Sdílet prostřednictvím

Prošetření aktivit

  • Článek

Microsoft Defender for Cloud Apps poskytuje přehled o všech aktivitách z připojených aplikací. Po připojení Defender for Cloud Apps k aplikaci pomocí konektoru aplikace Defender for Cloud Apps zkontroluje všechny aktivity, ke kterým došlo – doba zpětné kontroly se u jednotlivých aplikací liší – a pak se neustále aktualizuje novými aktivitami.

Poznámka

Úplný seznam aktivit Microsoftu 365 monitorovaných Defender for Cloud Apps najdete v tématu Prohledávání protokolu auditu v Centru dodržování předpisů.

Protokol aktivit je možné filtrovat, abyste mohli najít konkrétní aktivity. Na základě aktivit vytvoříte zásady a pak definujete, na co chcete být upozorňování a na co se má reagovat. Můžete vyhledat aktivity prováděné s určitými soubory. Typ aktivit a informace, které o jednotlivých aktivitách získáme, závisí na aplikaci a na tom, jaký druh dat aplikace může poskytnout.

Protokol aktivit můžete například použít k vyhledání uživatelů ve vaší organizaci, kteří používají zastaralé operační systémy nebo prohlížeče: Po připojení aplikace k Defender for Cloud Apps na stránce Protokol aktivit použijte rozšířený filtr a vyberte Značka uživatelského agenta. Pak vyberte Zastaralý prohlížeč nebo Zastaralý operační systém.

Příklad zastaralého prohlížeče aktivity

Základní filtr poskytuje skvělé nástroje pro zahájení filtrování aktivit.

základní filtr protokolu aktivit.

Základní filtr můžete rozbalit tak, že vyberete Rozšířené filtry a přejdete k podrobnostem o konkrétnějších aktivitách.

rozšířený filtr protokolu aktivit.

Poznámka

  • Značka Starší verze se přidá do všech zásad aktivity, které používají starší filtr "uživatele". Tento filtr bude dál fungovat jako obvykle. Pokud chcete odebrat starší značku, můžete odebrat filtr a znovu ho přidat pomocí nového filtru Uživatelského jména .

  • V některých vzácných případech může počet událostí uvedených v protokolu aktivit zobrazit o něco vyšší počet, než je skutečný počet událostí, které se vztahují k filtru a které se zobrazují.

Zásuvka aktivity

Práce se zásuvkou Aktivity

Další informace o jednotlivých aktivitách zobrazíte tak, že v protokolu aktivit vyberete samotnou aktivitu. Otevře se panel aktivit, který poskytuje následující další akce a přehledy pro každou aktivitu:

  • Odpovídající zásady: Výběrem odkazu Matched policies (Odpovídající zásady ) zobrazíte seznam zásad, které tato aktivita odpovídá.

  • Zobrazit nezpracovaná data: Pokud chcete zobrazit skutečná data přijatá z aplikace, vyberte Zobrazit nezpracovaná data .

  • Uživatel: Vyberte uživatele, aby se zobrazila stránka uživatele, který aktivitu provedl.

  • Typ zařízení: Pokud chcete zobrazit nezpracovaná data uživatelského agenta, vyberte Typ zařízení .

  • Umístění: Vyberte umístění, které chcete zobrazit v Mapy Bing.

  • Kategorie a značky IP adres: Výběrem značky IP zobrazíte seznam značek IP adres nalezených v této aktivitě. Potom můžete filtrovat podle všech aktivit odpovídajících této značce.

Pole v zásuvce Aktivita poskytují kontextové odkazy na další aktivity a přechod k podrobnostem, které můžete chtít provést přímo ze zásuvky. Pokud například přesunete kurzor vedle kategorie IP adresy, můžete použít ikonu přidat do filtrupřidat do filtru. Ip adresu můžete okamžitě přidat do filtru aktuální stránky. Můžete také použít ikonu nastavení ikona nastavení ozubeného kola ikona nastavení, která se zobrazí přímo na stránce nastavení potřebné ke změně konfigurace jednoho z polí, jako jsou skupiny uživatelů.

Pomocí ikon v horní části karty můžete také:

  • Zobrazení aktivit stejného typu
  • Zobrazení všech aktivit stejného uživatele
  • Zobrazení aktivit ze stejné IP adresy
  • Zobrazení aktivit z přesného zeměpisného umístění
  • Zobrazení aktivit za stejné období (48 hodin)

zásuvka aktivity.

