設定 Cloud Discovery

 

適用於: Microsoft Cloud App Security

Cloud Discovery 會讓服務自動識別您環境中使用的雲端應用程式。 若要將 Cloud App Security 存取權授與您的網路,請上傳防火牆與連接到貴組織的 Proxy 記錄檔,讓 Cloud App Security 分析它們,以找出您網路真正使用的工具。 Cloud Discovery 能讓您全面了解使用者在您環境中的存取情況,如此才能確保您的資源和應用程式的安全性。

產生風險評估的程序包含下列步驟,需時約幾分鐘到數小時,視處理的資料量而定。

  • 上傳 – 來自您網路的 Web 流量記錄會上傳至入口網站。

  • 剖析 – Cloud App Security 會使用針對每項資料來源的專用剖析器,剖析並擷取來自流量記錄的流量資料。

  • 分析 – 依 Cloud App Catalog 分析流量資料來識別超過 13,000 種的雲端應用程式,並評估其風險評分。 使用中的使用者和 IP 位址也會被識別為分析的一部分。

  • 產生預覽 (僅限手動上傳) - 產生從手動上傳記錄檔中擷取的資料風險評估。 此步驟需時數幾分鐘,視記錄檔及其大小而定。 在其他資料檢視更新之前,有預覽可用。

  • 重新評估和更新全域風險評估 – 來自全部來源 (手動和自動上傳) 的所有新增資料都是用於重新評估和更新所有資料檢視。 這個步驟一天四次,可能需時數小時,視您環境中的資料量而定。

上傳 Web 流量記錄的方式有兩種。 您可以在入口網站內手動上傳記錄檔,或使用記錄收集器代理程式將記錄檔從您網路中的設備自動上傳至入口網站。 這些選項不會互斥,您可以設定特定的 Proxy 和防火牆配合自動 Web 記錄收集,並以手動方式加入其他選項。
Cloud Discovery 支援所有常見的防火牆和 Proxy。 如果您的記錄檔不受支援,請在資料來源中選取 [其他],並指定您嘗試上傳的設備與記錄檔。 系統就會檢閱您的記錄檔,並通知您是否加入支援。

如需受支援的防火牆和 Proxy 清單,請參閱 Cloud Discovery 的運作方式

上傳記錄檔之前,請確定記錄檔格式包含網路流量資料及下列屬性︰

  • 交易日期

  • 來源 IP

  • 來源使用者 - 強烈建議

  • 目的地 URL 或 IP 位址 - URL 會提供更高的雲端應用程式偵測正確性

  • 資料總量 - 資料資訊很有價值

  • 上傳/下載的資料量 - 強烈建議

    採取 (允許的動作/封鎖)

設定手動上傳記錄檔

  1. 收集來自防火牆和 Proxy 的記錄檔,貴組織的使用者是透過它們存取網際網路。 請務必收集尖峰流量時段的記錄檔,這代表貴組織中所有的使用者活動。

  2. 在 Cloud App Security 入口網站中,按一下設定圖示 settings icon,然後按一下 [Cloud Discovery 設定]****。

    Discovery settings tab

  3. 按一下 [手動上傳記錄]**** 索引標籤。

  4. 選取您要上傳記錄檔的 [資料來源]****。

  5. 選取您要上傳的檔案。 一次最多可以上傳 20 個檔案。

  6. 按一下 [上傳]****。

    Discovery upload logs manually

  7. 上傳完成之後,狀態訊息會出現在畫面的右上角,告訴您已成功上傳記錄檔。

  8. 上傳記錄檔之後,需要一些時間進行剖析和分析,視記錄檔的大小而定。 幾分鐘後,您就可以在 [資料檢視]**** 中選取與上傳記錄檔裝置同名的預覽,檢視記錄檔預覽。

    視記錄檔大小,最多約需數小時才能將資料加入 [全域檢視]**** 和其他相關的資料來源檢視中。

  9. 入口網站上方會顯示通知橫幅,更新您記錄檔的處理狀態。

    discovery processing

    成功上傳記錄檔之後,您應該會看到這則通知︰正在處理您手動上傳的記錄檔...這可能需要數分鐘。

    預覽就緒時,您應該會看到這則通知︰檢視選擇器中有新的探索預覽可用。其他檢視即將更新。

    discovery preview

    此時,新的預覽會加入您的 [資料] 檢視選擇器中。

    discovery view preview

    您可以查看冶裡記錄,隨時追蹤記錄檔的處理狀態。

    discovery governance

設定自動收集記錄檔

  1. 記錄收集器可讓您輕鬆地從網路自動上傳記錄檔。 記錄收集器會在您的網路上執行,透過 Syslog 或 FTP 接收記錄檔。 每個記錄檔都會自動處理、壓縮和傳送至入口網站。
    記錄收集器的虛擬機器可以處理 Hyper-V (VHD 格式) 和 VMware Hypervisor (OVF 格式),且需要 250 GB 磁碟空間、2 個 CPU 和 4 GB RAM。

