다음을 통해 공유

스냅샷 클라우드 검색 보고서 만들기

  • 아티클

자동 로그 수집기를 사용하기 전에 로그를 수동으로 업로드하고 Microsoft Defender for Cloud Apps에서 구문 분석하도록 하는 것이 중요합니다. 로그 수집기가 작동하는 방식 및 예상 로그 형식에 대한 자세한 내용은 클라우드 검색에 트래픽 로그 사용을 참조하세요.

아직 로그가 없고 로그의 모양을 확인하려면 샘플 로그 파일을 다운로드합니다. 아래 절차에 따라 로그의 모양을 확인합니다.

스냅샷 보고서를 만들려면 다음을 수행합니다.

  1. 조직의 사용자가 인터넷에 액세스하는 방화벽 및 프록시에서 로그 파일을 수집합니다. 조직의 모든 사용자 활동을 나타내는 트래픽이 가장 많은 시간 동안 로그를 수집해야 합니다.

  2. Microsoft Defender Portal의 Cloud Apps에서 클라우드 검색을 선택합니다.

  3. 오른쪽 위 모서리에서 작업을 끌어와서 Cloud Discovery 스냅샷 보고서 만들기를 선택합니다.

    새 스냅샷 보고서를 만듭니다.

  4. 다음을 선택합니다.

  5. 보고서 이름설명 입력

    새 스냅샷 보고서.

  6. 로그 파일을 업로드할 원본을 선택합니다. 원본이 지원되지 않는 경우(전체 목록에 대해 지원되는 방화벽 및 프록시 참조) 사용자 지정 파서를 만들 수 있습니다. 자세한 내용은 사용자 지정 로그 파서 사용을 참조하세요.

  7. 다운로드할 수 있는 샘플 로그에 따라 로그 형식이 올바르게 지정되었는지 확인합니다. 로그 형식 확인에서 로그 형식 보기를 선택한 다음 샘플 로그 다운로드를 선택합니다. 로그를 제공된 샘플과 비교하여 호환되는지 확인합니다.

    로그 형식을 확인합니다.

    참고

    FTP 샘플 형식은 스냅샷 및 자동화된 업로드에서 지원되지만 syslog는 자동화된 업로드에서만 지원됩니다. 샘플 로그를 다운로드하면 샘플 FTP 로그가 다운로드됩니다.

  8. 업로드하려는 트래픽 로그를 업로드합니다 . 한 번에 최대 20개 파일을 업로드할 수 있습니다. 압축된 파일과 압축된 파일도 지원됩니다.

    트래픽 로그를 업로드합니다.

  9. 로그 업로드를 선택합니다.

  10. 업로드가 완료되면 로그가 성공적으로 업로드되었음을 알리는 상태 메시지가 화면의 오른쪽 위에 표시됩니다.

  11. 로그 파일을 업로드한 후 구문 분석 및 분석하는 데 다소 시간이 걸립니다. 로그 파일 처리가 완료되면 완료되었음을 알리는 전자 메일을 받게 됩니다.

  12. Cloud Discovery dashboard 맨 위에 있는 상태 표시줄에 알림 배너가 표시됩니다. 배너는 로그 파일의 처리 상태로 업데이트합니다. 처리 로그 파일 메뉴 모음입니다.

  13. 로그가 성공적으로 업로드되면 로그 파일 처리가 성공적으로 완료되었음을 알리는 알림이 표시됩니다. 이때 상태 표시줄에서 링크를 선택하여 보고서를 볼 수 있습니다. 또는 Microsoft Defender 포털에서 설정을 선택합니다.

  14. 그런 다음 Cloud Discovery에서 스냅샷 보고서를 선택하고 스냅샷 보고서를 선택합니다.

    보고서 관리를 스냅샷.

클라우드 검색에 트래픽 로그 사용

클라우드 검색은 트래픽 로그의 데이터를 사용합니다. 로그가 더 자세할수록 더 나은 가시성을 얻을 수 있습니다. 클라우드 검색에는 다음 특성이 있는 웹 트래픽 데이터가 필요합니다.

  • 트랜잭션 날짜
  • 원본 IP
  • 원본 사용자 - 적극 권장
  • 대상 IP 주소
  • 대상 URL 권장 (URL은 IP 주소보다 클라우드 앱 검색에 더 높은 정확도 제공)
  • 총 데이터 양(데이터 정보는 매우 가치 있음)
  • 업로드되거나 다운로드된 데이터의 양(클라우드 앱의 사용 패턴에 대한 인사이트 제공)
  • 수행한 작업(허용/차단)

클라우드 검색은 로그에 포함되지 않은 특성을 표시하거나 분석할 수 없습니다. 예를 들어 Cisco ASA 방화벽 표준 로그 형식에는 트랜잭션당 업로드된 바이트 수, 사용자 이름대상 URL (대상 IP만 해당)이 없습니다. 따라서 이러한 특성은 이러한 로그에 대한 클라우드 검색 데이터에 표시되지 않으며 클라우드 앱에 대한 가시성이 제한됩니다. Cisco ASA 방화벽의 경우 정보 수준을 6으로 설정해야 합니다.

클라우드 검색 보고서를 성공적으로 생성하려면 트래픽 로그가 다음 조건을 충족해야 합니다.

  1. 데이터 원본이 지원됩니다.
  2. 로그 형식은 예상 표준 형식(로그 도구에서 업로드 시 선택한 형식)과 일치합니다.
  3. 이벤트가 90일을 넘지 않습니다.
  4. 로그 파일은 유효하며 아웃바운드 트래픽 정보를 포함합니다.

다음 단계

정책을 사용하여 클라우드 앱 제어

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.