Configurar a Cloud Discovery

 

Aplica-se a: Microsoft Cloud App Security

A Cloud Discovery permite que o serviço identifique automaticamente as aplicações em nuvem que estão a ser utilizadas no seu ambiente. Para dar acesso à sua rede ao Cloud App Security, carregue registos das firewalls e dos proxies ligados à sua organização e permita que o Cloud App Security os analise para descobrir o que está, efetivamente, a ser utilizado na rede. A Cloud Discovery é a melhor forma de obter uma visão geral de tudo aquilo a que os utilizadores acedem no seu ambiente, de modo a garantir que os recursos e as aplicações estão protegidos.

O processo de gerar uma avaliação de risco consiste nos passos seguintes e demora entre alguns minutos a várias horas, dependendo da quantidade de dados a processar.

  • Carregar – são carregados para o portal registos de tráfego da Web da sua rede.

  • Examinar – Cloud App Security examina e extrai dados de tráfego dos registos de tráfego com um analisador dedicado para cada origem de dados.

  • Analisar – os dados de tráfego são analisados face ao Catálogo de Aplicações em Nuvem para identificar mais de 13.000 aplicações e avaliar a classificação de risco destas. Os utilizadores ativos e os endereços IP também são identificados como parte da análise.

  • Gerar Pré-visualização (para carregamento manual apenas) - é gerada uma avaliação de risco dos dados extraídos a partir dos ficheiros de registo carregados manualmente. Este passo demora alguns minutos e depende do número e do tamanho dos registos. A pré-visualização está disponível antes de outras vistas de dados serem atualizadas.

  • Reavaliar e atualizar a avaliação de risco global – todos os dados adicionados recentemente a partir de todas as origens de (do carregamento manual e automático) são utilizados para reavaliar e atualizar todas as vistas de dados. Este passo ocorre quatro vezes por dia e poderá demorar algumas horas, dependendo da quantidade de dados no ambiente.

Existem duas formas de carregar registos de tráfego da Web. Pode carregar ficheiros de registo no portal manualmente ou utilizar um agente recoletor de registos para carregar automaticamente ficheiros de registo de aplicações na sua rede para o portal. Estas opções não se excluem mutuamente; pode definir determinados proxies e firewalls para funcionarem com a recolha de registos Web automática e adicionar outros manualmente.
A Cloud Discovery suporta todos os proxies e firewalls mais conhecidos. Se o seu registo não for suportado, selecione “Outro” na origem de dados e especifique a aplicação e o registo que está a tentar carregar. O registo será analisado e receberá uma notificação caso o suporte seja acrescentado.

Para obter uma lista de firewalls e proxies suportados, veja Como funciona a Cloud Discovery.

Antes de carregar os registos, confirme que o formato do registo contém dados de tráfego-Web com os atributos seguintes:

  • Data da transação

  • IP de Origem

  • Utilizador de origem - vivamente recomendado

  • URL de destino ou endereço IP - o URL proporciona maior precisão para a deteção de aplicações em nuvem

  • Quantidade total de dados - as informações sobre os dados são muito valiosas

  • Quantidade de dados carregados/transferidos - vivamente recomendado

    Ação realizada (permitido/bloqueado)

Configurar o carregamento de registos manual

  1. Recolha os ficheiros de registos na firewall e no proxy através dos quais os utilizadores da sua organização acedem à Internet. Confirme que recolhe os registos durante as horas de pico de tráfego que sejam representativas das atividades de todos os utilizadores da organização.

  2. No portal do Cloud App Security, clique no ícone de definições settings icon e em Definições da Cloud Discovery.

    Discovery settings tab

  3. Clique no separador Carregar registos manualmente.

  4. Selecine a Origem de dados a partir da qual quer carregar os ficheiros de registo.

  5. Selecione os ficheiros que pretende carregar. Pode carregar até 20 ficheiros ao mesmo tempo.

  6. Clique em Carregar.

    Discovery upload logs manually

  7. Após a conclusão do carregamento, aparecerá a mensagem de estado no canto superior direito do ecrã, a indicar que o registo foi carregado com êxito.

  8. Depois de carregar os ficheiros de registo, e consoante o tamanho dos mesmos, demorará algum tempo até serem examinados e analisados. Após alguns minutos, pode ver uma pré-visualização dos ficheiros de registo ao aceder às vistas de dados e selecionar a pré-visualização com o mesmo nome que o dispositivo cujo registo ficheiros de registo carregou.

