Configurar Cloud Discovery de Microsoft Defender for Cloud Apps

Cloud Discovery analiza los registros de tráfico en el catálogo de Defender for Cloud Apps de más de 25 000 aplicaciones en la nube. A continuación, clasifica y puntua las aplicaciones en función de más de 90 factores de riesgo. Este diseño proporciona visibilidad continua sobre el uso de la nube, Shadow IT y el riesgo que Shadow IT supone para su organización.

Informes de Cloud Discovery

Las organizaciones pueden generar los siguientes tipos de informes en Cloud Discovery:

• Informes de instantáneas Proporciona visibilidad ad hoc en un conjunto de registros de tráfico que se cargan manualmente desde los firewalls y servidores proxy.
• Informes continuos Cloud Discovery analiza todos los archivos de registro reenviados desde la red mediante Microsoft Defender for Cloud Apps. Los registros proporcionan una visibilidad mejorada sobre todos los datos. Identifican automáticamente el uso anómalo mediante el motor de detección de anomalías de Machine Learning o mediante directivas personalizadas que defina. El sistema puede crear estos informes de las siguientes maneras:
  • Integración de Microsoft Defender para punto de conexión Microsoft Defender for Cloud Apps se integra de forma nativa con Microsoft Defender para punto de conexión. Esta integración:
    • Simplifica el lanzamiento de Cloud Discovery.
    • Amplía las funcionalidades de Cloud Discovery más allá de la red corporativa.
    • Permite la investigación basada en máquinas.
  • Recopilador de registros Los recopiladores de registros permiten automatizar fácilmente la carga de registros desde la red. El registro se ejecuta en su red y recibe registros a través de Syslog o FTP.
  • Puerta de enlace web segura (SWG). Cuando una organización integra Microsoft Defender for Cloud Apps y Secure Web Gateway, la integración proporciona una implementación perfecta de Cloud Discovery, bloqueo automático de aplicaciones no autorizadas y evaluación de riesgos directamente en el portal de SWG. Si trabaja con Aplicaciones de Microsoft Defender para la nube y con uno de los siguientes SWG, puede integrar los productos para mejorar su experiencia de Cloud Discovery de seguridad:
    • Integración de Zscaler
    • Integración de iboss
    • Integración de Corrata
    • Integración de seguridad de Menlo
• Informes creados mediante la API de Cloud Discovery. Use la API de Cloud Discovery para automatizar la carga de registros de tráfico y generar un informe de Cloud Discovery automatizado y una evaluación de riesgos. También puede usar la API para generar scripts de bloqueo y simplificar los controles de aplicación directamente en el dispositivo de red.

Flujo de proceso de registro: de datos sin procesar a evaluación de riesgos

El proceso de generación de una evaluación de riesgos consta de los pasos siguientes.

1. Cargar. Microsoft Defender for Cloud Apps carga los registros de tráfico web de la red en el portal.

2. Analizar. Microsoft Defender for Cloud Apps analiza y extrae datos de tráfico de los registros de tráfico con un analizador dedicado para cada origen de datos.

3. Analizar. Cloud Discovery analiza los datos de tráfico en cloud app catalog. Este proceso le permite identificar más de 25 000 aplicaciones en la nube y evaluar su puntuación de riesgo. Este análisis también identifica los usuarios activos y las direcciones IP.

   Nota:

   Cloud Discovery analiza y actualiza los datos del archivo de registro extraídos cuatro veces al día.

4. Generar informe Cloud Discovery genera un informe de evaluación de riesgos basado en los datos del archivo de registro extraídos.

El proceso tarda entre unos minutos y varias horas en función de la cantidad de datos procesados.

Uso de registros de tráfico para Cloud Discovery

Cloud Discovery usa los datos en sus registros de tráfico. Cuanto más detallado sea el registro, mejor visibilidad obtendrá. Cloud Discovery requiere datos de tráfico web con los siguientes atributos:

• Estado de la transacción.
• IP de origen
• Usuario de origen: altamente recomendado
• Dirección IP de destino
• Dirección URL de destino recomendada (las direcciones URL proporcionan mayor precisión para la detección de aplicaciones en la nube que las direcciones IP)
• Cantidad total de datos (la información de datos es muy valiosa)
• Cantidad de datos cargados o descargados (proporciona información sobre los patrones de uso de las aplicaciones en la nube)
• Acción realizada (permitido/bloqueado)

Cloud Discovery solo puede mostrar y analizar los atributos incluidos en los registros de tráfico. Por ejemplo, el formato de registro estándar del firewall de Cisco ASA no incluye los siguientes atributos: el número de bytes cargados por transacción, nombre de usuario y dirección URL de destino (solo IP de destino). Por lo tanto, los datos de los registros de tráfico de una organización, que usa Cloud Discovery, no incluyen estos atributos. Esta falta de datos limita la visibilidad de la organización en sus aplicaciones en la nube. Para los firewalls de Cisco ASA, es necesario establecer el nivel de información en 6.

Para generar correctamente un informe de Cloud Discovery, los registros de tráfico deben cumplir las siguientes condiciones:

• Cloud Discovery admite el origen de datos de los registros de tráfico. Si Cloud Discovery no admite el origen de datos, puede definir un analizador personalizado que coincida con el formato. Para obtener más información sobre los orígenes de datos admitidos, consulte Configuración de Cloud Discovery.
• El formato de registro coincide con el formato estándar esperado (formato comprobado tras la carga por la herramienta Registro).
• Los eventos no tienen más de 90 días de antigüedad.
• El archivo de registro es válido e incluye información de tráfico saliente.

