Freigeben über

Erstellen von Momentaufnahme Cloud Discovery-Berichten

  • Artikel

Es ist wichtig, ein Protokoll manuell hochzuladen und es von Microsoft Defender for Cloud Apps analysieren zu lassen, bevor Sie versuchen, den automatischen Protokollsammler zu verwenden. Informationen zur Funktionsweise des Protokollsammlers und zum erwarteten Protokollformat finden Sie unter Verwenden von Datenverkehrsprotokollen für die Cloudermittlung.

Wenn Sie noch kein Protokoll haben und ein Beispiel dafür sehen möchten, wie Ihr Protokoll aussehen sollte, laden Sie eine Beispielprotokolldatei herunter. Führen Sie die folgende Prozedur aus, um zu sehen, wie Ihr Protokoll aussehen sollte.

So erstellen Sie einen Momentaufnahme Bericht:

  1. Sammeln Sie Protokolldateien von Ihrer Firewall und Ihrem Proxy, über die Benutzer in Ihrer Organisation auf das Internet zugreifen. Stellen Sie sicher, dass Sie Protokolle zu Spitzenzeiten des Datenverkehrs sammeln, die für alle Benutzeraktivitäten in Ihrer Organisation repräsentativ sind.

  2. Wählen Sie im Microsoft Defender-Portal unter Cloud-Appsdie Option Cloud Discovery aus.

  3. Ziehen Sie in der oberen rechten Ecke Aktionen, und wählen Sie Cloud Discovery Momentaufnahme Bericht erstellen aus.

    Erstellen Sie einen neuen Momentaufnahme Bericht.

  4. Wählen Sie Weiter aus.

  5. Geben Sie einen Berichtsnamen und eine Beschreibung ein.

    Neuer Momentaufnahme Bericht.

  6. Wählen Sie die Quelle aus, aus der Sie die Protokolldateien hochladen möchten. Wenn Ihre Quelle nicht unterstützt wird (vollständige Liste finden Sie unter Unterstützte Firewalls und Proxys ), können Sie einen benutzerdefinierten Parser erstellen. Weitere Informationen finden Sie unter Verwenden eines benutzerdefinierten Protokollparsers.

  7. Überprüfen Sie das Protokollformat, um sicherzustellen, dass es gemäß dem Beispielprotokoll, das Sie herunterladen können, ordnungsgemäß formatiert ist. Wählen Sie unter Protokollformat überprüfen, Protokollformat anzeigen dann Beispielprotokoll herunterladen aus. Vergleichen Sie Ihr Protokoll mit dem bereitgestellten Beispiel, um sicherzustellen, dass es kompatibel ist.

    Überprüfen Sie Ihr Protokollformat.

    Hinweis

    Das FTP-Beispielformat wird in Momentaufnahmen und automatisiertem Upload unterstützt, während Syslog nur beim automatisierten Hochladen unterstützt wird. Beim Herunterladen eines Beispielprotokolls wird ein FTP-Beispielprotokoll heruntergeladen.

  8. Laden Sie Datenverkehrsprotokolle hoch, die Sie hochladen möchten. Sie können bis zu 20 Dateien gleichzeitig hochladen. Komprimierte und gezippte Dateien werden ebenfalls unterstützt.

    Laden Sie Datenverkehrsprotokolle hoch.

  9. Wählen Sie Protokolle hochladen aus.

  10. Nach Abschluss des Uploads wird die meldung status in der oberen rechten Ecke des Bildschirms angezeigt, die Sie darüber informiert, dass Ihr Protokoll erfolgreich hochgeladen wurde.

  11. Nachdem Sie Ihre Protokolldateien hochgeladen haben, dauert es einige Zeit, bis sie geparst und analysiert werden. Nachdem die Verarbeitung Ihrer Protokolldateien abgeschlossen ist, erhalten Sie eine E-Mail, in der Sie darüber informiert werden, dass die Verarbeitung abgeschlossen wurde.

  12. Ein Benachrichtigungsbanner wird in der status leiste oben im Cloud Discovery-Dashboard angezeigt. Das Banner aktualisiert Sie mit dem Verarbeitungsstatus Ihrer Protokolldateien. Verarbeiten der Protokolldatei-Menüleiste.

  13. Nachdem die Protokolle erfolgreich hochgeladen wurden, sollte eine Benachrichtigung angezeigt werden, die Sie darüber informiert, dass die Verarbeitung der Protokolldatei erfolgreich abgeschlossen wurde. An diesem Punkt können Sie den Bericht anzeigen, indem Sie auf den Link in der status leiste klicken. Oder wählen Sie im Microsoft Defender Portal Einstellungen aus.

  14. Wählen Sie dann unter Cloud Discoverydie Option Momentaufnahmeberichte und dann Ihren Momentaufnahme Bericht aus.

    Momentaufnahme Berichtsverwaltung.

Verwenden von Datenverkehrsprotokollen für cloud discovery

Cloud Discovery verwendet die Daten in Ihren Datenverkehrsprotokollen. Je detaillierter Ihr Protokoll ist, desto besser ist die Sichtbarkeit, die Sie erhalten. Cloud Discovery erfordert Webdatendaten mit den folgenden Attributen:

  • Datum der Transaktion
  • Quell-IP
  • Quell-Benutzer – sehr empfohlen
  • Ziel-IP-Adresse
  • Ziel-URL empfohlen (URLs bieten eine höhere Genauigkeit für die Cloud-App-Erkennung als IP-Adressen)
  • Gesamtmenge der Daten (Dateninformationen sind sehr wertvoll)
  • Menge der hochgeladenen/heruntergeladenen Daten (bietet Einblicke in Nutzungsmuster von Cloud-Apps)
  • Ergriffene Aktion (erlaubt/blockiert)

Cloud Discovery kann keine Attribute anzeigen oder analysieren, die nicht in Ihren Protokollen enthalten sind. Beispielsweise weist das Standardprotokollformat von Cisco ASA Firewall nicht die Anzahl der hochgeladenen Bytes pro Transaktion, Benutzername und Ziel-URL (nur Ziel-IP) auf. Daher werden diese Attribute nicht in Cloud Discovery-Daten für diese Protokolle angezeigt, und der Einblick in die Cloud-Apps ist eingeschränkt. Für Cisco ASA-Firewalls muss die Informationsebene auf 6 festgelegt werden.

Um erfolgreich einen Cloud Discovery-Bericht zu generieren, müssen Ihre Datenverkehrsprotokolle die folgenden Bedingungen erfüllen:

  1. Datenquelle wird unterstützt.
  2. Das Protokollformat entspricht dem erwarteten Standardformat (Format, das beim Hochladen durch das Protokolltool überprüft wird).
  3. Ereignisse sind nicht mehr als 90 Tage alt.
  4. Die Protokolldatei ist gültig und enthält Informationen zum ausgehenden Datenverkehr.

Nächste Schritte

Steuerung von Cloud-Apps mit Richtlinien

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.