    Dependendo do tamanho dos ficheiros de registo, pode demorar algumas horas até que os dados sejam adicionados à Vista global e a outras vistas de origens de dados relevantes.

  9. Será apresentada uma faixa de notificação na parte superior do portal para o informar do estado de processamento dos ficheiros de registo.

    discovery processing

    Depois de os registos terem sido carregados com êxito, deverá ver a notificação: A processar os seus registos carregados manualmente... Poderá demorar alguns minutos.

    Quando a pré-visualização estiver pronta, deverá ver a notificação: Está disponível uma pré-visualização de deteção nova no seletor de vistas. As outras vistas serão atualizadas em breve.

    discovery preview

    Neste momento, é adicionada uma nova pré-visualização ao seletor de Vistas de dados.

    discovery view preview

    Pode ver o registo de Governação para controlar o estado do processamento do ficheiro de registo em qualquer altura.

    discovery governance

Configurar a recolha de ficheiros de registo automática

  1. Os recoletores de registos permitem-lhe automatizar facilmente o carregamento de registos a partir da sua rede. O recoletor de registos é executado na sua rede e recebe os registos através de Syslog ou FTP. Cada registo é processado, comprimido e transmitido automaticamente para o portal.
    A máquina virtual do recoletor de registos está disponível para Hyper-V (formato VHD) e hipervisor VMware (formato OVF) e requer 250 GB de espaço em disco, duas CPUs e 4 GB de RAM.

    A imagem VHD do recoletor de registos pode ser transferida e executada nos servidores do Azure.

  2. Aceda à página de definição do carregamento automático:
    No portal do Cloud App Security, clique no ícone de definições settings icon, seguido de Definições da Cloud Discovery e, em seguida, selecione o separador Carregar registos automaticamente.

  3. Em cada firewall ou proxy a partir dos quais quer carregar registos, crie uma origem de dados correspondente:

    1. Clique em Adicionar origem de dados.

    2. Dê um nome ao proxy ou à firewall.

    3. Selecione a aplicação na lista Origem.

    4. Compare o registo com o exemplo do formato de registo esperado. Se o formato de ficheiro de registo não coincidir com este exemplo, deve adicionar a sua origem de dados como Outra.

    5. Defina o Tipo de recetor como FTP ou Syslog.

      Para Syslog, escolha UDP ou TCP.

    6. Repita este processo para cada firewall e proxy cujos registos podem ser utilizados para detetar o tráfego na sua rede.

  4. Aceda ao separador Recoletores de registos, na parte superior.

    1. Clique em Adicionar recoletor de registos.

    2. Dê um nome ao recoletor de registos.

    3. Selecione todas as origens de dados que quer ligar ao recoletor e clique em Atualizar.

      Nota: um único recoletor de registos consegue processar várias origens de dados.

    4. Transfira uma máquina virtual do recoletor de registos nova e descomprima o ficheiro com a palavra-passe que recebeu no portal.

    5. Para configurar a máquina virtual no Hyper-V:

      1. Abra o Gestor de Hyper-V.

      2. Selecione Nova, Máquina Virtual e clique em Seguinte.

        discovery hyperv virtual machine

      3. Indique um nome para a nova máquina virtual, como, por exemplo, CloudAppSecurityRecoletordeRegistos01., e clique em Seguinte.

      4. Selecione Geração 1 e clique em Seguinte.

      5. Altere a Memória de arranque para 4.096 MB.

        Assinale Utilizar Memória Dinâmica nesta máquina virtual e clique em Seguinte.

      6. Se estiver disponível, escolha a rede Ligação e clique em Seguinte.

      7. Escolha Utilizar um disco rígido virtual existente e selecione o ficheiro .vhd incluído no ficheiro Zip que transferiu.

      8. Clique em Seguinte e clique em Concluir.

        A máquina será adicionada ao seu ambiente de Hyper-V.