Creación de informes de Cloud Discovery de instantáneas

Es importante cargar un registro manualmente y permitir que Microsoft Defender para aplicaciones en la nube lo analice antes de intentar usar el recopilador de registros automático. Para obtener información sobre cómo funciona el recopilador de registros y el formato de registro esperado, consulte Usar registros de tráfico para Cloud Discovery.

Si desea ver un ejemplo del aspecto de un archivo de registro, pero aún no tiene un archivo de registro, descargue un archivo de registro de ejemplo. Realice el procedimiento siguiente para ver el aspecto que debe tener el registro.

Debe completar los siguientes pasos para crear un informe de instantáneas:

1. Recopile archivos de registro desde el firewall y el proxy, a través de los cuales los usuarios de su organización acceden a Internet.

   Importante

   Asegúrese de recopilar registros que sean representativos de toda la actividad de los usuarios de su organización durante las horas de tráfico máximo.

2. En el portal de Microsoft Defender, seleccione Configuración en el panel de navegación izquierdo.

3. En la página Configuración , en la lista de configuraciones, seleccione Aplicaciones en la nube.

4. En la configuración | En la página Aplicaciones en la nube, en la sección Cloud Discovery del panel de navegación central, seleccione Informes de instantáneas.

5. En la página Informes de instantáneas , seleccione +Crear informe de instantáneas. Esta opción inicia el Asistente para crear un nuevo informe de instantáneas de Cloud Discovery .

   

6. En el Asistente para crear un informe de instantáneas de Cloud Discovery , en la página Información general , seleccione Siguiente.

7. En la página Detalles del informe , escriba un nombre de informe y una descripción opcional.

   

8. Seleccione la Fuente desde el que desea cargar los archivos de registro.

9. Compruebe el formato de registro para asegurarse de que el formato es adecuado según el registro de ejemplo que puede descargar. En Comprobar el formato de registro, seleccione Formato de registro de vista y, a continuación, seleccione Descargar el registro de ejemplo. Compare el registro con el ejemplo proporcionado para asegurarse de que es compatible.

   

   Las instantáneas y la carga automatizada admiten el formato de registro FTP. En comparación, el único origen de datos que admite el formato syslog es la carga automatizada. Al descargar un registro de ejemplo se descarga un registro FTP de ejemplo.

10. En la página Cargar registros de tráfico , seleccione el botón Examinar y, a continuación, seleccione los archivos de registro que se van a cargar. Puede cargar hasta 20 archivos a la vez. El proceso de carga también admite archivos comprimidos y comprimidos.

    

11. Seleccione Cargar registros.

12. Una vez finalizada la carga, aparece un mensaje de estado en la esquina superior derecha de la pantalla que indica una carga correcta.

13. Después de cargar los archivos de registro, Cloud Discovery puede tardar algún tiempo en analizarlos y analizarlos. Una vez completado el procesamiento de los archivos de registro, debe recibir un correo electrónico que le notifica que Cloud Discovery ha completado su análisis.

14. Aparece un banner de notificación en la barra de estado de la parte superior de la página. El banner le actualiza con el estado de procesamiento de los archivos de registro.

    

15. Una vez que los registros de tráfico se carguen correctamente, debería ver una notificación que le informa de que el procesamiento del archivo de registro se completó correctamente. En este punto, puede ver el informe en la página Informes de instantáneas .

Configurar la carga automática de registros para obtener informes continuos

Los recopiladores de registros permiten automatizar fácilmente la carga de registros desde la red. El registro se ejecuta en su red y recibe registros a través de Syslog o FTP. A continuación, procesa, comprime y transmite automáticamente cada registro al portal. El recopilador de registros carga los registros FTP en Microsoft Defender for Cloud Apps después de que el archivo haya finalizado la transferencia FTP al recopilador de registros. Para Syslog, el recopilador de registros escribe los registros recibidos en el disco. A continuación, el recopilador carga el archivo en Microsoft Defender for Cloud Apps cuando el tamaño del archivo es mayor que 40 KB.

Una vez completado el proceso de carga, Microsoft Defender for Cloud Apps mueve el registro a un directorio de copia de seguridad. El directorio de copia de seguridad almacena los últimos 20 registros. Cuando llegan nuevos registros, el sistema elimina los antiguos. Cada vez que el espacio en disco del registro esté lleno, el registro descargará nuevos registros hasta que tenga más espacio en disco libre. Debería recibir una advertencia en la pestaña Recopiladores de registros de la configuración Cargar registros automáticamente cuando se produzca este escenario.

Antes de configurar la recopilación automática de archivos de registro, compruebe que el registro coincide con el tipo de registro esperado. Asegúrese de que Defender para aplicaciones en la nube puede analizar el archivo específico. Para obtener más información, consulte Usar registros de tráfico para Cloud Discovery.

El recopilador de registros comprime los datos antes de cargarlos. El tráfico saliente en el recopilador de registros es del 10 % del tamaño de los registros de tráfico que recibe. Si el recopilador de registros encuentra problemas, es posible que no cargue datos. Si Microsoft Defender for Cloud Apps no recibe datos durante 48 horas, le envía una alerta.

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas.