Panoramica dell'individuazione delle app cloud
Cloud Discovery analizza i log del traffico rispetto al catalogo Microsoft Defender for Cloud Apps di oltre 31.000 app cloud. Le app vengono classificate e valutate in base a più di 90 fattori di rischio per offrire visibilità continua sull'uso del cloud, sull'IT shadow e sul rischio posto dall'IT shadow nell'organizzazione.
Consiglio
Per impostazione predefinita, Defender for Cloud Apps non riesce a individuare le app non presenti nel catalogo.
Per visualizzare Defender for Cloud Apps dati per un'app che non è attualmente presente nel catalogo, è consigliabile controllare la roadmap) o creare un'app personalizzata.
Report relativi a snapshot e alla valutazione continua dei rischi
È possibile generare i tipi di report seguenti:
Report snapshot : offre visibilità ad hoc su un set di log del traffico caricati manualmente dai firewall e dai proxy.
Report continui: analizzare tutti i log inoltrati dalla rete usando Defender for Cloud Apps. Offrono una maggiore visibilità su tutti i dati e identificano automaticamente l'uso anomalo mediante il motore di rilevamento anomalie di Machine Learning o usando criteri personalizzati definiti dall'utente. Questi report possono essere creati connettendosi nei modi seguenti:
- integrazione Microsoft Defender per endpoint: Defender for Cloud Apps si integra in modo nativo con Defender per endpoint, per semplificare l'implementazione dell'individuazione cloud, estendere le funzionalità di individuazione cloud oltre la rete aziendale e abilitare l'analisi basata su computer.
- Agente di raccolta log: gli agenti di raccolta log consentono di automatizzare facilmente il caricamento dei log dalla rete. La raccolta di log viene eseguita nella rete e riceve i log tramite SysLog o FTP.
- Secure Web Gateway (SWG): se si usa sia Defender for Cloud Apps che uno dei seguenti swg, è possibile integrare i prodotti per migliorare l'esperienza di individuazione cloud di sicurezza. Insieme, Defender for Cloud Apps e swg offrono una distribuzione senza problemi dell'individuazione cloud, il blocco automatico delle app non approvate e la valutazione dei rischi direttamente nel portale di SWG.
API di individuazione cloud: usare l'API di individuazione cloud Defender for Cloud Apps per automatizzare il caricamento del log del traffico e ottenere report di individuazione cloud automatizzati e valutazione dei rischi. È anche possibile usare l'API per generare script di blocco e semplificare i controlli delle app direttamente nell'appliance di rete.
Flusso del processo di log: dai dati non elaborati alla valutazione dei rischi
Il processo di generazione di una valutazione dei rischi è costituito dai passaggi seguenti. Il processo richiede da pochi minuti a diverse ore a seconda della quantità di dati elaborati.
Caricamento : i log del traffico Web dalla rete vengono caricati nel portale.
Analizza: Defender for Cloud Apps analizza ed estrae i dati del traffico dai log del traffico con un parser dedicato per ogni origine dati.
Analizza : i dati sul traffico vengono analizzati rispetto al catalogo di app cloud per identificare più di 31.000 app cloud e per valutarne il punteggio di rischio. Anche gli utenti attivi e gli indirizzi IP vengono identificati come parte dell'analisi.
Genera report : viene generato un report di valutazione dei rischi dei dati estratti dai file di log.
Nota
I dati di individuazione vengono analizzati e aggiornati quattro volte al giorno.
Firewall e proxy supportati
- Barracuda - Web App Firewall (W3C)
- Blue Coat Proxy SG - Log di accesso (W3C)
- Check Point
- Cisco ASA con FirePOWER
- Cisco ASA Firewall (per i firewall Cisco ASA, è necessario impostare il livello di informazioni su 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki - Log URL
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- Digital Arts i-FILTER
- Punto di forza
- Fortinet Fortigate
- Gateway cloud sicuro iboss
- Juniper SRX
- Juniper SSG
- Gateway Web sicuro McAfee
- Menlo Security (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Open Systems Secure Web Gateway
- Palo Alto serie Firewall
- Sonicwall (in precedenza Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Calamari (comune)
- Calamari (nativo)
- Stormshield
- Wandera
- WatchGuard
- Websense - Web Security Solutions - Log attività Internet (CEF)
- Websense - Soluzioni di sicurezza Web - Report dettagliato investigativo (CSV)
- Zscaler
Nota
L'individuazione cloud supporta gli indirizzi IPv4 e IPv6.
