A felhőalkalmazások felderítésének áttekintése
A felhőfelderítés több mint 31 000 felhőalkalmazás Microsoft Defender for Cloud Apps katalógusában elemzi a forgalmi naplókat. Az alkalmazások rangsorolása és pontszáma több mint 90 kockázati tényező alapján van megosztva, hogy folyamatos betekintést nyújtson a felhőhasználatba, az árnyék informatikába, valamint a szervezetébe jelentett kockázatba.
Tipp
Alapértelmezés szerint Defender for Cloud Apps nem tudja felderíteni a katalógusban nem szereplő alkalmazásokat.
A katalógusban jelenleg nem szereplő alkalmazások Defender for Cloud Apps adatainak megtekintéséhez javasoljuk, hogy tekintse meg az ütemtervet), vagy hozzon létre egy egyéni alkalmazást.
Pillanatképek és folyamatos kockázatértékelési jelentések
A következő típusú jelentéseket hozhatja létre:
Pillanatkép-jelentések – Alkalmi láthatóságot biztosít a tűzfalakból és proxykból manuálisan feltöltött forgalmi naplók készletén.
Folyamatos jelentések – Elemezheti a hálózatról a Defender for Cloud Apps keresztül továbbított összes naplót. Jobb átláthatóságot biztosítanak az összes adathoz, és automatikusan azonosítják a rendellenes használatot a Machine Learning anomáliadetektálási motorja vagy az Ön által meghatározott egyéni szabályzatok használatával. Ezek a jelentések a következő módokon hozhatók létre:
- Végponthoz készült Microsoft Defender integráció: Defender for Cloud Apps natív módon integrálható a Végponthoz készült Defenderrel, így egyszerűbbé válik a felhőfelderítés bevezetése, kibővíthetőek a felhőfelderítési képességek a vállalati hálózaton túl, és lehetővé válik a gépalapú vizsgálat.
- Naplógyűjtő: A naplógyűjtők segítségével egyszerűen automatizálhatja a naplófeltöltést a hálózatról. A naplógyűjtő a hálózaton fut, és syslogon vagy FTP-n keresztül fogadja a naplókat.
- Biztonságos webátjáró (SWG): Ha Defender for Cloud Apps és az alábbi SWG-k egyikével is dolgozik, integrálhatja a termékeket a biztonsági felhőfelderítési élmény fokozása érdekében. A Defender for Cloud Apps és a SWG-k együttesen biztosítják a felhőfelderítés zökkenőmentes üzembe helyezését, a nem engedélyezett alkalmazások automatikus blokkolását és a kockázatfelmérést közvetlenül az SWG portálján.
Cloud Discovery API – A Defender for Cloud Apps cloud discovery API használatával automatizálhatja a forgalmi naplók feltöltését, és automatikus felhőfelderítési jelentést és kockázatfelmérést kaphat. Az API-val blokkszkripteket is létrehozhat , és közvetlenül a hálózati berendezésre egyszerűsítheti az alkalmazásvezérlőket.
Naplófolyamat: A nyers adatoktól a kockázatértékelésig
A kockázatértékelés létrehozásának folyamata a következő lépésekből áll. A folyamat a feldolgozott adatok mennyiségétől függően néhány perctől több óráig is eltarthat.
Feltöltés – A hálózat webes forgalmi naplói feltöltődnek a portálra.
Elemzés – Defender for Cloud Apps elemzi és kinyeri a forgalmi adatokat a forgalmi naplókból az egyes adatforrásokhoz tartozó dedikált elemzővel.
Elemzés – A rendszer a forgalmi adatokat a felhőalkalmazás-katalógus alapján elemzi, így több mint 31 000 felhőalkalmazást azonosíthat, és felmérheti a kockázati pontszámukat. Az aktív felhasználókat és IP-címeket a rendszer az elemzés részeként is azonosítja.
Jelentés létrehozása – A naplófájlokból kinyert adatokról készül kockázatfelmérési jelentés.
Megjegyzés:
A felderítési adatok naponta négyszer lesznek elemezve és frissítve.
Támogatott tűzfalak és proxyk
- Barracuda – Webalkalmazási tűzfal (W3C)
- Blue Coat Proxy SG – Hozzáférési napló (W3C)
- Check Point
- Cisco ASA és FirePOWER
- Cisco ASA-tűzfal (Cisco ASA-tűzfalak esetén az információs szintet 6-ra kell állítani)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – URL-napló
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Erőpont
- Fortinet Fortigate
- iboss Secure Cloud Gateway
- Boróka SRX
- Boróka SSG
- McAfee Secure Web Gateway
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto sorozat tűzfala
- Sonicwall (korábban Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Tintahal (gyakori)
- Tintahal (natív)
- Stormshield
- Wandera
- WatchGuard
- Websense – Webes biztonsági megoldások – Internetes tevékenységnapló (CEF)
- Websense – Web Security Solutions – Vizsgálati adatok jelentése (CSV)
- Zscaler
Megjegyzés:
A felhőfelderítés az IPv4- és az IPv6-címeket is támogatja.