      9. Clique na máquina na tabela Máquinas Virtuais e clique em Iniciar.

    6. Para configurar a conectividade de rede do recoletor de registos, confirme o seguinte:

      • O recoletor de registos deve ter um endereço IP válido

      • Tem de ser acessível a partir de todas as origens de dados designadas

      • Tem de ter permissão para aceitar o tráfego de entrada FTP e Syslog

      • Tem de ter permissão para iniciar tráfego de saída na Porta 443.

      • A máquina virtual está pré-configurada com um endereço IP Dinâmico. Se precisar de configurar parâmetros, como endereços IP estáticos, gateway predefinido, nome de anfitrião, servidores DNS e NTPS, pode utilizar o utilitário de configuração de rede ou fazer as alterações manualmente. Para executar o utilitário, utilize sudo network_config e siga o assistente.

    7. Neste momento, o recoletor de registos deverá estar ligado à sua rede e deverá conseguir aceder ao portal do Cloud App Security.

    8. Importe a configuração do recoletor de registos a partir do portal, da seguinte forma:

      1. Inicie sessão no recoletor de registos através de SSH com as credenciais de administração Interativas que lhe foram disponibilizadas no portal.

      2. Execute o utilitário de configuração do recoletor com o token de acesso que lhe foi fornecido no comando sudo recoletor_config <token de acesso>

        Introduza o domínio da sua consola, como, por exemplo:

        contoso.portal.cloudappsecurity.com

        Introduza o nome do recoletor de registos que quer configurar, como, por exemplo:

        CloudAppSecurityRecoletordeRegistos01

  5. Configure as firewalls e os proxies de rede para exportarem periodicamente registos para a porta dedicada de Syslog do diretório de FTP, de acordo com as instruções na caixa de diálogo, como, por exemplo:

    London Zscaler - Destination path: 614

    SF Blue Coat - Destination path: \\CloudAppSecurityCollector01\BlueCoat\

  6. Utilize o Registo de governação para confirmar que os registos estão a ser carregados periodicamente para o portal.

Desempenho do recoletor de registos

O recoletor de registos pode processar com êxito uma capacidade de registos de até 50 GB por hora.

Os principais limites do processo de recolha de registos são:

  • Largura de banda de rede - a largura de banda de rede determina a velocidade de carregamento dos registos.
  • Desempenho de E/S da máquina virtual atribuída pelo departamento de TI - determina a velocidade com que os registos são escritos no disco do recoletor de registos.

O recoletor de registos tem um mecanismo de segurança incorporado que monitoriza a taxa a que os registos são recebidos e compara-a com a taxa de carregamento. Em caso de congestionamento, o recoletor começa a largar ficheiros de registo. Se a sua configuração exceder, normalmente, 50 GB por hora, recomenda-se que divida o tráfego entre vários recoletores.

A Cloud Discovery disponibiliza aos clientes dados importantes relativamente à credibilidade e fiabilidade das aplicações na nuvem utilizadas nos ambientes deles. No portal, cada aplicação detetada é apresentada juntamente com uma classificação total, que representa a avaliação do Cloud App Security quanto à maturidade de utilização dessas aplicações em particular para as empresas. A classificação total das aplicações é uma média ponderada de três subclassificações relacionadas com as três subcategorias que o Cloud App Security tem em conta quando avalia a fiabilidade:--

  • Geral - esta categoria refere-se a factos básicos sobre a empresa que produz a aplicação, incluindo o domínio, o ano de fundação e a popularidade. Estes campos têm como objetivo mostrar a estabilidade da empresa com os dados mais básicos.

  • Segurança - a categoria de segurança tem em consideração todas as normas relativas à segurança física dos dados utilizados pela aplicação detetada. Esta categoria inclui campos como autenticação multifator, encriptação, classificação de dados e propriedade de dados.-

  • Conformidade - esta categoria apresenta as melhores práticas em termos de normas de conformidade que a empresa que produz a aplicação segue.- A lista de especificações inclui normas como HIPAA, CSA e PCI-DSS.

Cada uma das categorias é composta por várias propriedades específicas. De acordo com o nosso algoritmo de classificação, cada propriedade recebe uma classificação preliminar entre 0 e 10, dependendo do valor. Os valores Verdadeiro/Falsos recebem 10 ou 0 respetivamente, ao passo que as propriedades contínuas, como a idade do domínio, recebem um determinado valor dentro do espetro. A classificação de cada propriedade é ponderada relativamente a todos os outros campos existentes na categoria, de modo a criar a subclassificação da mesma-. Se encontrar uma aplicação não classificada, significa, geralmente, que as propriedades dessa aplicação não são conhecidas, daí não estar classificada.

