Udostępnij przez

Tworzenie raportów odnajdywania w chmurze migawek

Ważne jest, aby przekazać dziennik ręcznie i pozwolić Microsoft Defender for Cloud Apps przeanalizować go przed próbą użycia automatycznego modułu zbierającego dzienniki. Aby uzyskać informacje na temat działania modułu zbierającego dzienniki i oczekiwanego formatu dziennika, zobacz Używanie dzienników ruchu na potrzeby odnajdywania w chmurze.

Jeśli nie masz jeszcze dziennika i chcesz zobaczyć przykład tego, jak powinien wyglądać dziennik, pobierz przykładowy plik dziennika. Postępuj zgodnie z poniższą procedurą, aby zobaczyć, jak powinien wyglądać dziennik.

Aby utworzyć raport migawki:

  1. Zbieraj pliki dziennika z zapory i serwera proxy, za pośrednictwem których użytkownicy w organizacji uzyskują dostęp do Internetu. Pamiętaj, aby zbierać dzienniki w okresach szczytowego ruchu, które są reprezentatywne dla całej aktywności użytkowników w organizacji.

  2. W portalu Microsoft Defender w obszarze Cloud Apps wybierz pozycję Odnajdywanie w chmurze.

  3. W prawym górnym rogu wybierz pozycję Akcje, a następnie wybierz pozycję Utwórz raport migawki usługi Cloud Discovery.

    Utwórz nowy raport migawki.

  4. Wybierz pozycję Dalej.

  5. Wprowadź nazwę raportu i opis

    Nowy raport migawki.

  6. Wybierz źródło , z którego chcesz przekazać pliki dziennika. Jeśli źródło nie jest obsługiwane (zobacz Obsługiwane zapory i serwery proxy dla pełnej listy), możesz utworzyć analizator niestandardowy. Aby uzyskać więcej informacji, zobacz Use a custom log parser (Używanie niestandardowego analizatora dzienników).

  7. Sprawdź format dziennika, aby upewnić się, że jest on poprawnie sformatowany zgodnie z przykładowym dziennikiem, który można pobrać. W obszarze Weryfikowanie formatu dziennika wybierz pozycję Wyświetl format dziennika , a następnie wybierz pozycję Pobierz przykładowy dziennik. Porównaj dziennik z podanym przykładem, aby upewnić się, że jest zgodny.

    Sprawdź format dziennika.

    Uwaga

    Przykładowy format FTP jest obsługiwany w migawkach i automatycznym przekazywaniu, podczas gdy dziennik systemowy jest obsługiwany tylko w przypadku automatycznego przekazywania. Pobranie przykładowego dziennika powoduje pobranie przykładowego dziennika FTP.

  8. Przekaż dzienniki ruchu , które chcesz przekazać. Jednocześnie możesz przekazać maksymalnie 20 plików. Obsługiwane są również skompresowane i spakowane pliki.

    Przekazywanie dzienników ruchu.

  9. Wybierz pozycję Przekaż dzienniki.

  10. Po zakończeniu przekazywania w prawym górnym rogu ekranu zostanie wyświetlony komunikat o stanie informujący o pomyślnym przekazaniu dziennika.

  11. Po przekazaniu plików dziennika ich analizowanie i analizowanie zajmie trochę czasu. Po zakończeniu przetwarzania plików dziennika otrzymasz wiadomość e-mail z powiadomieniem o zakończeniu przetwarzania.

  12. Baner powiadomień zostanie wyświetlony na pasku stanu w górnej części pulpitu nawigacyjnego usługi Cloud Discovery . Baner aktualizuje cię o stan przetwarzania plików dziennika. pasek menu przetwarzania pliku dziennika.

  13. Po pomyślnym przekazaniu dzienników powinno zostać wyświetlone powiadomienie informujące o pomyślnym zakończeniu przetwarzania pliku dziennika. W tym momencie możesz wyświetlić raport, wybierając link na pasku stanu. Lub w portalu Microsoft Defender wybierz pozycję Ustawienia.

  14. Następnie w obszarze Cloud Discovery wybierz pozycję Raporty migawek i wybierz raport migawki.

    zarządzanie raportami migawek.

Używanie dzienników ruchu na potrzeby odnajdywania w chmurze

Funkcja odnajdywania w chmurze używa danych w dziennikach ruchu. Bardziej szczegółowy dziennik, tym lepsza widoczność. Odnajdywanie w chmurze wymaga danych ruchu internetowego z następującymi atrybutami:

  • Data transakcji
  • Źródłowy adres IP
  • Użytkownik źródłowy — zdecydowanie zalecane
  • Docelowy adres IP
  • Zalecany docelowy adres URL (adresy URL zapewniają większą dokładność wykrywania aplikacji w chmurze niż adresy IP)
  • Całkowita ilość danych (informacje o danych są bardzo cenne)
  • Ilość przekazanych lub pobranych danych (zapewnia szczegółowe informacje na temat wzorców użycia aplikacji w chmurze)
  • Podjęta akcja (dozwolona/zablokowana)

Odnajdywanie w chmurze nie może pokazywać ani analizować atrybutów, które nie są uwzględnione w dziennikach. Na przykład standardowy format dziennika zapory Cisco ASA nie ma liczby przekazanych bajtów na transakcję, nazwę użytkownika i docelowy adres URL (tylko docelowy adres IP). W związku z tym te atrybuty nie będą wyświetlane w danych odnajdywania w chmurze dla tych dzienników, a widoczność aplikacji w chmurze będzie ograniczona. W przypadku zapór Cisco ASA należy ustawić poziom informacji na 6.

Aby pomyślnie wygenerować raport odnajdywania w chmurze, dzienniki ruchu muszą spełniać następujące warunki:

  1. Obsługiwane jest źródło danych.
  2. Format dziennika jest zgodny z oczekiwanym standardowym formatem (format sprawdzany podczas przekazywania przez narzędzie Dziennika).
  3. Zdarzenia nie mają więcej niż 90 dni.
  4. Plik dziennika jest prawidłowy i zawiera informacje o ruchu wychodzącym.
  5. Skonfiguruj urządzenie tak, aby przesyłało dalej tylko dzienniki ruchu. Uwzględnienie niepowiązanych dzienników w konfiguracji może zwiększać pozyskiwany ruch.

Ważna

Przekazywanie zip jest obsługiwane tylko dla jednego skompresowanego pliku. Archiwa ZIP zawierające wiele plików dziennika nie są obsługiwane. Nie można przekazać pojedynczych plików dziennika większych niż 1 GB . Przed przekazaniem podziel duże dzienniki. Możesz przekazać maksymalnie 20 plików na partię.

Następne kroki

Kontrolowanie aplikacji w chmurze za pomocą zasad

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.

  • Last updated on