Configurar a descoberta na nuvem do Microsoft Defender para Aplicativos na Nuvem

O Cloud Discovery analisa seus logs de tráfego em relação ao catálogo do Defender para Aplicativos na Nuvem de mais de 25.000 aplicativos na nuvem. Em seguida, classifica e classifica as aplicações com base em mais de 90 fatores de risco. Esse design fornece visibilidade contínua sobre o uso da nuvem, shadow IT e o risco que o shadow IT representa para sua organização.

Relatórios da Cloud Discovery

As organizações podem gerar os seguintes tipos de relatórios no Cloud Discovery:

• Relatórios de instantâneo. Fornece visibilidade ad hoc em um conjunto de logs de tráfego que você carrega manualmente de seus firewalls e proxies.
• Relatórios contínuos. A Cloud Discovery analisa todos os ficheiros de registo reencaminhados da sua rede com Microsoft Defender para Aplicativos de Nuvem. Os registos proporcionam uma visibilidade melhorada sobre todos os dados. Identificam automaticamente a utilização anómalo através do motor de deteção de anomalias do Machine Learning ou através de políticas personalizadas que definir. O sistema pode criar estes relatórios das seguintes formas:
  • Integração do Microsoft Defender para Ponto de Extremidade. Microsoft Defender para Aplicativos de Nuvem integra-se nativamente com Microsoft Defender para Ponto de Extremidade. Esta integração:
    • Simplifica a implementação da Cloud Discovery.
    • Expande as capacidades da Cloud Discovery para além da sua rede empresarial.
    • Ativa a investigação baseada em máquinas.
  • Coletor de logs. Os coletores de log permitem automatizar facilmente o upload de log da sua rede. O lixo de log é executado na sua rede e recebe logs em Syslog ou FTP.
  • Gateway Web Seguro (SWG). Quando uma organização integra Microsoft Defender para Aplicativos de Nuvem e o Gateway Web Seguro, a integração proporciona uma implementação totalmente integrada da Cloud Discovery, o bloqueio automático de aplicações não aprovadas e a avaliação de riscos diretamente no portal do SWG. Se você trabalhar com o Microsoft Defender para Aplicativos na Nuvem e um dos seguintes SWGs, poderá integrar os produtos para aprimorar sua experiência de segurança do Cloud Discovery:
    • Integração com o Zscaler
    • Integração com o iboss
    • Integração com o Corrata
    • Integração com o Menlo Security
• Relatórios criados usando a do API Cloud Discovery. Use a API do Cloud Discovery para automatizar o upload do log de tráfego e gerar um relatório de Cloud Discovery automatizado e uma avaliação de risco. Você também pode usar a API para gerar scripts de bloco e simplificar os controles de aplicativo diretamente para seu dispositivo de rede.

Fluxo de processo de log: de dados brutos à avaliação de risco

O processo de geração de uma avaliação de risco consiste nas etapas a seguir.

1. Carregar. Microsoft Defender para Aplicativos de Nuvem carrega os registos de tráfego da Web da sua rede para o portal.

2. Parse. Microsoft Defender para Aplicativos de Nuvem analisa e extrai dados de tráfego dos registos de tráfego com um analisador dedicado para cada origem de dados.

3. Analisar. A Cloud Discovery analisa os dados de tráfego relativamente ao Catálogo de Aplicações na Cloud. Este processo permite-lhe identificar mais de 25 000 aplicações na cloud e avaliar a classificação de risco. Esta análise também identifica utilizadores ativos e endereços IP.

   Observação

   A Cloud Discovery analisa e atualiza os dados do ficheiro de registo extraídos quatro vezes por dia.

4. Gerar relatório. A Cloud Discovery gera um relatório de avaliação de riscos com base nos dados do ficheiro de registo extraídos.

O processo leva entre alguns minutos e várias horas, dependendo da quantidade de dados processados.

Usando logs de tráfego para o Cloud Discovery

A Descoberta de Nuvem usa os dados em seus logs de tráfego. Quando mais detalhado o log, melhor a visibilidade que você obtém. O Cloud Discovery requer dados de tráfego da Web com os seguintes atributos:

• Data da transação
• IP de Origem
• Usuário de origem – altamente recomendado
• Endereço IP de destino
• URL de destino recomendada (as URLs fornecem maior precisão para a detecção de aplicativos na nuvem do que os endereços IP)
• Quantidade total de dados (as informações de dados são altamente valiosas)
• Quantidade de dados carregados ou baixados (fornece insights sobre os padrões de uso dos aplicativos na nuvem)
• Ação tomada (permitida/bloqueada)

A Cloud Discovery só pode mostrar e analisar os atributos incluídos nos registos de tráfego. Por exemplo, o formato de registo padrão da Firewall do Cisco ASA não inclui os seguintes atributos: o número de bytes carregados por transação, o Nome de Utilizador e o URL de Destino (apenas IP de destino). Por conseguinte, os dados nos registos de tráfego de uma organização, que a Cloud Discovery utiliza, não incluem estes atributos. Esta falta de dados limita a visibilidade da organização nas respetivas aplicações na cloud. Para os firewalls Cisco ASA, é necessário definir o nível de informações como 6.

Para gerar um relatório de Cloud Discovery, os logs de tráfego devem atender às seguintes condições:

• A Cloud Discovery suporta a origem de dados dos registos de tráfego. Se a Cloud Discovery não suportar a sua origem de dados, pode definir um analisador personalizado que corresponda ao seu formato. Para obter mais informações sobre origens de dados suportadas, veja Configurar a Cloud Discovery.
• O formato de log corresponde ao formato padrão esperado (formato verificado após o upload pela ferramenta Log).
• Os eventos não têm mais de 90 dias.
• O arquivo de log é válido e inclui informações de tráfego de saída.

