使用自定义日志分析程序
注意
我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客。
Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的主场。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps。
Defender for Cloud应用使你可以配置自定义分析程序以匹配和处理日志的格式,以便它们可用于 Cloud Discovery。 如果防火墙或设备不受Defender for Cloud应用显式支持,则通常使用自定义分析程序。 这可以是 CSV 分析程序或自定义键值分析程序。
按如下过程操作后,可以通过自定义分析程序使用来自不受支持的防火墙的日志。
要配置自定义分析程序,请执行以下操作:
在Defender for Cloud应用门户中,选择“发现”,然后创建快照报表。
输入报表名称和说明
在 “源”下,选择“ 自定义日志格式...”。
从组织用户用来访问 Internet 的防火墙和代理收集日志。 请确保在峰值流量的时段收集日志,这代表组织中的所有用户活动。
在文本编辑器中打开要处理的日志。 检查其格式,确保日志中的列名称对应于“自定义日志格式”屏幕中的字段。
然后,根据数据填写字段,以描述数据中哪些列与 Defender for Cloud Apps 中的特定字段相关联。 为了正确关联,可能需要修改日志文件中的列名称。
注意
字段区分大小写。 请确保在 Defender for Cloud Apps 和日志文件中拼写并键入列的名称。 此外,还请确保选择的日期格式也完全相同。
选择“保存”。 配置的自定义日志格式将另存为默认自定义分析程序。 可以随时单击“编辑”来进行编辑。
在Upload流量日志下,选择修改的日志文件并将其上传。 一次最多可以上传 20 个文件。 此外,还支持压缩文件和 zip 文件。
选择Upload日志。
上传完成后,状态消息将显示在屏幕右上角,告知你日志已成功上传。
上传日志文件后,需要一些时间对其进行解析和分析。 日志文件处理完成后,将收到一封电子邮件,通知日志文件已处理完成。
通知横幅将显示在“Cloud Discovery”仪表板顶部的状态栏中。 横幅将通知日志文件的最新处理状态。
成功上传日志后,应该会看到一条通知,告知日志文件处理已成功完成。 此时可通过单击状态栏中的链接,或转到“设置”齿轮图标并选择“Cloud Discovery 设置”来查看报表。
然后选择“管理快照报表”,并选择快照报表。
后续步骤
若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证。