建立 Cloud Discovery 報告
請手動上傳記錄,並讓 Microsoft Defender for Cloud Apps 先剖析記錄,再嘗試使用自動記錄收集器。 如需記錄收集器的運作方式和預期的記錄檔案格式資訊,請參閱 使用 Cloud Discovery 的流量記錄。
如果還沒有記錄,而您想要查看記錄應有的外觀範例,請下載範例記錄檔。 請遵循下列程序以查看您的記錄外觀。
若要建立快照集報告:
從貴組織中的使用者存取網路的防火牆和 Proxy 來收集記錄檔。 請務必在尖峰流量期間收集可代表貴組織中所有使用者活動的記錄。
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [雲端探索]。
在右上角,下拉 [ 動作],然後選取 [ 建立 Cloud Discovery 快照集報告]。
選取 [下一步]。
輸入報告名稱和描述。
選取您想要從中上傳記錄檔案的 資料來源。 如果您的來源不受支援(請參閱 完整清單支援的防火牆和 Proxy ),您可以建立自定義剖析器。 如需詳細資訊,請參閱使用自訂記錄檔剖析器。
確認您的記錄格式,確定該記錄已根據您可以下載的範例記錄進行適當格式化設定。 在 驗證您的記錄格式 底下,選取 檢視記錄格式,然後選取下載範例記錄。 比較您的記錄與提供的範例,以確保格式是相容的。
注意
快照集和自動上傳支援 FTP 範例格式,但只有自動上傳支援 Syslog。 下載範例記錄將會下載範例 FTP 記錄。
上傳您想要上傳的流量記錄 。 您一次最多可以上傳 20 個檔案。 已壓縮的和壓縮檔也支援使用。
選取 上傳記錄。
上傳完成之後,狀態消息會出現在畫面右上角,讓您知道記錄已成功上傳。
上傳記錄檔案之後,會需要一些時間來剖析及分析這些檔案。 完成記錄檔的處理之後,您會收到一封電子郵件通知您已完成。
[Cloud Discovery 儀表板] 頂端的狀態列會顯示通知橫幅。 通知橫幅會更新記錄檔的處理狀態。
成功上傳記錄之後,您應該會看到一個讓您知道該記錄檔處理已順利完成的通知。 此時,您可以選取狀態列中的連結來檢視報表。 或者,在 Microsoft Defender 入口網站中,選取 [設定]。
然後在 [Cloud Discovery] 底下,選取 [快照集報表],然後選取您的快照集報表。
使用 Cloud Discovery 流量記錄
Cloud Discovery 會使用流量記錄中的資料。 您的記錄越詳細,您的可見度就越高。 Cloud Discovery 需要具有下列屬性的網路流量資料:
- 交易日期
- 來源 IP
- 來源使用者 - 強烈建議
- 目的地 IP 位址
- 建議使用目的地 URL (URL 所提供的雲端應用程式偵測正確性高於 IP 位址)
- 資料總量 (資料資訊是非常寶貴的)
- 上傳或下載的資料量 (提供雲端應用程式的使用方式模式的深入解析)
- 採取的動作 (允許/封鎖)
Cloud Discovery 無法顯示或分析您記錄中未包含的屬性。 例如,Cisco ASA 防火牆標準記錄格式未包含每筆交易的上傳位元組數、使用者名稱和目標 URL (僅限目標 IP)。 因此,這些屬性不會在這些記錄的 Cloud Discovery 資料中顯示,而且雲端應用程式的可見度也會受到限制。 對於 Cisco ASA 防火牆,需要將資訊層級設定為 6。
若要成功產生 Cloud Discovery 報告,您的流量記錄必須符合下列條件:
- 可支援資料來源。
- 記錄格式符合預期的標準格式 (檔案格式會在透過 [記錄] 工具上傳時進行檢查)。
- 活動的時間不超過 90 天。
- 記錄檔有效且包含輸出流量資訊。
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。