Criar relatórios instantâneos do Cloud Discovery

É importante carregar um log manualmente e permitir que o Microsoft Defender para Aplicativos na Nuvem o analise antes de tentar usar o coletor de logs automático. Para obter informações sobre como o coletor de logs funciona e o formato de log esperado, consulte Usando logs de tráfego para Cloud Discovery.

Se quiser ver um exemplo do aspeto de um ficheiro de registo, mas ainda não tiver um ficheiro de registo, transfira um ficheiro de registo de exemplo. Execute o seguinte procedimento para ver qual deve ser o aspeto do registo.

Você deve concluir as seguintes etapas para criar um relatório de instantâneo:

1. Colete arquivos de log do firewall e do proxy, por meio dos quais os usuários em sua organização acessam a Internet.

   Importante

   Certifique-se de coletar logs durante os horários de pico de tráfego que são representativos de todas as atividades do usuário em sua organização.

2. No portal Microsoft Defender, selecione Definições no painel de navegação esquerdo.

3. Na página Definições , na lista de definições, selecione Aplicações na Cloud.

4. Nas Definições | Página Aplicações na cloud, na secção Cloud Discovery no painel de navegação do meio, selecione Relatórios de instantâneos.

5. Na página Relatórios de instantâneo, selecione +Criar snapshot relatório. Esta opção inicia o assistente Criar novo relatório de snapshot Cloud Discovery.

   

6. No assistente Criar novo relatório da Cloud Discovery snapshot, na página Descrição geral, selecione Seguinte.

7. Na página Detalhes do Relatório , introduza um Nome do Relatório e uma Descrição opcional.

   

8. Selecione a Fonte da qual você deseja carregar os arquivos de log.

9. Verifique o formato de registo para garantir a formatação adequada de acordo com o registo de exemplo que pode transferir. Em Verificar o formato de log, selecione Exibir formato de log e selecione Baixar log de exemplo. Compare seu log com a amostra fornecida para garantir que seja compatível.

   

   Os instantâneos e o carregamento automatizado suportam o formato de registo de FTP. Em comparação, a única origem de dados que suporta o formato syslog é o carregamento automatizado. Transferir um registo de exemplo transfere um registo de FTP de exemplo.

10. Na página Carregar registos de tráfego , selecione o botão Procurar e, em seguida, selecione os ficheiros de registo a carregar. Você pode carregar 20 arquivos por vez. O processo de carregamento também suporta ficheiros comprimidos e zipados.

    

11. Selecione Carregar logs.

12. Após a conclusão do carregamento, é apresentada uma mensagem de status no canto superior direito do ecrã a indicar um carregamento bem-sucedido.

13. Depois de carregar os ficheiros de registo, pode demorar algum tempo até que a Cloud Discovery os analise e analise. Após a conclusão do processamento dos ficheiros de registo, deverá receber um e-mail a notificá-lo de que a Cloud Discovery concluiu a análise.

14. É apresentada uma faixa de notificação na barra de status na parte superior da página. O banner atualiza você com o status de processamento de seus arquivos de log.

    

15. Depois de os registos de tráfego serem carregados com êxito, deverá ver uma notificação a informá-lo de que o processamento do ficheiro de registo foi concluído com êxito. Neste momento, pode ver o relatório na página Relatórios de instantâneos .

Configurar o upload automático de log para relatórios contínuos

Os coletores de log permitem automatizar facilmente o upload de log da sua rede. O lixo de log é executado na sua rede e recebe logs em Syslog ou FTP. Em seguida, processa, comprime e transmite automaticamente cada registo para o portal. O recoletor de registos carrega os registos FTP para Microsoft Defender para Aplicativos de Nuvem depois de o ficheiro ter terminado a transferência de FTP para o recoletor de registos. Para o Syslog, o recoletor de registos escreve os registos recebidos no disco. Em seguida, o recoletor carrega o ficheiro para Microsoft Defender para Aplicativos de Nuvem quando o tamanho do ficheiro for superior a 40 KB.

Assim que o processo de carregamento estiver concluído, Microsoft Defender para Aplicativos de Nuvem move o registo para um diretório de cópia de segurança. O diretório de backup armazena os últimos 20 logs. Quando chegam novos registos, o sistema elimina os antigos. Sempre que o espaço no disco de log estiver cheio, a caixa de log descarta novos logs até que tenha mais espaço livre em disco. Deverá receber um aviso no separador Recoletores de registos das definições Carregar registos automaticamente quando este cenário ocorre.

Antes de configurar a coleta automática de arquivos de log, verifique se o log corresponde ao tipo de log esperado. Você deseja garantir que o Defender para Aplicativos na Nuvem possa analisar seu arquivo específico. Para saber mais, consulte Usando logs de tráfego para Cloud Discovery.

O recoletor de registos comprime os dados antes de os carregar. O tráfego de saída no recoletor de registos é 10% do tamanho dos registos de tráfego que recebe. Se o recoletor de registos encontrar problemas, poderá não carregar dados. Se Microsoft Defender para Aplicativos de Nuvem não receber dados durante 48 horas, envia-lhe um alerta.

Verificação de conhecimentos

Escolha a melhor resposta para as perguntas abaixo.