Configurare Cloud Discovery in Microsoft Defender for Cloud Apps

Cloud Discovery analizza i log del traffico rispetto a un catalogo di Microsoft Defender for Cloud Apps che include oltre 25.000 app cloud. Classifica e assegna punteggi alle app in base a più di 90 fattori di rischio. Questa progettazione offre visibilità continua sull'uso del cloud, su shadow IT e sul rischio che shadow IT pone nell'organizzazione.

Report di Cloud Discovery

Le organizzazioni possono generare i tipi di report seguenti in Cloud Discovery:

• Report snapshot. Fornisce visibilità ad hoc su un set di log del traffico caricati manualmente da firewall e proxy.
• Report continui. Cloud Discovery analizza tutti i file di log inoltrati dalla rete usando Microsoft Defender for Cloud Apps. I log offrono una visibilità migliorata su tutti i dati. Identificano automaticamente l'uso anomalo usando il motore di rilevamento anomalie di Machine Learning o usando criteri personalizzati definiti dall'utente. Il sistema può creare questi report nei modi seguenti:
  • Integrazione con Microsoft Defender per endpoint. Microsoft Defender for Cloud Apps si integra in modo nativo con Microsoft Defender per endpoint. Questa integrazione:
    • Semplifica l'implementazione di Cloud Discovery.
    • Estende le funzionalità di Cloud Discovery oltre la rete aziendale.
    • Abilita l'analisi basata su computer.
  • Agente di raccolta log. Gli agenti di raccolta log consentono di automatizzare facilmente il caricamento dei log dalla rete. La raccolta di log viene eseguita nella rete e riceve i log tramite SysLog o FTP.
  • Secure Web Gateway (SWG). Quando un'organizzazione integra Microsoft Defender for Cloud Apps e gateway Web sicuro, l'integrazione offre una distribuzione senza problemi di Cloud Discovery, il blocco automatico delle app non approvate e la valutazione dei rischi direttamente nel portale di SWG. Se si lavora con Microsoft Defender for Cloud Apps e con uno dei gateway Web sicuri seguenti, è possibile integrare i prodotti per migliorare la sicurezza dell'esperienza di Cloud Discovery:
    • Integrazione di Zscaler
    • Integrazione di iboss
    • Integrazione di Corrata
    • Integrazione di Menlo Security
• Report creati usando l'API Cloud Discovery. Usare l'API Cloud Discovery per automatizzare il caricamento dei log del traffico e generare un report di Cloud Discovery automatizzato e la valutazione dei rischi. È anche possibile usare l'API per generare script di blocco e semplificare i controlli delle app direttamente nell'appliance di rete.

Flusso del processo di log: dai dati non elaborati alla valutazione dei rischi

Il processo di generazione di una valutazione dei rischi è costituito dai passaggi seguenti.

1. Caricamento. Microsoft Defender for Cloud Apps carica i log del traffico Web dalla rete al portale.

2. Verifica. Microsoft Defender for Cloud Apps analizza ed estrae i dati del traffico dai log del traffico con un parser dedicato per ogni origine dati.

3. Analisi. Cloud Discovery analizza i dati del traffico rispetto al Catalogo app cloud. Questo processo consente di identificare più di 25.000 app cloud e di valutarne il punteggio di rischio. Questa analisi identifica anche gli utenti attivi e gli indirizzi IP.

   Nota

   Cloud Discovery analizza e aggiorna i dati del file di log estratti quattro volte al giorno.

4. Generazione del report. Cloud Discovery genera un report di valutazione dei rischi basato sui dati del file di log estratti.

Il processo richiede da pochi minuti a diverse ore a seconda della quantità di dati elaborati.

Uso dei log del traffico per Cloud Discovery

Cloud Discovery utilizza i dati nei log di traffico. Più dettagliato è il log, maggiore sarà la visibilità che si ottiene. Cloud Discovery richiede dati sul traffico Web con gli attributi seguenti:

• Data della transazione
• IP di origine
• Utente di origine - scelta consigliata
• Indirizzo IP di destinazione
• URL di destinazione - Scelta consigliata (gli URL forniscono una maggiore precisione per il rilevamento delle app cloud rispetto agli indirizzi IP)
• Quantità totale di dati (le informazioni sui dati sono estremamente utili)
• Quantità di dati caricati o scaricati - Scelta consigliata (fornisce informazioni sui modelli di utilizzo delle app cloud)
• Azione eseguita (consentita/bloccata)

Cloud Discovery può visualizzare e analizzare solo gli attributi inclusi nei log del traffico. Ad esempio, il formato di log standard del firewall Cisco ASA non include gli attributi seguenti: il numero di byte caricati per transazione, nome utente e URL di destinazione (solo IP di destinazione). Di conseguenza, i dati nei log del traffico di un'organizzazione, usati da Cloud Discovery, non includono questi attributi. Questa mancanza di dati limita la visibilità dell'organizzazione nelle app cloud. Per Cisco ASA firewall è necessario impostare il livello di informazioni su 6.

Per generare correttamente un report di Cloud Discovery, i log del traffico devono soddisfare le condizioni seguenti:

• Cloud Discovery supporta l'origine dati dei log del traffico. Se Cloud Discovery non supporta l'origine dati, è possibile definire un parser personalizzato corrispondente al formato. Per altre informazioni sulle origini dati supportate, vedere Configurare Cloud Discovery.
• Il formato del log corrisponde al formato standard previsto (formato verificato al caricamento dallo strumento Log).
• Gli eventi risalgono a non più di 90 giorni fa.
• Il file di log è valido e include informazioni sul traffico in uscita.

