建立快照集雲端探索報告

請手動上傳記錄，並讓 Microsoft Defender for Cloud Apps 先剖析記錄，再嘗試使用自動記錄收集器。 如需記錄收集器運作方式和預期記錄格式的資訊，請參閱 使用流量記錄進行雲端探索。

如果您還沒有記錄檔，而且想要查看記錄的外觀範例，請下載範例記錄檔。 請遵循下列程序以查看您的記錄外觀。

若要建立快照集報表：

1. 從貴組織中的使用者存取網路的防火牆和 Proxy 來收集記錄檔。 請務必在尖峰流量期間收集可代表貴組織中所有使用者活動的記錄。

2. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下，選取 [雲端探索]。

3. 在右上角，下拉 [動作]，然後選取 [ 建立 Cloud Discovery 快照集報告]。

   

4. 選取 [下一步]。

5. 輸入 報表名稱 和 描述

   

6. 選取您想要從中上傳記錄檔案的 資料來源。 如果您的來源不受支援 (請參閱完整清單) 支援的防火牆和 Proxy ，您可以建立自定義剖析器。 如需詳細資訊，請 參閱使用自定義記錄剖析器。

7. 確認您的記錄格式，確定該記錄已根據您可以下載的範例記錄進行適當格式化設定。 在 驗證您的記錄格式 底下，選取 檢視記錄格式，然後選取下載範例記錄。 比較您的記錄與提供的範例，以確保格式是相容的。

   

   注意事項

   快照集和自動上傳支援 FTP 範例格式，而 Syslog 僅支援自動上傳。 下載範例記錄將會下載範例 FTP 記錄。

8. 上傳您要上傳的流量記錄。 您一次最多可以上傳 20 個檔案。 已壓縮的和壓縮檔也支援使用。

   

9. 選取 上傳記錄。

10. 上傳完成之後，狀態消息會出現在畫面右上角，讓您知道記錄已成功上傳。

11. 上傳記錄檔案之後，會需要一些時間來剖析及分析這些檔案。 完成記錄檔的處理之後，您會收到一封電子郵件通知您已完成。

12. 通知橫幅會出現在 Cloud Discovery 儀錶板頂端的狀態欄中。 通知橫幅會更新記錄檔的處理狀態。

13. 成功上傳記錄之後，您應該會看到一個讓您知道該記錄檔處理已順利完成的通知。 此時，您可以選取狀態列中的連結來檢視報表。 或者，在 Microsoft Defender 入口網站中，選取 [設定]。

14. 然後在 [Cloud Discovery] 底下，選取 [快照集報表]，然後選取您的快照集報表。

    

使用流量記錄進行雲端探索

雲端探索會使用流量記錄中的數據。 您的記錄越詳細，您的可見度就越高。 雲端探索需要具有下列屬性的 Web 流量數據：

• 交易日期
• 來源 IP
• 來源使用者 - 強烈建議
• 目的地 IP 位址
• 建議的目的地 URL (URL 提供比 IP 位址更高的雲端應用程式偵測精確度)
• 資料總量 (資料資訊是非常寶貴的)
• 上傳或下載的資料量 (提供雲端應用程式的使用方式模式的深入解析)
• 採取的動作 (允許/封鎖)

雲端探索無法顯示或分析記錄中未包含的屬性。 例如， Cisco ASA 防火牆 標準記錄格式沒有 每個交易上傳的位元元組數目、 使用者名稱和 目標 URL (僅限目標 IP) 。 因此，這些屬性不會顯示在這些記錄的雲端探索數據中，而且雲端應用程式的可見度將會受到限制。 對於 Cisco ASA 防火牆，需要將資訊層級設定為 6。

若要成功產生雲端探索報告，您的流量記錄必須符合下列條件：

1. 可支援資料來源。
2. 記錄格式符合預期的標準格式 (檔案格式會在透過 [記錄] 工具上傳時進行檢查)。
3. 活動的時間不超過 90 天。
4. 記錄檔有效且包含輸出流量資訊。

後續步驟

如果您遇到任何問題，我們在這裡提供協助。 若要取得產品問題的協助或支援，請 開啟支援票證。