Se il log non è supportato o se si usa un formato di log appena rilasciato da una delle origini dati supportate e il caricamento non riesce, selezionare Altro come origine dati e specificare l'appliance e il log che si sta tentando di caricare. Il log verrà esaminato dal team di analista cloud Defender for Cloud Apps e si riceverà una notifica se viene aggiunto il supporto per il tipo di log. In alternativa, è possibile definire un parser personalizzato corrispondente al formato. Per altre informazioni, vedere Usare un parser di log personalizzato.
Nota
L'elenco seguente di appliance supportate potrebbe non funzionare con i formati di log appena rilasciati. Se si usa un formato appena rilasciato e il caricamento non riesce, usare un parser di log personalizzato e, se necessario, aprire un caso di supporto. Se si apre un caso di supporto, assicurarsi di fornire la documentazione del firewall pertinente con il caso.
Attributi di dati (in base alla documentazione del fornitore):
| Origine dati | URL dell'app di destinazione | IP dell'app di destinazione | Username | IP di origine | Traffico totale | Byte caricati |
|---|---|---|---|---|---|---|
| Barracuda | Sì | Sì | Sì | Sì | No | No |
| Cappotto blu | Sì | No | Sì | Sì | Sì | Sì |
| Check Point | No | Sì | No | Sì | No | No |
| Cisco ASA (Syslog) | No | Sì | No | Sì | Sì | No |
| Cisco ASA con FirePOWER | Sì | Sì | Sì | Sì | Sì | Sì |
| Cisco Cloud Web Security | Sì | Sì | Sì | Sì | Sì | Sì |
| Cisco FWSM | No | Sì | No | Sì | Sì | No |
| Cisco Ironport WSA | Sì | Sì | Sì | Sì | Sì | Sì |
| Cisco Meraki | Sì | Sì | No | Sì | No | No |
| Clavister NGFW (Syslog) | Sì | Sì | Sì | Sì | Sì | Sì |
| ContentKeeper | Sì | Sì | Sì | Sì | Sì | Sì |
| Corrata | Sì | Sì | Sì | Sì | Sì | Sì |
| Digital Arts i-FILTER | Sì | Sì | Sì | Sì | Sì | Sì |
| ForcePoint LEEF | Sì | Sì | Sì | Sì | Sì | Sì |
| ForcePoint Web Security Cloud* | Sì | Sì | Sì | Sì | Sì | Sì |
| Fortinet Fortigate | No | Sì | Sì | Sì | Sì | Sì |
| FortiOS | Sì | Sì | No | Sì | Sì | Sì |
| iboss | Sì | Sì | Sì | Sì | Sì | Sì |
| Juniper SRX | No | Sì | No | Sì | Sì | Sì |
| Juniper SSG | No | Sì | Sì | Sì | Sì | Sì |
| McAfee SWG | Sì | No | No | Sì | Sì | Sì |
| Menlo Security (CEF) | Sì | Sì | Sì | Sì | Sì | Sì |
| MS TMG | Sì | No | Sì | Sì | Sì | Sì |
| Open Systems Secure Web Gateway | Sì | Sì | Sì | Sì | Sì | Sì |
| Palo Alto Networks | No | Sì | Sì | Sì | Sì | Sì |
| SonicWall (in precedenza Dell) | Sì | Sì | No | Sì | Sì | Sì |
| Sophos | Sì | Sì | Sì | Sì | Sì | No |
| Calamari (comune) | Sì | No | Sì | Sì | Sì | No |
| Calamari (nativo) | Sì | No | Sì | Sì | No | No |
| Stormshield | No | Sì | Sì | Sì | Sì | Sì |
| Wandera | Sì | Sì | Sì | Sì | Sì | Sì |
| WatchGuard | Sì | Sì | Sì | Sì | Sì | Sì |
| Websense - Log attività Internet (CEF) | Sì | Sì | Sì | Sì | Sì | Sì |
| Websense - Report dettagliato investigativo (CSV) | Sì | Sì | Sì | Sì | Sì | Sì |
| Zscaler | Sì | Sì | Sì | Sì | Sì | Sì |
* Le versioni 8.5 e successive di ForcePoint Web Security Cloud non sono supportate