Ha a napló nem támogatott, vagy ha az egyik támogatott adatforrásból származó, újonnan kiadott naplóformátumot használ, és a feltöltés sikertelen, válassza az Egyéblehetőséget adatforrásként , és adja meg a feltölteni kívánt berendezést és naplót. A naplót a Defender for Cloud Apps felhőelemző csapat fogja áttekinteni, és értesítést kap, ha a rendszer támogatja a naplótípust. Másik lehetőségként megadhat egy egyéni elemzőt, amely megfelel a formátumnak. További információ: Egyéni naplóelemző használata.
Megjegyzés:
Előfordulhat, hogy a támogatott berendezések alábbi listája nem működik az újonnan kiadott naplóformátumokkal. Ha újonnan kiadott formátumot használ, és a feltöltés sikertelen, használjon egyéni naplóelemzőt , és szükség esetén nyisson meg egy támogatási esetet. Ha támogatási esetet nyit meg, mindenképpen adja meg a megfelelő tűzfaldokumentációt az esethez.
Adatattribútumok (a szállító dokumentációja szerint):
| Adatforrás | Célalkalmazás URL-címe | Célalkalmazás IP-címe | Felhasználónév | Forrás IP-címe | Teljes forgalom | Feltöltött bájtok |
|---|---|---|---|---|---|---|
| Barracuda hal | Igen | Igen | Igen | Igen | Nem | Nem |
| Kék kabát | Igen | Nem | Igen | Igen | Igen | Igen |
| Check Point | Nem | Igen | Nem | Igen | Nem | Nem |
| Cisco ASA (Syslog) | Nem | Igen | Nem | Igen | Igen | Nem |
| Cisco ASA és FirePOWER | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco Cloud Web Security | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco FWSM | Nem | Igen | Nem | Igen | Igen | Nem |
| Cisco Ironport WSA | Igen | Igen | Igen | Igen | Igen | Igen |
| Cisco Meraki | Igen | Igen | Nem | Igen | Nem | Nem |
| Clavister NGFW (Syslog) | Igen | Igen | Igen | Igen | Igen | Igen |
| ContentKeeper | Igen | Igen | Igen | Igen | Igen | Igen |
| Corrata | Igen | Igen | Igen | Igen | Igen | Igen |
| Digital Arts i-FILTER | Igen | Igen | Igen | Igen | Igen | Igen |
| ForcePoint LEEF | Igen | Igen | Igen | Igen | Igen | Igen |
| ForcePoint Web Security Cloud* | Igen | Igen | Igen | Igen | Igen | Igen |
| Fortinet Fortigate | Nem | Igen | Igen | Igen | Igen | Igen |
| FortiOS | Igen | Igen | Nem | Igen | Igen | Igen |
| iboss | Igen | Igen | Igen | Igen | Igen | Igen |
| Boróka SRX | Nem | Igen | Nem | Igen | Igen | Igen |
| Boróka SSG | Nem | Igen | Igen | Igen | Igen | Igen |
| McAfee SWG | Igen | Nem | Nem | Igen | Igen | Igen |
| Menlo Security (CEF) | Igen | Igen | Igen | Igen | Igen | Igen |
| MS TMG | Igen | Nem | Igen | Igen | Igen | Igen |
| Open Systems Secure Web Gateway | Igen | Igen | Igen | Igen | Igen | Igen |
| Palo Alto Networks | Nem | Igen | Igen | Igen | Igen | Igen |
| SonicWall (korábban Dell) | Igen | Igen | Nem | Igen | Igen | Igen |
| Sophos | Igen | Igen | Igen | Igen | Igen | Nem |
| Tintahal (gyakori) | Igen | Nem | Igen | Igen | Igen | Nem |
| Tintahal (natív) | Igen | Nem | Igen | Igen | Nem | Nem |
| Stormshield | Nem | Igen | Igen | Igen | Igen | Igen |
| Wandera | Igen | Igen | Igen | Igen | Igen | Igen |
| WatchGuard | Igen | Igen | Igen | Igen | Igen | Igen |
| Websense – Internetes tevékenységnapló (CEF) | Igen | Igen | Igen | Igen | Igen | Igen |
| Websense – Vizsgálati adatok jelentése (CSV) | Igen | Igen | Igen | Igen | Igen | Igen |
| Zscaler | Igen | Igen | Igen | Igen | Igen | Igen |
* A ForcePoint Web Security Cloud 8.5-ös és újabb verziói nem támogatottak