Настройка Cloud Discovery
Cloud Discovery анализирует журналы трафика в каталоге приложений Microsoft Defender для облака более 31 000 облачных приложений. Приложения ранжируются и оцениваются на основе более чем 90 факторов риска, чтобы обеспечить постоянную видимость облачного использования, теневого ИТ-решения и риска, который представляет собой теневой ИТ в вашей организации.
Совет
По умолчанию Defender для облака приложения не могут обнаруживать приложения, не входящие в каталог.
Чтобы просмотреть данные Defender для облака Приложения для приложения, которое сейчас не находится в каталоге, рекомендуется проверка нашей стратегии) или создать пользовательское приложение.
Моментальные снимки и непрерывные отчеты об оценке рисков
Вы можете создать следующие типы отчетов:
Моментальные отчеты позволяют динамически контролировать набор журналов трафика, которые вы отправляете вручную из брандмауэров и с прокси-серверов.
Непрерывные отчеты— анализ всех журналов, пересылаемых из сети с помощью Defender для облака приложений. Они обеспечивают улучшенную видимость всех данных и автоматически определяют аномальное использование либо с помощью механизма обнаружения аномалий машинного обучения, либо с помощью определяемых вами настраиваемых политик. Эти отчеты могут быть созданы путем подключения следующими способами:
- Microsoft Defender для конечной точки интеграции: Defender для облака приложения интегрируются с Defender для конечной точки в собственном коде, упрощают развертывание Cloud Discovery, расширяют возможности Cloud Discovery за пределами корпоративной сети и позволяют выполнять исследование на основе компьютеров.
- Сборщики журналируемых данных. Позволяют легко автоматизировать отправку журналов из сети. Сборщик журналов работает в сети и получает журналы через Syslog или FTP.
- Безопасный веб-шлюз (SWG): если вы работаете с приложениями Defender для облака и одним из следующих SWG, вы можете интегрировать продукты для повышения качества работы с безопасностью Cloud Discovery. Defender для облачных приложений и безопасные веб-шлюзы вместе обеспечивают простое развертывание Cloud Discovery, автоматическую блокировку несанкционированных приложений и оценку рисков непосредственно на портале безопасных веб-шлюзов.
API Cloud Discovery— используйте API cloud Discovery Defender для облака Apps Cloud Discovery для автоматизации отправки журнала трафика и получения автоматизированного отчета об облачных обнаружениях и оценки рисков. Вы также можете использовать API для создания сценариев блокировки и упрощения управления приложениями непосредственно на сетевом устройстве.
Журнал рабочего потока: от необработанных данных до оценки рисков
Процесс создания оценки риска состоит из следующих шагов. Процесс занимает от нескольких минут до нескольких часов в зависимости от объема обрабатываемых данных.
Отправка — веб-журналы трафика из сети передаются на портал.
Синтаксический анализ — Defender для облака приложения анализирует и извлекает данные трафика из журналов трафика с выделенным средством синтаксического анализа для каждого источника данных.
Анализ — данные трафика анализируются в каталоге облачных приложений, чтобы определить более 31 000 облачных приложений и оценить их оценку риска. В рамках анализа также определяются активные пользователи и IP-адреса.
Создание отчета — отчет оценки рисков создается на основе данных, извлеченных из файлов журналов.
Примечание.
Данные обнаружения анализируются и обновляются четыре раза в день.
Поддерживаемые брандмауэры и прокси-серверы
- Barracuda — брандмауэр веб-приложений (W3C)
- Blue Coat Proxy SG — журнал доступа (W3C)
- Check Point
- Cisco Active Server Application с FirePOWER
- Брандмауэр Cisco ASA Firewall (для брандмауэров Cisco ASA необходимо задать уровень информации 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki — журнал URL-адресов
- Clavister NGFW (Syslog)
- ContentKeeper
- Коррата
- Digital Arts i-FILTER
- Forcepoint
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Безопасный веб-шлюз Open Systems
- Брандмауэр из серии Palo Alto
- Sonicwall (прежнее название — Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Squid (Common)
- Squid (Native)
- Stormshield
- Wandera
- WatchGuard
- Websense — Web Security Solutions — отчет об интернет-активности (CEF)
- Websense — Web Security Solutions — подробный отчет для проведения расследований (CSV)
- Zscaler
Примечание.
