Verwenden eines benutzerdefinierten Protokollparsers

Defender for Cloud Apps ermöglichen Ihnen das Konfigurieren eines benutzerdefinierten Parsers zum Abstimmen und Verarbeiten des Formats Ihrer Protokolle, damit sie für Cloud Discovery verwendet werden können. In der Regel verwenden Sie einen benutzerdefinierten Parser, wenn die Firewall oder das Gerät nicht explizit von Defender for Cloud Apps unterstützt wird. Dabei kann es sich um einen CSV-Parser oder um einen benutzerdefinierten Schlüsselwertparser handeln.

Mit dem benutzerdefinierten Parser können Sie Protokolle von nicht unterstützten Firewalls verwenden, indem Sie dieses Verfahren befolgen.

Konfigurieren eines benutzerdefinierten CSV-Parsers:

  1. Wählen Sie in Microsoft Defender-Portal unter Cloud-Apps die Option Cloud Discovery>Aktionen>Momentaufnahmebericht zu Cloud Discovery erstellen. Zum Beispiel:

    Screenshot der Option zum Erstellen eines neuen Momentaufnahmeberichts.

  2. Geben Sie einen Berichtsnamen und ein Beschreibung ein

  3. Scrollen Sie unter Quelle ganz nach unten, und wählen Sie Benutzerdefiniertes Protokollformat ... aus. Beispiel:

    Screenshot des Dialogfelds zum Erstellen eines neuen Cloud Discovery-Momentaufnahmeberichts.

  4. Sammeln Sie Protokolle von Ihrer Firewall und Ihrem Proxy, über die/den Benutzer in Ihrer Organisation auf das Internet zugreifen. Stellen Sie sicher, dass Sie Protokolle zu Spitzenzeiten des Datenverkehrs sammeln, die für alle Benutzeraktivitäten in Ihrer Organisation repräsentativ sind.

  5. Öffnen Sie die Protokolle, die Sie in einem Text-Editor verarbeiten möchten. Überprüfen Sie ihr Format, und stellen Sie sicher, dass die Spaltennamen im Protokoll den Feldern im Dialogfeld Benutzerdefiniertes Protokollformat entsprechen.

    Erforderliche Felder sind im Dialogfeld Benutzerdefiniertes Protokollformat mit einem Sternchen (*) gekennzeichnet und müssen in den Protokollen in derselben Reihenfolge vorhanden sein, wie im Dialogfeld Benutzerdefiniertes Protokollformat dargestellt. Protokolle werden nur verarbeitet, wenn die erforderlichen Felder im Protokoll gefunden werden. Zusätzliche Felder, die von Defender for Cloud Apps nicht verwendet werden, werden verworfen.

  6. Füllen Sie die Felder im Dialogfeld Benutzerdefiniertes Protokollformat basierend auf Ihren Daten aus, um zu bestimmen, welche Spalten in den Daten mit bestimmten Feldern in Defender for Cloud Apps korrelieren. Für eine ordnungsgemäße Korrelation müssen Sie möglicherweise Spaltennamen in der Protokolldatei ändern.

    Hinweis

    In den Feldern wird Groß- und Kleinschreibung berücksichtigt. Vergewissern Sie sich, dass die Namen der Spalten in Defender for Cloud Apps und der Protokolldatei identisch geschrieben sind. Stellen Sie außerdem sicher, dass das gewählte Datumsformat identisch ist.

    Die folgenden Bilder zeigen z. B. eine Beispielprotokolldatei, die in einem Text-Editor geöffnet wurde, und das entsprechende Dialogfeld Benutzerdefiniertes Protokollformat, aufgefüllt.

    Screenshot einer Protokolldatei, die in einem Text-Editor geöffnet wurde.

    Screenshot des Dialogfelds „Benutzerdefiniertes Protokollformat“ mit ausgefüllten Werten.

  7. Wählen Sie Speichern. Das von Ihnen konfigurierte benutzerdefinierte Protokollformat wird als standardmäßiger benutzerdefinierter Parser gespeichert. Sie können diesen jederzeit bearbeiten, indem Sie auf Bearbeiten klicken.

  8. Wählen Sie unter Datenverkehrsprotokolle hochladen die Protokolldatei aus, die Sie geändert haben, und wählen Sie Protokolle hochladen aus, um sie hochzuladen. Sie können bis zu 20 Dateien gleichzeitig hochladen. Komprimierte und gezippte Dateien werden ebenfalls unterstützt.

Nach Abschluss des Hochladens wird die Statusmeldung in der oberen rechten Ecke des Bildschirms angezeigt, damit Sie wissen, dass Ihr Protokoll erfolgreich hochgeladen wurde.

Es dauert einige Zeit, bis Ihre Protokolle geparst und analysiert werden. Ein Benachrichtigungsbanner wird in der Statusleiste oben auf der Registerkarte Cloud Discovery > Dashboard mit dem Verarbeitungsstatus Ihrer Protokolldateien angezeigt. Zum Beispiel:

Screenshot einer Menüleiste für die Verarbeitungsprotokolldatei.

Nach der abgeschlossenen Verarbeitung der Protokolldateien erhalten Sie eine Benachrichtigungs-E-Mail mit einer Bestätigung.

Zeigen Sie den Bericht an, indem Sie entweder den Link in der Statusleiste auswählen, oder wählen Sie Einstellungen>Cloud Apps>Cloud Discovery>Momentaufnahmeberichte aus. Wählen Sie Ihren Momentaufnahmebericht aus, um ihn zu öffnen. Zum Beispiel:

Screenshot der Seite „Momentaufnahmeberichte“.

Nächste Schritte

Sollten Sie Probleme haben, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.