Creare report snapshot di Cloud Discovery

È importante caricare un log manualmente e consentire a Microsoft Defender for Cloud Apps di analizzarlo prima di provare a usare l'agente di raccolta log automatico. Per informazioni sul funzionamento dell'agente di raccolta log e sul formato di log previsto, vedere Utilizzo dei log del traffico per Cloud Discovery.

Se si vuole visualizzare un esempio dell'aspetto di un file di log, ma non si dispone ancora di un file di log, scaricare un file di log di esempio. Eseguire la procedura seguente per visualizzare l'aspetto del log.

È necessario completare i passaggi seguenti per creare un report snapshot:

1. Raccogliere i file di log dal firewall e dal proxy attraverso i quali gli utenti dell'organizzazione accedono a Internet.

   Importante

   Assicurarsi di raccogliere i log durante i periodi di picco del traffico che sono rappresentativi di tutte le attività degli utenti nell'organizzazione.

2. Nel portale Microsoft Defender selezionare Impostazioni nel riquadro di spostamento a sinistra.

3. Nell'elenco delle impostazioni della pagina Impostazioni selezionare App cloud.

4. Nelle impostazioni | Nella sezione Cloud Discovery del riquadro di spostamento centrale della pagina App cloud selezionare Report snapshot.

5. Nella pagina Report snapshot selezionare +Crea report snapshot. Questa opzione avvia la creazione guidata report snapshot di Cloud Discovery .

   

6. Nella pagina Panoramica della creazione guidata report snapshot di Cloud Discovery selezionare Avanti.

7. Nella pagina Dettagli report immettere un nome del report e una descrizione facoltativa.

   

8. Selezionare l'Origine da cui si vogliono caricare i file di log.

9. Verificare il formato del log per garantire la formattazione corretta in base al log di esempio che è possibile scaricare. In Verifica il formato di log selezionare Visualizza formato di log, quindi selezionare Scarica log di esempio. Confrontare il log con l'esempio fornito per assicurarsi che sia compatibile.

   

   Gli snapshot e il caricamento automatizzato supportano il formato di log FTP. In confronto, l'unica origine dati che supporta il formato syslog è il caricamento automatizzato. Il download di un log di esempio scarica un log FTP di esempio.

10. Nella pagina Carica log del traffico selezionare il pulsante Sfoglia e quindi selezionare i file di log da caricare. È possibile caricare fino a 20 file alla volta. Il processo di caricamento supporta anche file compressi e compressi.

    

11. Selezionare Carica i log.

12. Al termine del caricamento, nell'angolo superiore destro della schermata viene visualizzato un messaggio di stato che indica che il caricamento è riuscito.

13. Dopo aver caricato i file di log, Cloud Discovery può richiedere del tempo per analizzarli e analizzarli. Al termine dell'elaborazione dei file di log, si riceverà un messaggio di posta elettronica che informa che Cloud Discovery ha completato l'analisi.

14. Nella barra di stato nella parte superiore della pagina viene visualizzato un banner di notifica. Il banner fornisce all'utente informazioni aggiornate sullo stato di elaborazione dei file di log.

    

15. Dopo il caricamento dei log del traffico, verrà visualizzata una notifica che informa che l'elaborazione del file di log è stata completata correttamente. A questo punto, è possibile visualizzare il report nella pagina Report snapshot .

Configurare il caricamento automatico dei log per report continui

Gli agenti di raccolta log consentono di automatizzare facilmente il caricamento dei log dalla rete. La raccolta di log viene eseguita nella rete e riceve i log tramite SysLog o FTP. Elabora, comprime e trasmette automaticamente ogni log al portale. L'agente di raccolta log carica i log FTP in Microsoft Defender for Cloud Apps dopo che il file ha completato il trasferimento FTP all'agente di raccolta log. Per Syslog, l'agente di raccolta log scrive i log ricevuti nel disco. L'agente di raccolta carica quindi il file in Microsoft Defender for Cloud Apps quando le dimensioni del file sono maggiori di 40 KB.

Al termine del processo di caricamento, Microsoft Defender for Cloud Apps sposta il log in una directory di backup. La directory di backup archivia gli ultimi 20 log. Quando arrivano nuovi log, il sistema elimina quelli precedenti. Quando lo spazio su disco della raccolta di log è pieno, i nuovi log vengono rimossi finché verrà liberato lo spazio su disco. Quando si verifica questo scenario, dovrebbe essere visualizzato un avviso nella scheda Raccolta log delle impostazioni carica automaticamente i log .

Prima di configurare la raccolta automatica dei file di log, verificare che il log corrisponda al tipo di log previsto. È consigliabile assicurarsi che Defender for Cloud Apps possa analizzare il file specifico. Per altre informazioni, vedere Uso dei log del traffico per Cloud Discovery.

L'agente di raccolta log comprime i dati prima di caricarli. Il traffico in uscita nell'agente di raccolta log è pari al 10% delle dimensioni dei log del traffico ricevuti. Se l'agente di raccolta log riscontra problemi, potrebbe non caricare i dati. Se Microsoft Defender for Cloud Apps non riceve dati per 48 ore, invia un avviso.

Verifica delle conoscenze

Scegliere la risposta migliore per ognuna delle domande seguenti.