    記錄收集器 VHD 影像可以下載到 Azure 伺服器上執行。

  2. 請移至自動上傳設定頁面上︰
    在 Cloud App Security 入口網站中,依序按一下設定圖示 settings icon 和 [Cloud Discovery 設定]****,然後選取 [自動上傳記錄]**** 索引標籤。

  3. 為每個要上傳記錄檔的防火牆或 Proxy,建立相符的資料來源︰

    1. 按一下 [加入資料來源]****。

    2. 命名 Proxy 或防火牆。

    3. 從 [來源]**** 清單中選取設備。

    4. 比較您的記錄檔和預期的記錄檔格式範例。 如果您的記錄檔格式不符合此範例,您應該將資料來源加入為 [其他]****。

    5. 將 [接收器類型]**** 設為 [FTP]**** 或 [Syslog]****。

      若為 Syslog 請選擇 [UDP]**** 或 [TCP]****。

    6. 為記錄檔可用來偵測網路流量的每個防火牆和 Proxy 重複這個程序。

  4. 移至上方的 [記錄收集器]**** 索引標籤。

    1. 按一下 [加入記錄收集器]****。

    2. 為記錄收集器命名

    3. 選取所有想要連接到收集器的資料來源,然後按一下 [更新]****。

      注意︰單一記錄收集器可以處理多個資料來源。

    4. 下載新的記錄收集器虛擬機器,並使用您在入口網站接收到的密碼解壓縮檔案。

    5. 在 Hyper-V 中設定虛擬機器︰

      1. 開啟 Hyper-V 管理員。

      2. 依序選取 [新增]**** 和 [虛擬機器]****,然後按一下 [下一步]****。

        discovery hyperv virtual machine

      3. 為新的虛擬機器命名,例如 CloudAppSecurityLogCollector01,然後按一下 [下一步]****。

      4. 選取 [Generation 1 (第 1 代)]****,並按一下 [下一步]****。

      5. 將 [啟動記憶體]**** 變更至 [4096 MB]****。

        檢查此虛擬機器的 [Use Dynamic Memory (使用動態記憶體)]****,然後按一下 [下一步]****。

      6. 如果有此選項,請選擇網路 [連線]****,並按一下 [下一步]****。

      7. 選擇 [使用現有的虛擬硬碟]****並選取包含在下載之 ZIP 檔案中的 .vhd 檔案。

      8. 按一下 [下一步]****,然後按一下 [完成]****。

        電腦即會加入您的 Hyper-V 環境。

      9. 按一下 [虛擬機器]**** 資料表中的機器,然後按一下 [啟動]****。

    6. 若要設定記錄收集器的網路連線能力,請確定下列事項︰

      • 記錄收集器應該有有效的 IP 位址

      • 所有指定的資料來源都必須可以連線到它

      • 它必須能夠接受連入的 FTP 及 Syslog 流量

      • 它必須能夠起始連接埠 443 上的連出流量。

      • 虛擬機器會預先以動態 IP 位址設定。 如果您需要設定參數,例如靜態 IP 位址、預設閘道、主機名稱、DNS 伺服器和 NTPS,您可以使用網路設定公用程式,或以手動方式執行變更。 若要執行此公用程式,請使用 sudo 網路設定,並遵循精靈的指示。

    7. 此時,您的記錄收集器應連接到網路,並能夠連接到 Cloud App Security 入口網站。

    8. 從入口網站匯入記錄收集器的組態,如下所示︰

      1. 使用入口網站提供給您的互動式管理認證,透過 SSH 登入記錄收集器。

      2. sudo collector_config <access token> 命令中提供給您的存取權杖執行收集器設定公用程式。

        輸入您的主控台網域,例如︰

        contoso.portal.cloudappsecurity.com

        輸入您要設定的記錄收集器名稱,例如︰

        CloudAppSecurityLogCollector01

  5. 設定網路防火牆和 Proxy 定期將記錄匯出到對話方塊指示的專用 FTP 目錄 Syslog 連接埠,例如︰

    London Zscaler - Destination path: 614

    SF Blue Coat - Destination path: \\CloudAppSecurityCollector01\BlueCoat\

  6. 使用治理記錄來確認記錄檔是否定期上傳至入口網站。

記錄收集器效能

記錄收集器可以處理的記錄檔容量,每小時最多 50 GB。

記錄收集程序的主要瓶頸是︰

  • 網路頻寬:您的網路頻寬決定記錄檔的上傳速度。
  • IT 配置的虛擬機器 I/O 效能:決定記錄檔寫入記錄收集器磁碟的速度。

記錄收集器有內建的安全機制,會監視記錄檔到達的速率,並與上傳速率相比較。 如果網路擁塞,記錄收集器就會開始卸除記錄檔。 如果您的安裝程式通常每小時超過 50 GB,建議您將流量分割至多個記錄收集器。