É importante dispensar um minuto para rever e modificar as ponderações predefinidas dadas à configuração de classificações da Cloud Discovery. Por predefinição, todos os parâmetros avaliados recebem uma ponderação igual. Se existirem determinados parâmetros que são mais ou menos importantes para a sua organização, é importante alterá-los da seguinte forma:

  1. No portal, no ícone de definições, selecione Definições da Cloud Discovery.

  2. Em Configurar métrica de classificação, deslize Importância para alterar a ponderação do campo para Ignorada, Baixa, Média, Elevada ou Muito Elevada.

  3. Além disso, pode definir se determinados valores não estão disponíveis ou não são aplicáveis no cálculo da classificação. Quando incluídos, os valores N/D contribuem negativamente para a classificação calculada.

    score

As vistas de dados permitem-lhe gerar vistas personalizadas que proporcionam granularidade ao monitorizar os dados de registo da Cloud Discovery da sua organização. Ao criar vistas personalizadas, é possível filtrar localizações geográficas, redes e sites ou unidades organizacionais específicos. Por predefinição, as vistas que aparecem na Cloud Discovery são:

A Vista global consolida todas as informações no portal de todas as origens de dados que incluiu nos seus registos.

Vista de origem de dados específica - que mostra apenas as informações relativas a uma origem de dados específica.

Para criar uma nova vista personalizada:

  1. No portal, no ícone de definições, selecione Definições da Cloud Discovery.

  2. Clique no separador Gerir vistas de dados.

  3. Clique no botão Criar vista.

  4. Introduza um nome para a vista.

  5. Selecione as origens de dados que quer incluir.

  6. Defina os filtros que pretende incluir nos dados, que podem ser etiquetas IP ou intervalos IP. Para obter mais informações sobre como trabalhar com etiquetas IP e intervalos de IP, veja Organize the data according to your needs (Organizar os dados de acordo com as suas necessidades).

    data view

Se tiver utilizadores de sistema ou endereços IP particularmente inúteis e desinteressantes ou aplicações que não são relevantes, pode querer excluir os dados dos mesmos dos dados da Cloud Discovery que são detetados. Por exemplo, pode querer excluir todas as informações com origem em 127.0.0.1 ou no anfitrião local.

Para criar uma exclusão:

  1. No portal, no ícone de definições, selecione Definições da Cloud Discovery.

  2. Clique no separador Excluir entidades.

  3. Escolha o separador Utilizadores excluídos ou Endereços IP excluídos e clique no botão para Adicionar utilizador ou Adicionar endereço IP.

  4. Adicione um alias de utilizador ou um endereço IP. Recomendamos adicionar informações sobre o motivo pelo qual o utilizador ou o endereço IP foi excluído.

    exclude user

Existem várias razões para querer eliminar os dados da Cloud Discovery. Recomendamos eliminá-los nos seguintes casos:

  • Se tiver carregado os ficheiros de registo manualmente, tiver passado muito tempo desde a última vez que atualizou o sistema com ficheiros de registo novos e não quiser que os dados antigos afetem os resultados.

  • Quando define uma vista de dados personalizada nova, esta só é aplicada aos dados novos a partir desse momento, pelo que poderá ser útil apagar os dados antigos e, depois, carregar novamente os ficheiros de registo para permitir que a vista de dados personalizada recolha eventos nos dados do ficheiro de registo.

  • Se muitos utilizadores ou endereços IP tiverem começado a funcionar de novo recentemente depois de terem estado algum tempo offline, a atividade dos mesmos será identificada como anómala e poderá receber muitas violações falsas positivas.

Para eliminar os dados da Cloud Discovery:

  1. No portal, no ícone de definições, selecione Definições da Cloud Discovery.

  2. Clique no separador Eliminar dados.

    É importante ter a certeza de que quer eliminar os dados antes de continuar - a eliminação não pode ser anulada e elimina todos os dados da Cloud Discovery no sistema.

  3. Clique no botão Eliminar.

    delete data

    System_CAPS_ICON_note.jpg Nota


    O processo de eliminação demora alguns minutos e não é imediato.

Mostrar: