analisados no Catálogo de Aplicativos na Nuvem para identificar mais de 25.000 aplicativos de nuvem e avaliar sua pontuação de risco. Usuários ativos e endereços IP também são identificados como parte da análise.

  • Gerar relatório – Um relatório de avaliação de risco dos dados extraídos dos arquivos de log é gerado.

Observação

Os dados de descoberta são analisados e atualizados quatro vezes por dia.

Firewalls e proxies com suporte

  • Barracuda – firewall do aplicativo Web (W3C)
  • Blue Coat Proxy SG – log de acesso (W3C)
  • Ponto de Verificação
  • Cisco ASA com FirePOWER
  • Firewall Cisco ASA (Para firewalls Cisco ASA, é necessário definir o nível de informações como 6)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – log de URLs
  • Clavister NGFW (Syslog)
  • ContentKeeper
  • Corrata
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee Secure Web Gateway
  • Menlo Security (CEF)
  • Microsoft Forefront Threat Management Gateway (W3C)
  • Open Systems Secure Web Gateway
  • Firewall da série Palo Alto
  • Sonicwall (anteriormente conhecido como Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • Squid (comum)
  • Squid (nativo)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense – soluções de segurança da Web – log de atividades de Internet (CEF)
  • Websense – soluções de segurança da Web – relatório de detalhes de investigação (CSV)
  • Zscaler

Observação

O Cloud Discovery oferece suporte a endereços IPv4 e IPv6.

Se o log não tiver suporte ou se você estiver usando um formato de log recém-lançado de uma das fontes de dados com suporte e o carregamento estiver falhando, selecione Outro como a fonte de dados e especifique o dispositivo e o log que você está tentando carregar. Seu log será revisado pela equipe de analistas de nuvem do Defender para Nuvem Apps e você será notificado se o suporte ao seu tipo de log for adicionado. Como alternativa, você pode definir um analisador personalizado que corresponda ao seu formato. Para obter mais informações, consulte Usar um analisador de log personalizado.

Observação

A lista a seguir de dispositivos com suporte pode não funcionar com formatos de log recém-lançados. Se você estiver usando um formato recém-lançado e o upload estiver falhando, use um analisador de log personalizado e, se necessário, abra um caso de suporte.

Atributos de dados (de acordo com a documentação do fornecedor):

Fonte de dados URL do aplicativo de destino IP do aplicativo de destino Nome de Usuário IP de Origem Tráfego total Bytes carregados
Barracuda Sim Sim Sim Sim Não Não
Blue Coat Sim Não Sim Sim Sim Sim
Ponto de Verificação Não Sim Não Sim Não Não
Cisco ASA (Syslog) Não Sim Não Sim Sim Não
Cisco ASA com FirePOWER Sim Sim Sim Sim Sim Sim
Cisco Cloud Web Security Sim Sim Sim Sim Sim Sim
Cisco FWSM Não Sim Não Sim Sim Não
Cisco Ironport WSA Sim Sim Sim Sim Sim Sim
Cisco Meraki Sim Sim Não Sim Não Não
Clavister NGFW (Syslog) Sim Sim Sim Sim Sim Sim
ContentKeeper Sim Sim Sim Sim Sim Sim
Corrata Sim Sim Sim Sim Sim Sim
Digital Arts i-FILTER Sim Sim Sim Sim Sim Sim
ForcePoint LEEF Sim Sim Sim Sim Sim Sim
Nuvem de segurança da Web do ForcePoint* Sim Sim Sim Sim Sim Sim
Fortinet Fortigate Não Sim Sim Sim Sim Sim
FortiOS Sim Sim Não Sim Sim Sim
iboss Sim Sim Sim Sim Sim Sim
Juniper SRX Não Sim Não Sim Sim Sim
Juniper SSG Não Sim Sim Sim Sim Sim
McAfee SWG Sim Não Não Sim Sim Sim
Segurança menlo (CEF) Sim Sim Sim Sim Sim Sim
MS TMG Sim Não Sim Sim Sim Sim
Open Systems Secure Web Gateway Sim Sim Sim Sim Sim Sim
Redes Palo Alto Não Sim Sim Sim Sim Sim
SonicWall (anteriormente conhecido como Dell) Sim Sim Não Sim Sim Sim
Sophos Sim Sim Sim Sim Sim Não
Squid (comum) Sim Não Sim Sim Sim Não
Squid (nativo) Sim Não Sim Sim Não Não
Stormshield Não Sim Sim Sim Sim Sim
Wandera Sim Sim Sim Sim Sim Sim
WatchGuard Sim Sim Sim Sim Sim Sim
Websense – log de atividades de Internet (CEF) Sim Sim Sim Sim Sim Sim
Websense – Relatório de detalhes investigativo (CSV) Sim Sim Sim Sim Sim Sim
Zscaler Sim Sim Sim Sim Sim Sim

* As versões 8.5 e posteriores do ForcePoint Web Security Cloud não têm suporte

Próximas etapas