Descrição geral da deteção de aplicações na cloud
A Cloud Discovery analisa os registos de tráfego relativamente ao catálogo de Microsoft Defender para Aplicativos de Nuvem de mais de 31 000 aplicações na cloud. As aplicações são classificadas e classificadas com base em mais de 90 fatores de risco para lhe fornecer visibilidade contínua sobre a utilização da cloud, a TI Sombra e o risco que a TI Sombra representa na sua organização.
Dica
Por predefinição, Defender para Aplicativos de Nuvem não consegue detetar aplicações que não estão no catálogo.
Para ver Defender para Aplicativos de Nuvem dados de uma aplicação que não está atualmente no catálogo, recomendamos que marcar nosso mapa de objetivos) ou crie uma aplicação personalizada.
Relatórios de avaliação de risco contínuo e instantâneo
Pode gerar os seguintes tipos de relatórios:
Relatórios de instantâneos – fornece visibilidade ad hoc num conjunto de registos de tráfego que carrega manualmente a partir das firewalls e proxies.
Relatórios contínuos – analise todos os registos que são reencaminhados a partir da sua rede com Defender para Aplicativos de Nuvem. Eles fornecem visibilidade aprimorada sobre todos os dados e identificam automaticamente o uso anormal usando o Machine Learning de detecção de anomalias ou usando políticas personalizadas que você define. Esses relatórios podem ser criados conectando-se das seguintes maneiras:
- Microsoft Defender para Ponto de Extremidade integração: Defender para Aplicativos de Nuvem integra-se no Defender para Endpoint nativamente, para simplificar a implementação da cloud Discovery, expandir as capacidades de deteção da cloud para além da sua rede empresarial e ativar a investigação baseada em máquinas.
- Recoletor de registos: os recoletores de registos permitem-lhe automatizar facilmente o carregamento de registos a partir da sua rede. O lixo de log é executado na sua rede e recebe logs em Syslog ou FTP.
- Gateway Web Seguro (SWG): se trabalhar com Defender para Aplicativos de Nuvem e um dos seguintes SWGs, pode integrar os produtos para melhorar a sua experiência de deteção de cloud de segurança. Em conjunto, Defender para Aplicativos de Nuvem e SWGs fornecem uma implementação totalmente integrada da deteção da cloud, bloqueio automático de aplicações não aprovadas e avaliação de riscos diretamente no portal do SWG.
API de deteção da cloud – utilize a API Defender para Aplicativos de Nuvem cloud Discovery para automatizar o carregamento do registo de tráfego e obter o relatório de deteção de cloud automatizado e a avaliação de riscos. Você também pode usar a API para gerar scripts de bloco e simplificar os controles de aplicativo diretamente para seu dispositivo de rede.
Fluxo de processo de log: de dados brutos à avaliação de risco
O processo de geração de uma avaliação de risco consiste nas etapas a seguir. O processo leva entre alguns minutos e várias horas, dependendo da quantidade de dados processados.
Carregar – os registos de tráfego da Web da sua rede são carregados para o portal.
Analisar – Defender para Aplicativos de Nuvem analisa e extrai os dados de tráfego dos registos de tráfego com um analisador dedicado para cada origem de dados.
Analisar – os dados de tráfego são analisados relativamente ao catálogo de aplicações na cloud para identificar mais de 31 000 aplicações na cloud e avaliar a classificação de risco. Os usuários ativos e endereços IP também são identificados como parte da análise.
Gerar relatório – é gerado um relatório de avaliação de riscos dos dados extraídos dos ficheiros de registo.
Observação
Os dados de descoberta são analisados e atualizados quatro vezes por dia.
Firewalls e proxies suportados
- Barracuda - Firewall de Aplicações Web (W3C)
- Blue Coat Proxy SG – Registo de acesso (W3C)
- Check Point
- Cisco ASA com FirePOWER
- Firewall do Cisco ASA (para firewalls cisco ASA, é necessário definir o nível de informações para 6)
- Cisco Cloud Web Security
- Cisco FWSM
- Cisco IronPort WSA
- Cisco Meraki – registo de URLs
- Clavister NGFW (Syslog)
- ContentKeeper
- Corrata
- I-FILTER das Artes Digitais
- Forcepoint
- Fortinet Fortigate
- Gateway de Cloud Segura do iboss
- Juniper SRX
- Juniper SSG
- McAfee Secure Web Gateway
- Segurança Menlo (CEF)
- Microsoft Forefront Threat Management Gateway (W3C)
- Abrir o Gateway Web Seguro de Sistemas
- Firewall da série Palo Alto
- Sonicwall (anteriormente Dell)
- Sophos Cyberoam
- Sophos SG
- Sophos XG
- Lula (Comum)
- Lula (Nativa)
- Stormshield
- Wandera
- WatchGuard
- Websense – Soluções de Segurança Web – Registo de atividades da Internet (CEF)
- Websense – Soluções de Segurança Web – Relatório de detalhes de investigação (CSV)
- Zscaler
Observação
A Cloud Discovery suporta endereços IPv4 e IPv6.
