Criar relatórios de instantâneos do Cloud Discovery
É importante carregar um log manualmente e permitir que o Microsoft Defender para Aplicativos na Nuvem o analise antes de tentar usar o coletor de logs automático. Para obter informações sobre como o coletor de logs funciona e o formato de log esperado, consulte Usar logs de tráfego para o Cloud Discovery.
Se você ainda não tiver um log e desejar ver um exemplo de como deverá ser a aparência de seu log, baixe um arquivo de log de exemplo. Siga o procedimento abaixo para ver como deve ser a aparência do log.
Para criar um relatório de instantâneo:
Colete arquivos de log do firewall e do proxy, por meio dos quais os usuários em sua organização acessam a Internet. Certifique-se de coletar logs durante os horários de pico de tráfego que são representativos de todas as atividades do usuário em sua organização.
No portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Cloud Discovery.
No canto superior direito, abra Ações e selecione Criar relatório de instantâneos do Cloud Discovery.
Selecione Avançar.
Insira um Nome do relatório e uma Descrição
Selecione a Fonte da qual você deseja carregar os arquivos de log. Se não houver suporte para a sua fonte (consulte Firewalls e proxies com suporte para obter a lista completa), você poderá criar um analisador personalizado. Para obter mais informações, consulte Usar um analisador de log personalizado.
Verifique o formato do log para verificar se ele está formatado corretamente de acordo com o log de exemplo que você pode baixar. Em Verificar o formato de log, selecione Exibir formato de log e selecione Baixar log de exemplo. Compare seu log com a amostra fornecida para garantir que seja compatível.
Observação
O formato de amostra de FTP tem suporte em instantâneos e upload automatizado, enquanto o syslog tem suporte apenas no upload automatizado. Baixar um log de exemplo baixará um log FTP de exemplo.
Carregue os logs de tráfego que você deseja carregar. Você pode carregar 20 arquivos por vez. Também há suporte para arquivos comprimidos e compactados.
Selecione Carregar logs.
Após o upload ser concluído, a mensagem de status será exibida no canto superior direito da tela avisando que o log foi carregado com êxito.
Depois de carregar os arquivos de log, levará algum tempo para que eles sejam analisados e analisados. Após a conclusão do processamento dos arquivos de log, você receberá um email para notificá-lo de que ele foi concluído.
Uma faixa de notificação será exibida na barra de status na parte superior do painel do Cloud Discovery. O banner atualiza você com o status de processamento de seus arquivos de log.
Depois que os logs forem carregados com êxito, você verá uma notificação informando que o processamento do arquivo de log foi concluído com êxito. Neste momento, você pode exibir o relatório selecionando o link na barra de status. Como alternativa, selecione Configurações no portal do Microsoft Defender.
Em seguia, em Cloud Discovery, selecione Relatórios de instantâneos e seu relatório de instantâneos.
Usar os logs de tráfego para o Cloud Discovery
O Cloud Discovery usa os dados em seus logs de tráfego. Quando mais detalhado o log, melhor a visibilidade que você obtém. O Cloud Discovery requer dados de tráfego da Web com os seguintes atributos:
- Data da transação
- IP de Origem
- Usuário de origem – altamente recomendado
- Endereço IP de destino
- URL de destino recomendada (URLs fornecem maior precisão para detecção de aplicativos de nuvem que endereços IP)
- Quantidade total de dados (as informações de dados são altamente valiosas)
- Quantidade de dados carregados ou baixados (fornece insights sobre os padrões de uso dos aplicativos de nuvem)
- Ação tomada (permitida/bloqueada)
O Cloud Discovery não pode mostrar ou analisar atributos que não estão incluídos em seus logs. Por exemplo, o formato de log padrão do Cisco ASA Firewall não tem o número de bytes carregados por transação, Nome de usuário nem a URL de destino (somente o IP de destino). Portanto, esses atributos não serão mostrados nos dados do Cloud Discovery para esses logs e a visibilidade nos aplicativos de nuvem será limitada. Para os firewalls Cisco ASA, é necessário definir o nível de informações como 6.
Para gerar um relatório de Cloud Discovery, os logs de tráfego devem atender às seguintes condições:
- A fonte de dados tem suporte.
- O formato de log corresponde ao formato padrão esperado (formato verificado após o upload pela ferramenta Log).
- Os eventos não têm mais de 90 dias.
- O arquivo de log é válido e inclui informações de tráfego de saída.
Próximas etapas
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.