Создание отчетов об обнаружении приложений на портале расширенного управления безопасностью

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Обнаружение бизнес-приложений Office 365 помогает понять, к каким сторонним облачным службам подключаются пользователи. Например, вы сможете узнать, где сотрудники хранят документы и совместно работают над ними, а также какой объем данных передается в приложения и службы, не входящие в Office 365.

Для создания отчета необходимо вручную добавить файлы журнала, полученные с брандмауэров и прокси-серверов, после чего служба обнаружения приложений проанализирует их.

В этой статье

Создание отчета с помощью службы обнаружения приложений

Требования к формату журнала и поддерживаемые источники данных

Устранение ошибок при отправке файлов журнала

Создание отчета с помощью службы обнаружения приложений

Чтобы создать отчет об обнаружении приложений, необходимо определить источник файлов журнала, которые вы хотите проанализировать, выбрать файлы журнала, а затем запросить отчет. Служба обнаружения приложений передаст и проанализирует файлы, а затем создаст отчет.

Выполните эти инструкции, чтобы создать отчет об обнаружении приложений:

  1. Соберите файлы журнала с брандмауэра и прокси-сервера, которые используются в вашей организации для доступа к Интернету. Постарайтесь использовать файлы журнала для периодов пикового трафика, которые хорошо отражают активность пользователей.

  2. Перейдите к https://protection.office.com и вход в качестве глобального администратора или администратора безопасности. (Это откроется безопасности и поместить в центре соответствия.)

  3. Выберите Поиск & расследования > обнаружения производительность приложений.

    Снимке экрана показано в разделе Поиск & исследования в области навигации слева безопасности Office 365 и поместить в центре соответствия требованиям и обнаружения приложения производительности установлен.
  4. Выберите команду Перейти к управлению повышенной безопасности.

  5. В меню Поиск выберите пункт Создать новый отчет.

    Снимок экрана: раскрывающееся меню обнаружения параметр в разделе инструменты для продуктивной работы приложения обнаружения безопасности Office 365 и поместить в центре соответствия. Курсор указывает параметр для создания нового отчета. Другие доступные варианты: обнаружение панели мониторинга и управление отчетами.
  6. Введите имя и описание отчет, который вы хотите создать и выберите источник данных (брандмауэр или прокси-сервер, созданные файлы журнала) в раскрывающемся списке источник данных.

    Снимок экрана показана страница обнаружения производительность приложений моментальный снимок создать новый отчет в разделе инструменты для продуктивной работы приложения обнаружения безопасности Office 365 и поместить в центре соответствия.

    Совет : Если нужного источника данных нет в списке, можно запросить его добавление. Выберите значение Другой для параметра Источник данных, а затем введите имя источника, данные из которого вы пытаетесь отправить. Мы проверим журнал и сообщим вам, если реализуем поддержку источника данных, из которого он был получен.

  7. Перейдите к расположению собранных файлов журнала и выберите их. Файлы должны быть созданы источником, который вы выбрали для отчета.

  8. Нажмите кнопку Создать, чтобы начать процесс.

  9. Просмотр состояния отчета, нажмите кнопку Управление отчетами моментальный снимок. Если отчет о состоянии готов, вы увидите параметр просмотреть отчет.

    Снимок экрана показана страница Управление моментальных снимков отчетов в разделе инструменты для продуктивной работы приложения обнаружения безопасности Office 365 и поместить в центре соответствия. Для отчетов в состоянии готовности параметр представления отчетов доступна также кнопка "Удалить".

Если при добавлении или обработке файлов журнала возникли проблемы, прочтите сведения об устранении неполадок, чтобы выяснить, из-за чего произошли ошибки, и исправить их.

Требования к формату журнала и поддерживаемые источники данных

В качестве источников данных для отчетов по обнаружению приложений можно использовать различные брандмауэры и прокси-серверы (см. полный список ниже).

Файлы журналов веб-трафика, полученные из этих источников, должны содержать определенные сведения и быть правильно отформатированы, чтобы служба обнаружения приложений могла проанализировать их и создать отчеты.

Требуемый формат журналов трафика

Служба обнаружения приложений анализирует данные в журналах трафика, чтобы помочь вам понять, к каким приложениям подключаются пользователи. Чем больше в них сведений, тем лучше вы сможете отслеживать действия пользователей.

Файлы журнала трафика должны включать следующие данные:

  • Дата транзакции

  • IP-адрес источника

  • Пользователь источника (рекомендуется)

  • Конечный IP-адрес

  • URL-адрес назначения (рекомендуется: URL-адреса позволяют точнее определять облачные приложения, чем IP-адреса)

  • Общий объем данных (рекомендуется)

  • Объем отправленных или скачанных данных (рекомендуется: позволяет изучить тенденции использования облачных приложений)

  • Предпринятое действие (разрешено или заблокировано)

Если в загружаемых журналах нет какого-либо атрибута, служба обнаружения приложений не сможет показать или проанализировать соответствующие данные. Например, стандартный формат журнала брандмауэра Cisco ASA не включает число байтов отправленных данных для каждый транзакции, имя пользователя или конечный URL-адрес (в нем есть только конечный IP-адрес). Так как эта информация отсутствует в файлах журнала Cisco, служба обнаружения приложений не сможет использовать ее при анализе сетевого трафика, поэтому вы не получите всю информацию об использовании облачных приложений. Кроме того, обратите внимание на то, что для брандмауэров Cisco ASA необходимо задать уровень информации 6 для файлов журнала, чтобы включить обязательные атрибуты.

Убедившись, что файлы журнала включают нужные атрибуты, проверьте, соответствуют ли ваши файлы и источники данных следующим требованиям:

  • Источник данных должен поддерживаться.

  • У файлов журнала должен быть стандартный формат. Это проверяется при добавлении файла.

  • События, зарегистрированные в журнале событий, не должны быть старше 90 дней.

  • Файл журнала должен содержать данные об исходящем трафике, которые можно проанализировать на предмет активности в сети.

Поддерживаемые брандмауэры и прокси-серверы

Ниже перечислены брандмауэры и прокси-серверы, которые поддерживаются службой обнаружения приложений.

Совет : Если нужного источника данных нет в списке, можно запросить его добавление. Для этого при создании отчета выберите значение Другой для параметра Источник данных, а затем введите имя источника, данные из которого вы пытаетесь отправить. Мы проверим журнал и сообщим вам, если реализуем поддержку этого типа журнала.

  • Журнал доступа Blue Coat Proxy SG (W3C)

  • Check Point

  • Брандмауэр ASA Cisco (обратите внимание, что необходимо выбрать уровень информации 6)

  • Cisco IronPort WSA

  • Cisco ScanSafe

  • Журнал URL-адресов Merkai Cisco

  • Dell Sonicwall

  • Fortiner Fortigate

  • Juniper SRX

  • McAfee Secure Web Gateway

  • Microsoft Forefront Threat Management Gateway (W3C)

  • Брандмауэр Palo Alto

  • Sophos SG

  • Squid (общий формат)

  • Squid (собственный формат)

  • Websense — Web Security Solutions — Investigative detail report (Анализ подробного отчета), CSV

  • Websense — Web Security Solutions — Internet activity log (Журнал действий в Интернете), CEF

  • Zscaler

Атрибуты данных для различных поставщиков

Ниже указаны атрибуты, которые включены в файлы журнала различных поставщиков. Сведения об атрибутах получены из документации поставщиков.

Источник данных

URL-адрес конечного приложения

IP-адрес конечного приложения

Имя пользователя

IP-адрес источника

Общий трафик

Число переданных байтов

Blue Coat

Да

Нет

Да

Да

Да

Да

Check Point

Нет

Да

Нет

Да

Нет

Нет

Cisco ASA

Нет

Да

Нет

Да

Да

Нет

Cisco FWSM

Нет

Да

Нет

Да

Да

Нет

Cisco IronPort WSA

Да

Да

Да

Да

Да

Да

Cisco ScanSafe

Да

Нет

Да

Да

Да

Да

Dell SonicWall

Да

Да

Нет

Да

Да

Да

Fortigate

Нет

Да

Нет

Да

Да

Да

Juniper SRX

Нет

Да

Нет

Да

Да

Да

McAfee SWG

Да

Нет

Нет

Да

Да

Да

Meraki (Cisco)

Да

Да

Нет

Да

Нет

Нет

MS TMG

Да

Нет

Да

Да

Да

Да

PAN

Да

Да

Да

Да

Да

Да

Sophos

Да

Да

Да

Да

Да

Нет

Websense – Investigative detail report (CSV)

Да

Нет

Нет

Да

Нет

Нет

Websense – Internet activity log (CEF)

Да

Да

Да

Да

Да

Да

Zscaler

Да

Нет

Да

Нет

Да

Нет

Устранение ошибок при отправке файлов журнала

При отправке файлов журнала можно отслеживать их обработку и проверять наличие ошибок с помощью журнала управления. Если возникнут ошибки, ознакомьтесь со сведениями в этом руководстве, чтобы устранить их.

Ошибка

Описание

Решение

Неподдерживаемый формат файлов

Добавленный файл не является допустимым файлом журнала. Например, это файл изображения.

Добавьте текстовый файл, ZIP- или GZIP-файл, который был экспортирован непосредственно с брандмауэра или прокси-сервера.

Внутренняя ошибка

Обнаружен внутренний сбой ресурса.

Нажмите кнопку Повторить, чтобы повторно выполнить задачу.

Несоответствующий формат журнала

Формат добавленного журнала не соответствует ожидаемому формату для этого источника данных.

  1. Убедитесь, что журнал не поврежден.

  2. Сравните формат файла журнала с образцом, показанным на странице добавления.

Транзакции старше 90 дней

Все транзакции произошли более 90 дней назад и поэтому игнорируются.

Экспортируйте новый журнал с последними событиями и повторно добавьте его.

Нет транзакций с облачными приложениями в каталоге

В журнале не найдены траназакции, связанные с распознанными облачными приложениями.

Убедитесь, что журнал содержит данные об исходящем трафике.

Неподдерживаемый тип журнала

Если выбрать Источник данных = Другое (не поддерживается), журнал не будет анализироваться. Вместо этого он отправляется на проверку в отдел безопасности облачных приложений.

Этот отдел создает специальное средство синтаксического анализа для каждого источника данных. Большинство популярных источников данных уже поддерживается. При добавлении неподдерживаемого источника он изучается и добавляется в список кандидатов на разработку средств синтаксического анализа.

Уведомления о добавлении новых средств синтаксического анализа включаются в заметки о выпуске, публикуемые отделом безопасности облачных приложений.

Связанные темы

Расширенные возможности управления безопасности (Справка и инструкции по)

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×