Creare report di individuazione delle app in Gestione di sicurezza avanzata

Importante :  Il presente articolo è stato tradotto automaticamente, vedere la dichiarazione di non responsabilità. Per visualizzare la versione inglese dell'articolo, fare clic qui.

Individuazione di app di produttività di Office 365 consente di sapere a quali altri servizi cloud gli utenti si connettono e quali usano. Ad esempio, è possibile visualizzare le posizioni che gli utenti usano per l'archiviazione e la collaborazione sui documenti e la quantità di dati che viene caricata nelle app o nei servizi all'esterno di Office 365.

Per generare un report, è necessario caricare manualmente i file di log dai proxy e dai firewall che verranno poi analizzati dalla caratteristica di individuazione delle app per creare il report.

Per saperne di più

Creare un report con la caratteristica di individuazione delle app

Informazioni sui requisiti di formato del log e sulle origini dati supportate

Risolvere gli errori al caricamento dei file di log

Creare un report con la caratteristica di individuazione delle app

Per creare un report di individuazione delle app, identificare l'origine dati del fornitore per i file di log da analizzare, selezionare i file di log e quindi richiedere il report. La caratteristica di individuazione delle app carica i file, li analizza e genera il report.

Seguire i passaggi per creare un report di individuazione delle app.

  1. Raccogliere i file di log dal firewall e dal proxy usati nell'organizzazione per accedere a Internet. Provare a usare i file di log dei periodi di picco del traffico che rappresentano meglio l'attività degli utenti nell'organizzazione.

  2. Passare a https://protection.office.com e accedere come amministratore globale o amministratore della sicurezza. (Verrà visualizzato il Centro sicurezza e centro conformità.)

  3. Scegliere ricerca e indagini > individuazione app produttività.

    Schermata viene visualizzata la sezione ricerca e indagini nell'area di spostamento sinistro di sicurezza di Office 365 e centro conformità e l'individuazione di app produttività sia selezionata.
  4. Scegliere Vai alla gestione della sicurezza avanzata.

  5. Nel menu Discover scegliere Crea un nuovo report.

    Schermata del menu a discesa dell'opzione di ricerca nella sezione produttività App individuazione di sicurezza di Office 365 e centro conformità. Un cursore punta all'opzione per creare nuovo report. Altre opzioni sono dashboard di individuazione e gestione report.
  6. Digitare un nome e una descrizione per il report che si desidera creare e quindi selezionare l'origine dati (il firewall o proxy che ha generato i file di log) dall'elenco a discesa origine dati.

    Schermata mostra la pagina di report Crea nuova snapshot produttività App ricerca nella sezione produttività app individuazione di sicurezza di Office 365 e centro conformità.

    Suggerimento : Se un'origine dati che si vuole usare non è elencata, è possibile richiedere che venga aggiunta. Selezionare Altro per Origine dati, quindi digitare il nome dell'origine dati che si sta provando a caricare. Microsoft esaminerà il log e indicherà agli utenti se ha aggiunto il supporto per l'origine dati che lo ha generato.

  7. Passare al percorso dei file di log raccolti e selezionare i file. I file di log devono essere generati dall'origine dati scelta per il report.

  8. Fare clic su Crea per avviare il processo di creazione dei report.

  9. Per visualizzare lo stato del report, fare clic su Gestisci snapshot report. Quando lo stato del report è pronta, verrà visualizzato l'opzione Visualizza report.

    Schermata mostra la pagina Gestisci i report snapshot nella sezione produttività app individuazione di sicurezza di Office 365 e centro conformità. Per i report in uno stato pronto, l'opzione di visualizzazione report è disponibile e l'opzione di eliminazione.

Se si verificano problemi durante il caricamento o l'elaborazione dei file di log, esaminare le informazioni di risoluzione dei problemi per suggerimenti su come determinare la causa del problema e come risolverlo.

Informazioni sui requisiti di formato del log e sulle origini dati supportate

La caratteristica di individuazione delle app supporta un numero di proxy e firewall come origini dati per i report. Vedere l'elenco completo di seguito.

I file di log del traffico Web da queste origini devono includere informazioni specifiche e devono essere formattati correttamente in modo che la caratteristica di individuazione delle app possa interpretare i file e creare i report.

Formato richiesto per i log del traffico

La caratteristica di individuazione delle app esamina i dati nei log del traffico per capire a quali app si connettono gli utenti. Più dettagli sono inclusi nei file di log, maggiore sarà la visibilità sulle attività dell'utente.

La caratteristica di individuazione delle app richiede file di log del traffico che includono quanto segue:

  • Data della transazione

  • IP di origine

  • Utente di origine (scelta consigliata)

  • Indirizzo IP di destinazione

  • URL di destinazione (scelta consigliata: gli URL forniscono una maggiore precisione per il rilevamento delle app cloud rispetto agli indirizzi IP)

  • Quantità totale di dati (scelta consigliata)

  • Quantità di dati caricato o scaricati (scelta consigliata: fornisce informazioni sui modelli di utilizzo delle app cloud)

  • Azione eseguita (consentita o bloccata)

Se gli attributi non sono inclusi nei log che vengono caricati, la caratteristica di individuazione delle app non può mostrare o analizzare le informazioni automaticamente. Ad esempio, il formato del log standard del firewall Cisco ASA non include la quantità di byte caricati per ogni transazione, il nome utente o un URL di destinazione (solo un indirizzo IP di destinazione). Le informazioni non sono presenti nei file di log Cisco, quindi la caratteristica di individuazione delle app non può usarle durante l'analisi del traffico di rete. Di conseguenza, l'analisi dei dati sull'utilizzo delle app cloud sarà limitata. Inoltre, per includere gli attributi richiesti nei firewall Cisco ASA è necessario impostare il livello di informazioni su 6 per i file di log.

