Vytváření sestav snapshot cloud discovery

  • Článek

Než se pokusíte použít automatický kolektor protokolů, je důležité ho nahrát ručně a nechat ho v programu Microsoft Defender for Cloud Apps parsovat. Informace o fungování kolektoru protokolů a očekávaném formátu protokolu najdete v tématu Použití protokolů provozu pro cloud discovery.

Pokud ještě protokol nemáte a chcete vidět příklad toho, jak by měl protokol vypadat, stáhněte si ukázkový soubor protokolu. Postupujte podle následujícího postupu a podívejte se, jak by měl protokol vypadat.

Vytvoření sestavy snímku:

  1. Shromážděte soubory protokolů z brány firewall a proxy serveru, přes které uživatelé ve vaší organizaci získávají přístup k internetu. Ujistěte se, že shromažďujete protokoly v době nejsilnějšího provozu, které odráží činnost všech uživatelů ve vaší organizaci.

  2. Na portálu Microsoft Defender v části Cloud Apps vyberte Cloud Discovery.

  3. V pravém horním rohu stáhněte akce a vyberte Vytvořit sestavu snímků Cloud Discovery.

    Vytvořte novou sestavu snímků.

  4. Vyberte Další.

  5. Zadejte název sestavy a popis.

    Nová sestava snímků

  6. Vyberte zdroj, ze kterého chcete nahrát soubory protokolu. Pokud váš zdroj není podporovaný (úplný seznam najdete v tématu Podporované brány firewall a proxy servery), můžete vytvořit vlastní analyzátor. Další informace najdete v tématu Použití vlastního analyzátoru protokolů.

  7. Ověřte formát protokolu a ujistěte se, že je správně naformátovaný podle ukázkového protokolu, který si můžete stáhnout. V části Ověřit formát protokolu vyberte Zobrazit formát protokolu a pak vyberte Stáhnout ukázkový protokol. Porovnejte protokol s ukázkou, abyste měli jistotu, že je kompatibilní.

    Ověřte formát protokolu.

    Poznámka:

    Ukázkový formát FTP je podporován ve snímcích a automatizovaném nahrávání, zatímco syslog je podporován pouze v automatizovaném nahrávání. Stažení ukázkového protokolu stáhne ukázkový protokol FTP.

  8. Nahrajte protokoly provozu, které chcete nahrát. Můžete najednou odeslat až 20 souborů. Podporují se i komprimované a zazipované soubory.

    Nahrajte protokoly provozu.

  9. Vyberte Nahrát protokoly.

  10. Po dokončení nahrávání se v pravém horním rohu obrazovky zobrazí stavová zpráva s informacemi o úspěšném nahrání protokolu.

  11. Po odeslání souborů protokolu bude nějakou dobu trvat, než proběhne jejich rozložení a analýza. Po dokončení zpracování souborů protokolu obdržíte e-mail s oznámením, že je hotový.

  12. Na stavovém řádku v horní části řídicího panelu Cloud Discovery se zobrazí banner s oznámením. Banner vás aktualizuje o stav zpracování souborů protokolu. zpracování řádku nabídek souboru protokolu.

  13. Jakmile se protokoly úspěšně nahrají, mělo by se vám zobrazit oznámení o tom, že se zpracování souboru protokolu úspěšně dokončilo. V tomto okamžiku můžete sestavu zobrazit výběrem odkazu na stavovém řádku. Nebo na portálu Microsoft Defender vyberte Nastavení.

  14. Pak v části Cloud Discovery vyberte Sestavy snímků a vyberte sestavu snímku.

    správa sestav snímků.

Použití protokolů provozu pro cloud discovery

Cloud Discovery používá data v protokolech provozu. Čím podrobnější protokol, tím lepší viditelnost získáte. Cloud Discovery vyžaduje data webového provozu s následujícími atributy:

  • Datum transakce
  • Zdrojová IP adresa
  • Zdrojový uživatel – důrazně doporučujeme
  • Cílová IP adresa
  • Cílová adresa URL doporučena (adresy URL umožňují vyšší přesnost detekce cloudových aplikací než IP adresy)
  • Celkové množství dat (informace o datech jsou velmi cenné)
  • Množství nahraných nebo stažených dat (poskytuje přehled o vzorcích používání cloudových aplikací)
  • Provedená akce (povoleno/zablokováno)

Cloud Discovery nemůže zobrazit ani analyzovat atributy, které nejsou součástí vašich protokolů. Standardní formát protokolu brány firewall Cisco ASA například nemá počet nahraných bajtů na transakci, uživatelské jméno a cílovou adresu URL (pouze cílovou IP adresu). Proto se tyto atributy nezobrazí v datech cloud discovery pro tyto protokoly a viditelnost cloudových aplikací bude omezená. U bran firewall Cisco ASA je nutné nastavit úroveň informací na hodnotu 6.

Pokud chcete úspěšně vygenerovat sestavu cloud discovery, musí protokoly provozu splňovat následující podmínky:

  1. Podporuje se zdroj dat.
  2. Formát protokolu odpovídá očekávanému standardnímu formátu (formát se kontroluje při nahrání nástrojem Protokol).
  3. Události nejsou starší než 90 dnů.
  4. Soubor protokolu je platný a obsahuje informace o odchozích přenosech.

Další kroky

Řízení cloudových aplikací pomocí zásad

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.