Создание моментальных снимков отчетов Cloud Discovery

  • Статья

Важно отправить журнал вручную и позволить Microsoft Defender для облачных приложений проанализировать его, прежде чем пытаться использовать автоматический сборщик журналов. Сведения о том, как работает сборщик журналов и ожидаемый формат журнала, см. в разделе Использование журналов трафика для Cloud Discovery.

Если у вас нет журнала и вы хотите узнать, как он должен выглядеть, скачайте пример файла журнала. Следуйте приведенной ниже процедуре, чтобы увидеть, как должен выглядеть ваш журнал.

Чтобы создать отчет о снимке, выполните указанные ниже действия.

  1. Соберите файлы журналов брандмауэра и прокси-сервера, через которые пользователи этой организации выходят в Интернет. Обязательно собирайте журналы во время пикового трафика, отражающие все действия пользователей в этой организации.

  2. На портале Microsoft Defender в разделе "Облачные приложения" выберите Cloud Discovery.

  3. В правом верхнем углу щелкните "Действия" и выберите "Создать отчет моментального снимка Cloud Discovery".

    Create new snapshot report.

  4. Выберите Далее.

  5. Введите имя отчета и описание.

    New snapshot report.

  6. Выберите Источник из которого вы хотите отправить файлы журнала. Если источник не поддерживается (см . поддерживаемые брандмауэры и прокси-серверы для полного списка), можно создать пользовательский средство синтаксического анализа. Дополнительные сведения см. в статье Использование настраиваемого средства синтаксического анализа журналов

  7. Проверьте, правильно ли отформатирован журнал в соответствии с образцом журнала, который вы можете скачать. В разделе Проверить формат журнала выберите Формат журнала а затем выберите Скачать образец журнала. Сравните свой журнал с предоставленным образцом, чтобы проверить, совместим ли он.

    Verify your log format.

    Примечание.

    Формат примера FTP поддерживается для моментальных снимков и автоматической отправки, а системный журнал — только для автоматической отправки. При скачивании образца журнала будет загружен образец журнала FTP.

  8. Отправьте журналы трафика, которые требуется отправить. Вы можете отправить до 20 файлов одновременно. Также поддерживаются сжатые и заархивированные файлы.

    Upload traffic logs.

  9. Сбор и отправка журналов.

  10. После завершения отправки сообщение о состоянии появится в правом верхнем углу экрана, чтобы узнать, что журнал успешно отправлен.

  11. После отправки файлов журнала потребуется некоторое время для их разбора и анализа. После завершения обработки файлов журналов вы получите электронное письмо с уведомлением об этом.

  12. В строке состояния в верхней части панели мониторинга Cloud Discovery появится баннер с уведомлением. Баннер информирует вас о состоянии обработки файлов журналов. processing log file menu bar.

  13. После успешной отправки журналов вы увидите уведомление о том, что обработка файла журнала успешно завершена. На этом этапе отчет можно просмотреть, выбрав ссылку в строке состояния. Или на портале Microsoft Defender выберите Параметры.

  14. Затем в разделе Cloud Discovery выберите отчеты моментальных снимков и выберите отчет моментального снимка.

    snapshot report management.

Использование журналов трафика для Cloud Discovery

Cloud Discovery использует данные из журналов трафика. Чем подробнее ваш журнал, тем лучше видимость. Для Cloud Discovery требуются данные веб-трафика со следующими атрибутами:

  • Дата транзакции
  • Исходный IP-адрес
  • Исходный пользователь — настоятельно рекомендуется
  • IP-адрес назначения
  • URL-адрес назначения рекомендуется (URL-адреса обеспечивают более точное обнаружение облачных приложений, чем IP-адреса)
  • Общий объем данных (сведения о данных очень ценны)
  • Объем отправленных или скачанных данных (предоставляет сведения о шаблонах использования облачных приложений).
  • Предпринятое действие (разрешено или заблокировано)

Cloud Discovery не может отображать или анализировать атрибуты, не включенные в журналы. Например, журнал стандартного формата брандмауэра Cisco ASA не содержит сведения о количестве отправленных байт на транзакцию, имени пользователя и целевом URL-адресе (передается только целевой IP-адрес). Поэтому эти атрибуты не будут отображаться в данных Cloud Discovery для этих журналов, а видимость облачных приложений будет ограничена. Для межсетевых экранов Cisco ASA необходимо установить информационный уровень 6.

Для успешного создания отчета Cloud Discovery журналы трафика должны соответствовать следующим условиям:

  1. Поддерживаемый источник данных.
  2. Формат журнала соответствует ожидаемому стандартному формату (формат проверяется при загрузке инструментом журнала).
  3. События не старше 90 дней.
  4. Файл журнала действителен и содержит сведения об исходящем трафике.

Следующие шаги

Управление облачными приложениями с помощью политик

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.