Oltre a verificare che i file di log abbiano gli attributi corretti, assicurarsi anche che i file e l'origine dati soddisfino i requisiti seguenti:

  • L'origine dati per i file di log deve essere supportata.

  • Il formato usato dai file di log deve corrispondere al formato standard. Quando viene caricato il file, la caratteristica di individuazione delle app verifica questi requisiti.

  • La data degli eventi nel log non deve essere antecedente a 90 giorni.

  • Il file di log deve includere informazioni del traffico in uscita che è possibile analizzare per l'attività di rete.

Proxy e firewall dei fornitori supportati

La caratteristica di individuazione delle app supporta i firewall e i proxy seguenti.

Suggerimento : Se un'origine dati che si vuole usare non è inclusa, è possibile richiedere che venga aggiunta alla caratteristica di individuazione delle app. A tale scopo, quando si crea un report, selezionare Altro per Origine dati. Digitare quindi il nome dell'origine dati che si sta provando a caricare. Microsoft esaminerà il log e indicherà agli utenti se ha aggiunto il supporto per quel tipo di log.

  • Blue Coat Proxy SG - Log di accesso (W3C)

  • Check Point

  • Firewall Cisco ASA (è necessario impostare il livello di informazioni su 6)

  • Cisco IronPort WSA

  • Cisco ScanSafe

  • Cisco Merkai – Log URL

  • Dell Sonicwall

  • Fortiner Fortigate

  • Juniper SRX

  • McAfee Secure Web Gateway

  • Microsoft Forefront Threat Management Gateway (W3C)

  • Firewall serie Palo Alto

  • Sophos SG

  • Squid (comune)

  • Squid (nativo)

  • Websense - Web Security Solutions - Report dettagliato di analisi (CSV)

  • Websense - Web Security Solutions - Log delle attività Internet (CEF)

  • Zscaler

Attributi di dati per i diversi fornitori

Ecco le informazioni incluse nei file di log di diversi fornitori, in base alla relativa documentazione.

Origine dati

URL dell'app di destinazione

IP dell'app di destinazione

Nome utente

IP di origine

Traffico totale

Byte caricati

Blue Coat

No

Checkpoint

No

No

No

No

Cisco ASA

No

No

No

Cisco FWSM

No

No

No

Cisco Ironport WSA

Cisco ScanSafe

No

Dell SonicWall

No

Fortigate

No

No

Juniper SRX

No

No

McAfee SWG

No

No

Meraki (Cisco)

No

No

No

MS TMG

No

PAN

Sophos

No

Websense - Report dettagliato di analisi (CSV)

No

No

No

No

Websense - Log delle attività Internet (CEF)

Zscaler

No

No

No

Risolvere gli errori al caricamento dei file di log

Quando si caricano i file di log, è possibile tener traccia dell'elaborazione dei log e vedere se erano presenti errori controllando il log di governance. Se sono presenti errori, vedere le informazioni in questa guida per risolverli.

Errore

Descrizione

Risoluzione

Tipo di file non supportato

Il file caricato non è un file di log valido. Ad esempio, un file di immagine.

Caricare un file in formato testo, ZIP o GZIP esportato direttamente dal proxy o dal firewall.

Errore interno

È stato rilevato un errore delle risorse interne.

Fare clic su Riprova per eseguire di nuovo l'attività.

Il formato del log non corrisponde al formato previsto

Il formato del log caricato non corrisponde al formato previsto per l'origine dati.

  1. Verificare che il log non sia danneggiato.

  2. Confrontare e allineare il formato del file di log al formato di esempio visualizzato nella pagina di caricamento.

Le transazioni risalgono a più di 90 giorni fa

Tutte le transazioni risalgono a più di 90 fa e dunque vengono ignorate.

Esportare un nuovo log con eventi recenti e caricarlo nuovamente.

Nessuna transazione con app cloud del catalogo

Il log non contiene transazioni con app cloud riconosciute.

Verificare che il log contenga informazioni sul traffico in uscita.

Tipo di log non supportato

Quando si seleziona Origine dati = Altro (non supportato), il log non viene analizzato, bensì inviato per l'analisi al team tecnico Cloud App Security.

Il team tecnico Cloud App Security crea un parser dedicato per ogni origine dati. Le origini dati più diffuse sono già supportate. Quando viene caricata un'origine dati non supportata, viene esaminata e aggiunta all'elenco dei potenziali nuovi parser di origini dati.

Quando alla caratteristica viene aggiunto un nuovo parser, nelle note di rilascio di Cloud App Security viene inclusa una notifica.

Argomenti correlati

Gestione di protezione avanzata (Guida e procedure)

Nota : Dichiarazione di non responsabilità per la traduzione automatica: Il presente articolo è stato tradotto tramite un software di traduzione automatica e non da una persona. Microsoft offre le traduzioni automatiche per consentire a coloro che non conoscono la lingua inglese di leggere gli articoli sui prodotti, sui servizi e sulle tecnologie Microsoft. Dal momento che l'articolo è stato tradotto automaticamente, potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli.

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×