Cloud Discovery 為客戶提供供整個環境使用之雲端應用程式可信度及可靠性的重要資料。 在入口網站中,每個探索到的應用程式都會顯示總分數,代表此特定應用程式的企業運用成熟度的 Cloud App Security 評估。 任何指定應用程式的總分數,都是評估可靠性時,Cloud App Security 考慮的三個子類別之三項子分數的加權平均︰

  • 一般 - 此類別是指有關公司生產應用程式的基本事項,包括其網域、創建年份和熱門程度。 這些欄位意在展現公司最基本層面的穩定性。

  • 安全性 - 安全性類別會考量探索到的應用程式所用之資料實體安全性的所有處理標準。 這包括多因素驗證、加密、資料分類和資料所有權等欄位。

  • 相容性 - 此類別可顯示生產應用程式的公司支持哪些常見的法規標準最佳做法。 規格清單包括 HIPAA、CSA 和 PCI-DSS 等標準。

每個類別都包含許多特定的屬性。 根據我們的評分法,每個屬性會獲得 0 到 10 的初始分數,視值而定。 True/False 值分別會得到 10 或 0,而連續的屬性,例如網域使用期限,會得到範圍內的特定值。 每個屬性的分數會根據類別中所有其他現有欄位加權,以建立類別的子分數。 如果您遇到未計分的應用程式,通常表示應用程式的內容為未知,因此不予計分。

請務必花點時間檢閱並修改 Cloud Discovery 分數設定的預設權重。 評估的各種參數預設都有相同的權重。 如有特定參數對貴組織而言需增加或減少其重要性,請務必如下所示變更其權重︰

  1. 在入口網站的設定圖示下,選取 [Cloud Discovery 設定]****。

  2. 滑動 [設定分數計量]**** 下的 [重要性]****,將欄位權重變更為 [已略過]****、[低]****、[中]****、[高]**** 或 [非常高]****。

  3. 此外,您可以在分數計算中設定特定值為無法使用或不適用。 包含時,N/A 值對計算的分數有負比重。

    score

資料檢視可讓您產生自訂的檢視,在監視貴組織 Cloud Discovery 記錄資料時提供更細微的檢視。 透過建立自訂檢視,即可能篩選特定地理位置、網路和站台或組織單位。 Cloud Discovery 檢視預設會顯示下列檢視︰

全域檢視 將記錄檔所含全部資料來源的所有資訊合併在入口網站中。

資料來源特定檢視 - 只顯示特定資料來源的資訊。

建立新的自訂檢視︰

  1. 在入口網站的設定圖示下,選取 [Cloud Discovery 設定]****。

  2. 按一下 [管理資料檢視]**** 索引標籤。

  3. 按一下 [建立檢視]**** 按鈕。

  4. 輸入檢視名稱。

  5. 選取您要包含的資料來源。

  6. 設定要對資料執行的篩選條件,可以是 [IP 標籤]**** 或 [IP 範圍]****。 如需使用 IP 標籤和 IP 範圍的詳細資訊,請參閱 Organize the data according to your needs (根據需求組織資料)。

    data view

如有雜訊特別多且無關的系統使用者或 IP 位址或不相干的應用程式,您可能想要從已經分析的 Cloud Discovery 資料中排除它們的資料。 例如,您可能想要排除源自 127.0.0.1 或本機主機的所有資訊。

建立一個排除項目︰

  1. 在入口網站的設定圖示下,選取 [Cloud Discovery 設定]****。

  2. 按一下 [排除實體]**** 索引標籤。

  3. 選擇 [已排除的使用者]**** 或 [已排除的 IP 位址]**** 索引標籤,然後按一下按鈕以 [新增使用者]**** 或 [新增 IP 位址]****。

  4. 新增使用者別名或 IP 位址。 我們建議您加入為何排除使用者或 IP 位址的相關資訊。

    exclude user

有數個原因讓您想要刪除 Cloud Discovery 資料。 我們建議您有下列情況時刪除︰

  • 如果您手動上傳記錄檔,而且長時間才以新記錄檔更新系統,卻不希望舊資料影響結果。

  • 當您設定新的自訂資料檢視時,它只會從該時點開始套用新的資料,因此您可能想要清除舊資料,然後再上傳一次記錄檔,以便自訂資料檢視來取得記錄檔資料中的事件。

  • 如果多個使用者或 IP 位址在離線一段時間後,最近又開始活動,他們的活動會被識別為異常,而您可能會收到許多誤判違規。

刪除 Cloud Discovery 資料︰

  1. 在入口網站的設定圖示下,選取 [Cloud Discovery 設定]****。

  2. 按一下 [刪除資料]**** 索引標籤。

    請務必確認您要刪除資料再繼續 - 此動作無法復原,且會刪除系統中的所有 Cloud Discovery資料。

  3. 按一下 [刪除]**** 按鈕。

    delete data

    System_CAPS_ICON_note.jpg 注意事項


    刪除程序需要幾分鐘,不會立即完成。

顯示: