Konfigurieren von Cloud Discovery in Microsoft Defender for Cloud Apps

Cloud Discovery analysiert Ihre Datenverkehrsprotokolle mit dem Defender for Cloud Apps-Katalog von mehr als 25.000 Cloud-Apps. Anschließend werden die Apps anhand von mehr als 90 Risikofaktoren bewertet und bewertet. Dieses Design bietet Ihnen einen kontinuierlichen Einblick in die Cloudnutzung, die Schatten-IT und das Risiko, das die Schatten-IT für Ihre Organisation darstellt.

Cloud Discovery-Berichte

Organisationen können die folgenden Arten von Berichten in Cloud Discovery generieren:

• Momentaufnahmeberichte. Bietet Ad-hoc-Sichtbarkeit für eine Reihe von Datenverkehrsprotokollen, die Sie manuell aus Ihren Firewalls und Proxys hochladen.
• Kontinuierliche Berichte. Cloud Discovery analysiert alle Protokolldateien, die von Ihrem Netzwerk weitergeleitet werden, mithilfe von Microsoft Defender for Cloud Apps. Die Protokolle bieten einen verbesserten Einblick in alle Daten. Sie identifizieren anomale Verwendungen automatisch mithilfe der Machine Learning-Engine für die Anomalieerkennung oder mithilfe von benutzerdefinierten Richtlinien, die Sie definieren. Das System kann diese Berichte auf folgende Weise erstellen:
  • Integration von Microsoft Defender for Endpoint. Microsoft Defender for Cloud Apps lässt sich nativ in Microsoft Defender for Endpoint integrieren. Diese Integration:
    • Vereinfacht das Rollout von Cloud Discovery.
    • Erweitert Cloud Discovery-Funktionen über Ihr Unternehmensnetzwerk hinaus.
    • Ermöglicht die computerbasierte Untersuchung.
  • Protokollsammler. Mithilfe von Protokollsammlern können Sie das Hochladen von Protokollen aus Ihrem Netzwerk ganz einfach automatisieren. Der Protokollsammler läuft auf Ihrem Netzwerk und erhält Protokolle über Syslog oder FTP.
  • Secure Web Gateway (SWG). Wenn ein organization Microsoft Defender for Cloud Apps und Secure Web Gateway integriert, ermöglicht die Integration eine nahtlose Bereitstellung von Cloud Discovery, die automatische Blockierung nicht genehmigter Apps und die Risikobewertung direkt im SWG-Portal. Wenn Sie sowohl mit Microsoft Defender for Cloud Apps als auch mit einer der folgenden SWGs arbeiten, können Sie die Produkte integrieren, um Ihre Sicherheit bei Cloud Discovery zu verbessern:
    • Zscaler-Integration
    • iboss-Integration
    • Corrata-Integration
    • Menlo Security-Integration
• Berichte, die mit der Cloud Discovery-API erstellt wurden. Verwenden Sie die Cloud Discovery-API, um den Upload von Datenverkehrsprotokollen zu automatisieren und einen automatischen Cloud Discovery-Bericht und eine Risikobewertung zu erstellen. Sie können die API auch verwenden, um Blockskripte zu generieren und die Steuerung von Anwendungen direkt auf Ihrer Netzwerk-Appliance zu optimieren.

Protokollprozessfluss: Von Rohdaten zur Risikobewertung

Der Prozess der Generierung einer Risikobewertung besteht aus den folgenden Schritten.

1. Hochladen. Microsoft Defender for Cloud Apps lädt die Webdatenverkehrsprotokolle aus Ihrem Netzwerk in das Portal hoch.

2. Parse. Microsoft Defender for Cloud Apps analysiert und extrahiert Datenverkehrsdaten aus den Datenverkehrsprotokollen mit einem dedizierten Parser für jede Datenquelle.

3. Analysieren. Cloud Discovery analysiert Datenverkehrsdaten anhand des Cloud-App-Katalogs. Dieser Prozess ermöglicht es, mehr als 25.000 Cloud-Apps zu identifizieren und deren Risikobewertung zu bewerten. Diese Analyse identifiziert auch aktive Benutzer und IP-Adressen.

   Hinweis

   Cloud Discovery analysiert und aktualisiert die extrahierten Protokolldateidaten viermal täglich.

4. Bericht generieren. Cloud Discovery generiert einen Risikobewertungsbericht basierend auf den extrahierten Protokolldateidaten.

Der Vorgang dauert je nach der Menge der verarbeiteten Daten zwischen einigen Minuten und mehreren Stunden.

Verwenden von Datenverkehrsprotokollen für Cloud Discovery

Cloud-Entdecken verwendet die Daten in Ihrem Datenverkehrsprotokollen. Je detaillierter Ihr Protokoll ist, desto besser ist die Sichtbarkeit, die Sie erhalten. Cloud Discovery erfordert Webdatenverkehr mit den folgenden Attributen:

• Datum der Transaktion
• Quell-IP
• Quell-Benutzer – sehr empfohlen
• Ziel-IP-Adresse
• Ziel-URL empfohlen (URLs ermöglichen eine höhere Genauigkeit für Cloud App Discovery als IP-Adressen)
• Gesamtmenge der Daten (Dateninformationen sind sehr wertvoll)
• Menge der hochgeladenen/heruntergeladenen Daten (bietet Einblicke in Nutzungsmuster von Cloud-Apps)
• Ergriffene Aktion (erlaubt/blockiert)

Cloud Discovery kann nur die attribute anzeigen und analysieren, die in Datenverkehrsprotokollen enthalten sind. Das Standardprotokollformat von Cisco ASA Firewall enthält beispielsweise nicht die folgenden Attribute: die Anzahl der hochgeladenen Bytes pro Transaktion, Benutzername und Ziel-URL (nur Ziel-IP). Daher enthalten die Daten in den Datenverkehrsprotokollen einer organization, die Von Cloud Discovery verwendet werden, diese Attribute nicht. Dieser Mangel an Daten schränkt die Sichtbarkeit der organization in seine Cloud-Apps ein. Für Cisco ASA-Firewalls muss die Informationsebene auf 6 festgelegt werden.

Damit ein Cloud Discovery-Bericht erfolgreich generiert werden kann, müssen Die Datenverkehrsprotokolle die folgenden Bedingungen erfüllen:

• Cloud Discovery unterstützt die Datenquelle Ihrer Datenverkehrsprotokolle. Wenn Cloud Discovery Ihre Datenquelle nicht unterstützt, können Sie einen benutzerdefinierten Parser definieren, der Ihrem Format entspricht. Weitere Informationen zu unterstützten Datenquellen finden Sie unter Einrichten von Cloud Discovery.
• Das Protokollformat entspricht dem erwarteten Standardformat (Format, das beim Hochladen durch das Protokolltool überprüft wird).
• Ereignisse sind nicht mehr als 90 Tage alt.
• Die Protokolldatei ist gültig und enthält Informationen zum ausgehenden Datenverkehr.

Erstellen von Cloud Discovery-Momentaufnahmeberichten

Es ist wichtig, ein Protokoll manuell hochzuladen und es von Microsoft Defender for Cloud Apps analysieren zu lassen, bevor Sie versuchen, den automatischen Protokollsammler zu verwenden. Informationen zur Funktionsweise des Protokollsammlers und zum erwarteten Protokollformat finden Sie unter Verwenden von Datenverkehrsprotokollen für Cloud Discovery.

Wenn Sie ein Beispiel dafür sehen möchten, wie eine Protokolldatei aussieht, aber noch keine Protokolldatei vorhanden ist, laden Sie eine Beispielprotokolldatei herunter. Führen Sie das folgende Verfahren aus, um zu sehen, wie Ihr Protokoll aussehen sollte.

Führen Sie die folgenden Schritte aus, um einen Momentaufnahmebericht zu erstellen:

1. Sammeln Sie Protokolldateien von Ihrer Firewall und Ihrem Proxy, über die Benutzer in Ihrer Organisation auf das Internet zugreifen.

   Wichtig

   Stellen Sie sicher, dass Sie Protokolle zu Spitzenzeiten des Datenverkehrs sammeln, die für alle Benutzeraktivitäten in Ihrer Organisation repräsentativ sind.

2. Wählen Sie im Microsoft Defender-Portal im linken Navigationsbereich Einstellungen aus.

3. Wählen Sie auf der Seite Einstellungen in der Liste der Einstellungen die Option Cloud-Apps aus.

4. Auf der Seite Einstellungen | Seite "Cloud-Apps " wählen Sie im mittleren Navigationsbereich im Abschnitt Cloud Discoverydie Option Momentaufnahmeberichte aus.

5. Wählen Sie auf der Seite Momentaufnahmeberichtedie Option +Momentaufnahme Bericht erstellen aus. Mit dieser Option wird der Assistent zum Erstellen neuer Cloud Discovery-Momentaufnahme-Berichte initiiert.

   

6. Wählen Sie im Assistenten neue Cloud Discovery-Momentaufnahme Bericht erstellen auf der Seite Übersicht die Option Weiter aus.

