다음을 통해 공유


클라우드 앱 검색 개요

클라우드 검색은 31,000개가 넘는 클라우드 앱의 Microsoft Defender for Cloud Apps 카탈로그에 대해 트래픽 로그를 분석합니다. 앱은 90개 이상의 위험 요소를 기반으로 순위가 매겨지고 점수를 매겨 클라우드 사용, 섀도 IT 및 섀도 IT가 organization 미치는 위험에 대한 지속적인 가시성을 제공합니다.

기본적으로 Defender for Cloud Apps 카탈로그에 없는 앱을 검색할 수 없습니다.

현재 카탈로그에 없는 앱에 대한 Defender for Cloud Apps 데이터를 보려면 로드맵을 검사) 사용자 지정 앱을 만드는 것이 좋습니다.

스냅샷 및 연속 위험 평가 보고서

다음과 같은 유형의 보고서를 생성할 수 있습니다.

  • 스냅샷 보고서 - 방화벽 및 프록시에서 수동으로 업로드하는 트래픽 로그의 집합에 대한 임시 표시 유형을 제공합니다.

  • 연속 보고서 - Defender for Cloud Apps 사용하여 네트워크에서 전달되는 모든 로그를 분석합니다. 모든 데이터에 대한 가시성을 향상시키고, 기계 학습 변칙 검색 엔진을 사용하거나 사용자가 정의한 사용자 지정 정책을 사용하여 비정상적인 사용을 자동으로 식별합니다. 이러한 보고서는 다음과 같은 방법으로 연결하여 만들 수 있습니다.

    • 엔드포인트용 Microsoft Defender 통합: Defender for Cloud Apps 기본적으로 엔드포인트용 Defender와 통합되어 클라우드 검색의 출시를 간소화하고, 회사 네트워크를 넘어 클라우드 검색 기능을 확장하고, 머신 기반 조사를 사용하도록 설정합니다.
    • 로그 수집기: 로그 수집기를 사용하면 네트워크에서 로그 업로드를 쉽게 자동화할 수 있습니다. 로그 수집기는 네트워크에서 실행하고 Syslog 또는 FTP를 통해 로그를 수신합니다.
    • SWG(보안 웹 게이트웨이) : Defender for Cloud Apps 및 다음 SWG 중 하나를 모두 사용하는 경우 제품을 통합하여 보안 클라우드 검색 환경을 향상시킬 수 있습니다. Defender for Cloud Apps 및 SWG는 함께 SWG 포털에서 직접 클라우드 검색의 원활한 배포, 허가되지 않은 앱의 자동 차단 및 위험 평가를 제공합니다.
  • 클라우드 검색 API – Defender for Cloud Apps 클라우드 검색 API를 사용하여 트래픽 로그 업로드를 자동화하고 자동화된 클라우드 검색 보고서 및 위험 평가를 가져옵니다. 또한 API를 사용하여 블록 스크립트를 생성하고 네트워크 어플라이언스에 직접 앱 제어를 간소화할 있습니다.

로그 프로세스 흐름: 원시 데이터에서 위험 평가로

위험 평가를 생성하는 프로세스는 다음 단계로 구성됩니다. 프로세스는 처리되는 데이터의 양에 따라 몇 분에서 몇 시간 사이가 걸립니다.

  • 업로드 – 네트워크에서 웹 트래픽 로그가 포털에 업로드됩니다.

  • 구문 분석 – Defender for Cloud Apps 각 데이터 원본에 대한 전용 파서로 트래픽 로그에서 트래픽 데이터를 구문 분석하고 추출합니다.

  • 분석 – 트래픽 데이터는 클라우드 앱 카탈로그에 대해 분석되어 31,000개 이상의 클라우드 앱을 식별하고 위험 점수를 평가합니다. 활성 사용자 및 IP 주소도 분석의 일부로 식별됩니다.

  • 보고서 생성 - 로그 파일에서 추출된 데이터의 위험 평가 보고서가 생성됩니다.

참고

검색 데이터는 하루에 네 번 분석 및 업데이트됩니다.