Seznam dostupných akcí zásad správného řízení najdete v tématu Akce zásad správného řízení aktivit.

Přehledy uživatelů

Prostředí pro šetření zahrnuje přehledy o jednajícím uživateli. Jediným kliknutím získáte komplexní přehled o uživateli, včetně umístění, ze kterého se připojil, počtu otevřených upozornění, kterých se uživatel týká, a informací o jeho metadatech.

Zobrazení přehledů uživatelů:

  1. V protokolu aktivit vyberte samotnou aktivitu.

  2. Pak vyberte kartu Uživatel .
    Když ho vyberete, otevře se karta Uživatel se zásobníkem aktivit, která poskytuje následující přehledy o uživateli:

    • Otevřené výstrahy: Počet otevřených výstrah, které se týkají uživatele.
    • Shody: Počet odpovídajících zásad pro soubory vlastněné uživatelem.
    • Aktivity: Počet aktivit provedených uživatelem za posledních 30 dnů.
    • Země: Počet zemí, ze nichž se uživatel během posledních 30 dnů připojil.
    • Poskytovatelé softwaru: Počet poskytovatelů softwaru, ze které se uživatel během posledních 30 dnů připojil.
    • IP adresy: Počet IP adres, ze které se uživatel během posledních 30 dnů připojil.

přehledy uživatelů v Defender for Cloud Apps.

Přehledy IP adres

Vzhledem k tomu, že informace o IP adresách jsou zásadní pro téměř všechna šetření, můžete zobrazit podrobné informace o IP adresách v zásuvce aktivity. V rámci konkrétní aktivity můžete vybrat kartu IP adresa a zobrazit konsolidovaná data o IP adrese, včetně počtu otevřených upozornění na konkrétní IP adresu, grafu trendů nedávné aktivity a mapy polohy. To umožňuje snadno přejít k podrobnostem například při prošetřování upozornění na nemožné cesty. Kromě toho snadno pochopíte, kde se IP adresa použila a jestli byla zapojena do podezřelých aktivit. Přímo v zásuvce IP adres můžete také provádět akce, které vám umožní označit IP adresu jako rizikovou, síť VPN nebo podnikovou, a usnadnit tak budoucí šetření a vytváření zásad.

Zobrazení přehledů IP adres:

  1. V protokolu aktivit vyberte samotnou aktivitu.

  2. Pak vyberte kartu IP adresa .

    Otevře se karta IP adresa zásuvky aktivit, která poskytuje následující přehledy o IP adrese:

    • Otevřené výstrahy: Počet otevřených výstrah, které zahrnovaly IP adresu.

    • Aktivity: Počet aktivit provedených IP adresou za posledních 30 dnů.

    • Umístění IP adresy: Geografická umístění, ze kterých se IP adresa během posledních 30 dnů připojila.

    • Aktivity: Počet aktivit provedených z této IP adresy za posledních 30 dnů.

    • Správa aktivity: Počet aktivit správy provedených z této IP adresy za posledních 30 dnů. Můžete provést následující akce IP adres:

      • Nastavit jako podnikovou IP adresu a přidat do seznamu povolených
      • Nastavit jako IP adresu VPN a přidat do seznamu povolených
      • Nastavit jako rizikovou IP adresu a přidat do seznamu blokovaných

Přehledy IP adres v Defender for Cloud Apps.

Poznámka

  • Interní IP adresy IPv4 nebo IPv6 auditované cloudovými aplikacemi připojenými k rozhraní API můžou naznačovat komunikaci interních služeb v síti cloudové aplikace a neměly by se zaměňovat s interními IP adresami ze zdrojové sítě, ze které se zařízení připojuje, protože cloudová aplikace není vystavená interním IP adresám zařízení.
  • Abyste se vyhnuli upozorněním na nemožné cesty , když se zaměstnanci připojují z domova přes podnikovou síť VPN, doporučujeme označit IP adresu jako VPN.

Aktivity exportu

Všechny aktivity uživatelů můžete exportovat do souboru CSV.

V protokolu aktivit vyberte tlačítko Exportovat v levém horním rohu.

tlačítko exportovat.

Poznámka

Tento článek obsahuje postup, jak odstranit osobní údaje ze zařízení nebo služby a můžete ho použít k podpoře vašich povinností vyplývajících z GDPR. Pokud hledáte obecné informace o GDPR, přečtěte si část GDPR na portálu Service Trust Portal.

Další kroky

Osvědčené postupy pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.