次の方法で共有

スナップショット Cloud Discovery レポートを作成する

自動ログ コレクターを使用する前に、ログを手動でアップロードし、Microsoft Defender for Cloud Apps でログを解析できるようにすることが重要です。 ログ コレクターのしくみと予想されるログ形式については、「 クラウド検出にトラフィック ログを使用する」を参照してください。

ログがまだない場合に、ログの外観の例を確認する場合は、サンプル ログ ファイルをダウンロードします。 以下の手順に従って、ログがどのように表示されるかを確認してください。

スナップショット レポートを作成するには:

  1. 組織内のユーザーがインターネットにアクセスするために使用するファイアウォールとプロキシからログ ファイルを収集します。 組織内のすべてのユーザー アクティビティを代表するトラフィックのピーク時にログを収集してください。

  2. Microsoft Defender ポータルの [Cloud Apps] で、[クラウド検出] を選択します。

  3. 右上隅にある [アクション] をプルダウンし、[Cloud Discovery スナップショット レポートの作成] を選択します。

    新しいスナップショットレポートを作成します。

  4. [次へ] を選択します。

  5. レポート名説明を入力します

    新しいスナップショット レポート。

  6. ログ ファイルをアップロードするソースを選択します。 ソースがサポートされていない場合 (完全な一覧については、「 サポートされているファイアウォールとプロキシ 」を参照)、カスタム パーサーを作成できます。 詳細については、「カスタム ログ パーサーの使用」を参照してください。

  7. ログ形式を確認して、ダウンロードできるサンプル ログに従って適切に形式設定されていることを確認します。 [ログ形成の確認] で、[ログ形式の確認] を選択し、[サンプル ログのダウンロード] を選択します。 ログと提供されたサンプルを比較して、互換性があることを確認します。

    ログ形式を確認します。

    注:

    FTP サンプル形式はスナップショットと自動アップロードでサポートされますが、syslog は自動アップロードでのみサポートされます。 サンプル ログをダウンロードすると、サンプル FTP ログがダウンロードされます。

  8. アップロードするトラフィック ログ をアップロードします。 一度に最大 20 個のファイルをアップロードできます。 圧縮ファイルや zip ファイルもサポートされています。

    トラフィック ログをアップロードします。

  9. [ログのアップロード] を選択します。

  10. アップロードが完了すると、画面の右上隅に状態メッセージが表示され、ログが正常にアップロードされたことを通知します。

  11. ログ ファイルをアップロードした後、ログ ファイルが解析および分析されるまでに時間がかかります。 ログ ファイルの処理が完了すると、処理が完了したことを通知するメールが届きます。

  12. Cloud Discovery ダッシュボードの上部にあるステータス バーに通知バナーが表示されます。 バナーにより、ログ ファイルの処理状態が更新されます。 ログ ファイルのメニュー バーを処理します。

  13. ログが正常にアップロードされると、ログ ファイルの処理が正常に完了したことを知らせる通知が表示されます。 この時点で、ステータス バーのリンクを選択してレポートを表示できます。 または、Microsoft Defender ポータルで [設定] を選択します。

  14. に、[Cloud Discovery] で [スナップショット レポート] を選択し、スナップショット レポートを選択します。

    レポート管理スナップショット。

クラウド検出にトラフィック ログを使用する

クラウド検出では、トラフィック ログ内のデータが使用されます。 ログが詳細になればなるほど、可視性が向上します。 クラウド検出には、次の属性を持つ Web トラフィック データが必要です。

  • トランザクションの日付
  • 接続元 IP
  • 接続元のユーザー - 強く推奨
  • 接続先 IP アドレス
  • 推奨 される 宛先 URL (URL は、IP アドレスよりもクラウド アプリ検出の精度が高くなります)
  • 総データ量(データ情報は価値が高い)
  • アップロードまたはダウンロードされたデータの量 (クラウド アプリの使用パターンに関する分析情報を提供する)
  • 実行されるアクション (許可/禁止)

クラウド検出では、ログに含まれていない属性を表示または分析できません。 たとえば、Cisco ASA ファイアウォールの標準ログ形式には、トランザクション、ユーザー名およびターゲット URL (ターゲット IP のみ) ごとにアップロードされたバイト数がありません。 そのため、これらの属性は、これらのログのクラウド検出データには表示されず、クラウド アプリの可視性は制限されます。 Cisco ASA ファイアウォールの場合、情報レベルを 6 に設定する必要があります。

クラウド検出レポートを正常に生成するには、トラフィック ログが次の条件を満たしている必要があります。

  1. データ ソースがサポートされています
  2. ログ形式は、予想される標準形式 (ログ ツールによるアップロード時にチェックされる形式) と一致します。
  3. イベントは 90 日以内に作成されます。
  4. ログ ファイルは有効であり、送信トラフィック情報が含まれています。
  5. トラフィック ログのみを転送するようにアプライアンスを構成します。 構成に関連のないログを含めると、取り込まれたトラフィック 量が膨らむ可能性があります。

重要

ZIP アップロードは、1 つの圧縮ファイルに対してのみサポートされます。複数のログ ファイルを含む ZIP アーカイブはサポートされていません。1 GB を超える個々のログ ファイルはアップロードできません。 アップロードする前に大きなログを分割します。 バッチあたり最大 20 個のファイルをアップロードできます。

次の手順

ポリシーを使用したクラウド アプリの制御

問題が発生した場合は、こちらにお問い合わせください。 製品の問題に関するサポートを受ける場合は、サポート チケットを開いてください。

  • Last updated on