7. Geben Sie auf der Seite Berichtsdetails einen Berichtsnamen und eine optionale Beschreibung ein.

   

8. Wählen Sie die Quelle aus, aus der Sie die Protokolldateien hochladen möchten.

9. Überprüfen Sie Ihr Protokollformat, um eine ordnungsgemäße Formatierung gemäß dem Beispielprotokoll sicherzustellen, das Sie herunterladen können. Wählen Sie unter Protokollformat überprüfen, Protokollformat anzeigen dann Beispielprotokoll herunterladen aus. Vergleichen Sie Ihr Protokoll mit dem bereitgestellten Beispiel, um sicherzustellen, dass es kompatibel ist.

   

   Momentaufnahmen und automatisierter Upload unterstützen das FTP-Protokollformat. Im Vergleich dazu ist die einzige Datenquelle, die das Syslog-Format unterstützt, der automatisierte Upload. Beim Herunterladen eines Beispielprotokolls wird ein FTP-Beispielprotokoll heruntergeladen.

10. Wählen Sie auf der Seite Datenverkehrsprotokolle hochladen die Schaltfläche Durchsuchen und dann die hochzuladenden Protokolldateien aus. Sie können bis zu 20 Dateien gleichzeitig hochladen. Der Uploadprozess unterstützt auch komprimierte und gezippte Dateien.

    

11. Wählen Sie Protokolle hochladen aus.

12. Nach Abschluss des Uploads wird in der oberen rechten Ecke des Bildschirms eine status Meldung angezeigt, die auf einen erfolgreichen Upload hinweist.

13. Nachdem Sie Ihre Protokolldateien hochgeladen haben, kann es einige Zeit dauern, bis Cloud Discovery sie analysiert und analysiert hat. Nach Abschluss der Verarbeitung Ihrer Protokolldateien sollten Sie eine E-Mail erhalten, die Sie darüber informiert, dass Cloud Discovery die Analyse abgeschlossen hat.

14. Ein Benachrichtigungsbanner wird in der status leiste oben auf der Seite angezeigt. Das Banner aktualisiert Sie mit dem Verarbeitungsstatus Ihrer Protokolldateien.

    

15. Nachdem die Datenverkehrsprotokolle erfolgreich hochgeladen wurden, sollte eine Benachrichtigung angezeigt werden, die Sie darüber informiert, dass die Protokolldateiverarbeitung erfolgreich abgeschlossen wurde. An diesem Punkt können Sie den Bericht auf der Seite Momentaufnahmeberichte anzeigen.

Automatischen Protokollupload für fortlaufende Berichte konfigurieren

Mithilfe von Protokollsammlern können Sie das Hochladen von Protokollen aus Ihrem Netzwerk ganz einfach automatisieren. Der Protokollsammler läuft auf Ihrem Netzwerk und erhält Protokolle über Syslog oder FTP. Anschließend wird jedes Protokoll automatisch verarbeitet, komprimiert und an das Portal übertragen. Der Protokollsammler lädt FTP-Protokolle in Microsoft Defender for Cloud Apps hoch, nachdem die Datei die FTP-Übertragung an den Protokollsammler abgeschlossen hat. Für Syslog schreibt der Protokollsammler die empfangenen Protokolle auf den Datenträger. Anschließend lädt der Collector die Datei in Microsoft Defender for Cloud Apps hoch, wenn die Dateigröße größer als 40 KB ist.

Sobald der Uploadvorgang abgeschlossen ist, verschiebt Microsoft Defender for Cloud Apps das Protokoll in ein Sicherungsverzeichnis. Das Backup-Verzeichnis speichert die letzten 20 Protokolle. Wenn neue Protokolle eingehen, löscht das System die alten Protokolle. Wenn der Speicherplatz des Protokollsammlers voll wird, dann wird er neue Protokolle verwerfen, bis er über mehr freien Speicherplatz verfügt. Sie sollten eine Warnung auf der Registerkarte Protokollsammler der Einstellungen Protokolle automatisch hochladen erhalten, wenn dieses Szenario eintritt.

Überprüfen Sie vor dem Einrichten der automatischen Protokolldateisammlung, ob Ihr Protokoll mit dem erwarteten Protokolltyp übereinstimmt. Sie möchten sicherstellen, dass Defender for Cloud Apps Ihre spezifische Datei analysieren kann. Weitere Informationen finden Sie unter Verwenden von Datenverkehrsprotokollen für Cloud Discovery.

Der Protokollsammler komprimiert Die Daten vor dem Hochladen. Der ausgehende Datenverkehr auf dem Protokollsammler beträgt 10 % der Größe der empfangenen Datenverkehrsprotokolle. Wenn beim Protokollsammler Probleme auftreten, werden möglicherweise keine Daten hochgeladen. Wenn Microsoft Defender for Cloud Apps 48 Stunden lang keine Daten empfängt, erhalten Sie eine Warnung.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.