Cloud Discovery поддерживает адреса IPv4 и IPv6.
Если журнал не поддерживается, или если вы используете только что выпущенный формат журнала из одного из поддерживаемых источников данных и отправка завершается ошибкой, выберите "Другой" в качестве источника данных и укажите (модуль) и журнал, который вы пытаетесь отправить. Журнал будет проверен группой аналитиков облачных приложений Defender для облака, и вы получите уведомление, если добавлена поддержка типа журнала. Также можно определить пользовательское средство синтаксического анализа, которое соответствует вашему формату. Дополнительные сведения см. в статье Использование настраиваемого средства синтаксического анализа журналов
Примечание.
Следующий список поддерживаемых (модуль) может не работать с новыми форматами журналов. Если вы используете только что выпущенный формат и отправка завершается ошибкой, используйте пользовательский средство синтаксического анализа журналов и при необходимости откройте вариант поддержки. Если вы открываете вариант поддержки, укажите соответствующую документацию по брандмауэру в вашем случае.
Атрибуты данных (в соответствии с документацией поставщика):
| Источник данных | Целевой URL-адрес приложения | Целевой IP-адрес приложения | Username | Исходный IP-адрес | Общий трафик | Отправлено байтов |
|---|---|---|---|---|---|---|
| Barracuda | Да | Да | Да | Да | No | No |
| Blue Coat | Да | No | Да | Да | Да | Да |
| Check Point | No | Да | No | Да | No | No |
| Cisco ASA (Syslog) | No | Да | No | Да | Да | Нет |
| Cisco Active Server Application с FirePOWER | Да | Да | Да | Да | Да | Да |
| Cisco Cloud Web Security | Да | Да | Да | Да | Да | Да |
| Cisco FWSM | No | Да | No | Да | Да | Нет |
| Cisco Ironport WSA | Да | Да | Да | Да | Да | Да |
| Cisco Meraki | Да | Да | No | Да | No | No |
| Clavister NGFW (Syslog) | Да | Да | Да | Да | Да | Да |
| ContentKeeper | Да | Да | Да | Да | Да | Да |
| Коррата | Да | Да | Да | Да | Да | Да |
| Digital Arts i-FILTER | Да | Да | Да | Да | Да | Да |
| ForcePoint LEEF | Да | Да | Да | Да | Да | Да |
| Cloud ForcePoint Web Security* | Да | Да | Да | Да | Да | Да |
| Fortinet Fortigate | No | Да | Да | Да | Да | Да |
| FortiOS | Да | Да | No | Да | Да | Да |
| iboss | Да | Да | Да | Да | Да | Да |
| Juniper SRX | No | Да | No | Да | Да | Да |
| Juniper SSG | No | Да | Да | Да | Да | Да |
| McAfee SWG | Да | No | No | Да | Да | Да |
| Menlo Security (CEF) | Да | Да | Да | Да | Да | Да |
| MS TMG | Да | No | Да | Да | Да | Да |
| Безопасный веб-шлюз Open Systems | Да | Да | Да | Да | Да | Да |
| Palo Alto Networks | No | Да | Да | Да | Да | Да |
| SonicWall (прежнее название — Dell) | Да | Да | No | Да | Да | Да |
| Sophos | Да | Да | Да | Да | Да | Нет |
| Squid (Common) | Да | No | Да | Да | Да | Нет |
| Squid (Native) | Да | No | Да | Да | No | No |
| Stormshield | No | Да | Да | Да | Да | Да |
| Wandera | Да | Да | Да | Да | Да | Да |
| WatchGuard | Да | Да | Да | Да | Да | Да |
| Websense — журнал интернет-активности (CEF) | Да | Да | Да | Да | Да | Да |
| Websense — анализ подробного отчета (CSV) | Да | Да | Да | Да | Да | Да |
| Zscaler | Да | Да | Да | Да | Да | Да |
* Версии 8.5 и более поздних версий Cloud ForcePoint Web Security Не поддерживаются
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по