Se o registo não for suportado ou se estiver a utilizar um formato de registo recentemente lançado de uma das origens de dados suportadas e o carregamento estiver a falhar, selecione Outro como origem de dados e especifique o dispositivo e o registo que está a tentar carregar. O registo será revisto pela equipa de analistas da cloud Defender para Aplicativos de Nuvem e será notificado se o suporte para o seu tipo de registo for adicionado. Em alternativa, pode definir um analisador personalizado que corresponda ao seu formato. Para obter mais informações, veja Utilizar um analisador de registos personalizado.
Observação
A seguinte lista de aplicações suportadas pode não funcionar com formatos de registo recentemente lançados. Se estiver a utilizar um formato recentemente lançado e o carregamento estiver a falhar, utilize um analisador de registo personalizado e, se necessário, abra um pedido de suporte. Se abrir um pedido de suporte, confirme que fornece a documentação relevante da firewall com o seu caso.
Atributos de dados (de acordo com a documentação do fornecedor):
| Fonte de dados | URL da Aplicação de Destino | IP da Aplicação de Destino | Nome de usuário | IP de Origem | Tráfego total | Bytes carregados |
|---|---|---|---|---|---|---|
| Barracuda | Sim | Sim | Sim | Sim | Não | Não |
| Casaco Azul | Sim | Não | Sim | Sim | Sim | Sim |
| Check Point | Não | Sim | Não | Sim | Não | Não |
| Cisco ASA (Syslog) | Não | Sim | Não | Sim | Sim | Não |
| Cisco ASA com FirePOWER | Sim | Sim | Sim | Sim | Sim | Sim |
| Cisco Cloud Web Security | Sim | Sim | Sim | Sim | Sim | Sim |
| Cisco FWSM | Não | Sim | Não | Sim | Sim | Não |
| Cisco Ironport WSA | Sim | Sim | Sim | Sim | Sim | Sim |
| Cisco Meraki | Sim | Sim | Não | Sim | Não | Não |
| Clavister NGFW (Syslog) | Sim | Sim | Sim | Sim | Sim | Sim |
| ContentKeeper | Sim | Sim | Sim | Sim | Sim | Sim |
| Corrata | Sim | Sim | Sim | Sim | Sim | Sim |
| I-FILTER das Artes Digitais | Sim | Sim | Sim | Sim | Sim | Sim |
| ForcePoint LEEF | Sim | Sim | Sim | Sim | Sim | Sim |
| ForcePoint Web Security Cloud* | Sim | Sim | Sim | Sim | Sim | Sim |
| Fortinet Fortigate | Não | Sim | Sim | Sim | Sim | Sim |
| FortiOS | Sim | Sim | Não | Sim | Sim | Sim |
| iboss | Sim | Sim | Sim | Sim | Sim | Sim |
| Juniper SRX | Não | Sim | Não | Sim | Sim | Sim |
| Juniper SSG | Não | Sim | Sim | Sim | Sim | Sim |
| McAfee SWG | Sim | Não | Não | Sim | Sim | Sim |
| Segurança Menlo (CEF) | Sim | Sim | Sim | Sim | Sim | Sim |
| MS TMG | Sim | Não | Sim | Sim | Sim | Sim |
| Abrir o Gateway Web Seguro de Sistemas | Sim | Sim | Sim | Sim | Sim | Sim |
| Palo Alto Networks | Não | Sim | Sim | Sim | Sim | Sim |
| SonicWall (anteriormente Dell) | Sim | Sim | Não | Sim | Sim | Sim |
| Sophos | Sim | Sim | Sim | Sim | Sim | Não |
| Lula (Comum) | Sim | Não | Sim | Sim | Sim | Não |
| Lula (Nativa) | Sim | Não | Sim | Sim | Não | Não |
| Stormshield | Não | Sim | Sim | Sim | Sim | Sim |
| Wandera | Sim | Sim | Sim | Sim | Sim | Sim |
| WatchGuard | Sim | Sim | Sim | Sim | Sim | Sim |
| Websense – Registo de atividades da Internet (CEF) | Sim | Sim | Sim | Sim | Sim | Sim |
| Websense – Relatório de detalhes de investigação (CSV) | Sim | Sim | Sim | Sim | Sim | Sim |
| Zscaler | Sim | Sim | Sim | Sim | Sim | Sim |
* As versões 8.5 e posteriores da Cloud de Segurança Web do ForcePoint não são suportadas