請手動上傳記錄,並讓 Microsoft Defender for Cloud Apps 先剖析記錄,再嘗試使用自動記錄收集器。 關於日誌收集器的運作方式及預期的日誌格式,請參見 使用流量日誌進行雲端發現。
如果你還沒有日誌,想看看日誌應該長什麼樣子,可以下載範例日誌檔。 請遵循下列程序以查看您的記錄外觀。
要建立快照報告:
從貴組織中的使用者存取網路的防火牆和 Proxy 來收集記錄檔。 請務必在尖峰流量期間收集可代表貴組織中所有使用者活動的記錄。
在 Microsoft Defender 入口網站的雲端應用程式中,選擇雲端發現。
在右上角,拉下 動作,選擇 建立雲端發現快照報告。
選取 [下一步]。
輸入 報表名稱 與 說明
選取您想要從中上傳記錄檔案的 資料來源。 如果你的原始碼不被支援 (請參閱完整清單的「 支援防火牆與代理」) ,你可以建立自訂的解析器。 欲了解更多資訊,請參閱 使用自訂日誌解析器。
確認您的記錄格式,確定該記錄已根據您可以下載的範例記錄進行適當格式化設定。 在 驗證您的記錄格式 底下,選取 檢視記錄格式,然後選取下載範例記錄。 比較您的記錄與提供的範例,以確保格式是相容的。
注意事項
FTP 範例格式支援快照與自動上傳,而 syslog 僅支援自動上傳。 下載範例日誌會下載範例 FTP 日誌。
上傳你想上傳的交通紀錄。 您一次最多可以上傳 20 個檔案。 已壓縮的和壓縮檔也支援使用。
選取 上傳記錄。
上傳完成後,狀態訊息會出現在螢幕右上角,告知你的日誌已成功上傳。
上傳記錄檔案之後,會需要一些時間來剖析及分析這些檔案。 完成記錄檔的處理之後,您會收到一封電子郵件通知您已完成。
通知橫幅會出現在 雲端探索 儀表板頂端的狀態列。 通知橫幅會更新記錄檔的處理狀態。
成功上傳記錄之後,您應該會看到一個讓您知道該記錄檔處理已順利完成的通知。 此時,你可以在狀態列中選擇連結查看報告。 或者,在 Microsoft Defender 入口網站中,選擇設定。
接著在 Cloud Discovery 裡,選擇 快照報告,然後選擇你的快照報告。
利用流量日誌進行雲端發現
雲端發現是利用你流量記錄中的資料。 您的記錄越詳細,您的可見度就越高。 雲端發現需要具備以下屬性的網路流量資料:
- 交易日期
- 來源 IP
- 來源使用者 - 強烈建議
- 目的地 IP 位址
- 推薦的目的地 URL (URL 在雲端應用程式偵測上比 IP 位址更準確)
- 資料總量 (資料資訊是非常寶貴的)
- 上傳或下載的資料量 (提供雲端應用程式的使用方式模式的深入解析)
- 採取的動作 (允許/封鎖)
雲端發現無法顯示或分析不包含在日誌中的屬性。 例如, Cisco ASA 防火牆 標準日誌格式沒有包含 每筆交易上傳的位元組數、 使用者名稱和 目標網址 , (只有目標 IP) 。 因此,這些屬性不會在這些日誌的雲端發現資料中顯示,且對雲端應用程式的可見性也會受到限制。 對於 Cisco ASA 防火牆,需要將資訊層級設定為 6。
要成功產生雲端發現報告,您的流量記錄必須符合以下條件:
- 可支援資料來源。
- 記錄格式符合預期的標準格式 (檔案格式會在透過 [記錄] 工具上傳時進行檢查)。
- 活動的時間不超過 90 天。
- 記錄檔有效且包含輸出流量資訊。
- 設定設備只轉發流量日誌。 在設定中加入無關的日誌可能會膨脹所吞流量。
重要事項
ZIP 上傳僅支援單一壓縮檔案。不支援包含多個日誌檔案的 ZIP 壓縮檔。超過1 GB的單一日誌檔案無法上傳。 上傳前先拆分大型日誌。 你每批最多可以上傳 20 個檔案。
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。