지원되는 방화벽 및 프록시

  • Barracuda - W3C(Web App Firewall)
  • 블루 코트 프록시 SG - 액세스 로그(W3C)
  • Check Point
  • FirePOWER를 사용하는 Cisco ASA
  • Cisco ASA 방화벽(Cisco ASA 방화벽의 경우 정보 수준을 6으로 설정해야 합니다.)
  • Cisco Cloud Web Security
  • Cisco FWSM
  • Cisco IronPort WSA
  • Cisco Meraki – URL 로그
  • Clavister NGFW(Syslog)
  • ContentKeeper
  • 코라타 주
  • Digital Arts i-FILTER
  • Forcepoint
  • Fortinet Fortigate
  • iboss Secure Cloud Gateway
  • Juniper SRX
  • Juniper SSG
  • McAfee 보안 웹 게이트웨이
  • CEF(Menlo Security)
  • Microsoft Forefront 위협 관리 게이트웨이(W3C)
  • Open Systems Secure Web Gateway
  • Palo Alto 시리즈 방화벽
  • 소닉월(이전의 Dell)
  • Sophos Cyberoam
  • Sophos SG
  • Sophos XG
  • 오징어(일반)
  • 오징어(네이티브)
  • Stormshield
  • Wandera
  • WatchGuard
  • Websense - 웹 보안 솔루션 - CEF(인터넷 활동 로그)
  • Websense - 웹 보안 솔루션 - CSV(조사 세부 정보 보고서)
  • Zscaler

참고

클라우드 검색은 IPv4 및 IPv6 주소를 모두 지원합니다.

로그가 지원되지 않거나 지원되는 데이터 원본 중 하나에서 새로 릴리스된 로그 형식을 사용하고 업로드가 실패하는 경우 기타를 데이터 원본으로 선택하고 업로드하려는 어플라이언스 및 로그를 지정합니다. 로그는 Defender for Cloud Apps 클라우드 분석가 팀에서 검토하며 로그 유형에 대한 지원이 추가되면 알림을 받습니다. 또는 형식과 일치하는 사용자 지정 파서 를 정의할 수 있습니다. 자세한 내용은 사용자 지정 로그 파서 사용을 참조하세요.

참고

지원되는 어플라이언스의 다음 목록은 새로 릴리스된 로그 형식에서 작동하지 않을 수 있습니다. 새로 릴리스된 형식을 사용하고 업로드에 실패하는 경우 사용자 지정 로그 파서 를 사용하고 필요한 경우 지원 사례를 엽니다. 지원 사례를 여는 경우 관련 방화벽 설명서에 사례를 제공해야 합니다.

데이터 특성(공급업체 설명서에 따라):

데이터 원본 대상 앱 URL 대상 앱 IP 사용자 이름 원본 IP 총 트래픽 업로드된 바이트
바라쿠다 아니요 아니요
블루 코트 아니요
Check Point 아니오 아니요 아니요 아니요
Cisco ASA(Syslog) 아니오 아니요 아니요
FirePOWER를 사용하는 Cisco ASA
Cisco Cloud Web Security
Cisco FWSM 아니오 아니요 아니요
Cisco Ironport WSA
시스코 메라키 아니요 아니요 아니요
Clavister NGFW(Syslog)
ContentKeeper
코라타 주
Digital Arts i-FILTER
ForcePoint LEEF
ForcePoint Web Security Cloud*
Fortinet Fortigate 아니오
FortiOS 아니요
iboss
Juniper SRX 아니요 아니요
Juniper SSG 아니오
McAfee SWG 아니요 아니요
CEF(Menlo Security)
MS TMG 아니요
Open Systems Secure Web Gateway
Palo Alto Networks 아니요
SonicWall(이전의 Dell) 아니요
소포스 주 아니요
오징어(일반) 아니요 아니요
오징어(네이티브) 아니요 아니요 아니요
Stormshield 아니요
Wandera
WatchGuard
Websense - CEF(인터넷 활동 로그)
Websense - 조사 세부 정보 보고서(CSV)
Zscaler

* ForcePoint Web Security Cloud 버전 8.5 이상은 지원되지 않습니다.

다음 단계