Sdílet prostřednictvím

Filtrování a dotazování Defender for Cloud Apps aktivit

  • Článek

Tento článek obsahuje popisy a pokyny pro Defender for Cloud Apps filtry aktivit a dotazy.

Filtry aktivit

Níže je seznam filtrů aktivit, které je možné použít. Většina filtrů podporuje více hodnot a také ne proto, aby vám poskytly výkonný nástroj pro vytváření zásad.

  • ID aktivity – Vyhledejte pouze konkrétní aktivity podle jejich ID. Tento filtr je užitečný při připojení Microsoft Defender for Cloud Apps k SIEM (pomocí agenta SIEM) a chcete dále prozkoumat výstrahy na portálu Defender for Cloud Apps.

  • Objekty aktivit – Vyhledejte objekty, na které byla aktivita provedena. Tento filtr platí pro soubory, složky, uživatele nebo objekty aplikací.

    • ID objektu aktivity – ID objektu (id souboru, složky, uživatele nebo aplikace).

    • Item – umožňuje vyhledávat podle názvu nebo ID libovolného objektu aktivity (například uživatelských jmen, souborů, parametrů, webů). U filtru Položka objektu aktivity můžete vybrat, jestli chcete filtrovat položky, které obsahují, rovná se nebo začíná konkrétní položkou .

  • Typ akce – Vyhledá konkrétnější akci provedenou v aplikaci.

  • Typ aktivity – Vyhledejte aktivitu aplikace.

    Poznámka

    Aplikace se do filtru přidají jenom v případě, že pro danou aplikaci existuje aktivita.

  • Aktivita správy – Vyhledávají se jenom aktivity správy.

    Poznámka

    Defender for Cloud Apps nemůže aktivity správy GCP (Google Cloud Platform) označit jako aktivity správy.

  • ID upozornění – Hledání podle ID upozornění.

  • Aplikace – vyhledávejte jenom aktivity v konkrétních aplikacích.

  • Použitá akce – Hledání podle použité akce zásad správného řízení: Blokováno, Obejít proxy server, Dešifrováno, Šifrované, Šifrování selhalo, Žádná akce.

  • Date – datum, kdy k aktivitě došlo. Filtr podporuje data před a po a rozsah dat.

  • Značka zařízení – hledejte podle Intune kompatibilníhocertifikátu Microsoft Entra hybridně připojeného nebo platného klientského certifikátu.

  • Typ zařízení – Vyhledávejte jenom aktivity, které byly provedeny pomocí konkrétního typu zařízení. Můžete například hledat všechny aktivity z mobilních zařízení, počítačů nebo tabletů.

  • Soubory a složky – Vyhledejte soubory a složky, u které byla aktivita provedena.

    • ID souboru – umožňuje hledat podle ID souboru, ve které byla aktivita provedena.
    • Název – filtruje názvy souborů nebo složek. Můžete vybrat, jestli název končí na, rovná se nebo začíná vaší hledanou hodnotou.
    • Konkrétní soubory nebo složky – Můžete zahrnout nebo vyloučit konkrétní soubory nebo složky. Při výběru souborů nebo složek můžete seznam filtrovat podle aplikace, vlastníka nebo částečného názvu souboru.

  • IP adresa – nezpracovaná IP adresa, kategorie nebo značka, ze kterých byla aktivita provedena.

    • Nezpracovaná IP adresa – umožňuje vyhledávat aktivity prováděné na nezpracovaných IP adresách nebo pomocí nich. Nezpracované IP adresy se můžou rovnat, nerovnají se, začínat na nebo nezačínat konkrétní sekvencí.
    • Kategorie IP adres – kategorie IP adresy, ze které byla aktivita provedena, například všechny aktivity z rozsahu IP adres pro správu. Kategorie musí být nakonfigurované tak, aby zahrnovaly příslušné IP adresy. Některé IP adresy můžou být ve výchozím nastavení kategorizovány. Například existují IP adresy, které jsou považovány za zdroje analýzy hrozeb Microsoftu, které budou kategorizovány jako rizikové. Informace o konfiguraci kategorií IP adres najdete v tématu Uspořádání dat podle vašich potřeb.
    • Značka IP adresy – značka IP adresy, ze které byla aktivita provedena, například všechny aktivity z IP adres anonymního proxy serveru. Defender for Cloud Apps vytvoří sadu předdefinovaných značek IP adres, které nelze konfigurovat. Kromě toho můžete nakonfigurovat značky IP adres. Další informace o konfiguraci značek IP adres najdete v tématu Uspořádání dat podle vašich potřeb. Integrované značky IP adres zahrnují následující:
      • Aplikace Microsoftu (14 z nich)
      • Anonymní proxy server
      • Botnet (uvidíte, že aktivitu provedl botnet s odkazem na další informace o konkrétní botnetu)
      • IP adresa kontroly darknetu
      • Malware C&C server
      • Analyzátor vzdáleného připojení
      • Satelitní poskytovatelé
      • Inteligentní proxy server a proxy přístup (záměrně vynecháme)
      • Výstupní uzly Tor
      • Zscaler

  • Zosobněná aktivita – Vyhledá jenom aktivity, které byly provedeny jménem jiného uživatele.

  • Instance – instance aplikace, ve které byla nebo nebyla aktivita provedena.

  • Umístění – země nebo oblast, ze které byla aktivita provedena.

  • Odpovídající zásady – Vyhledá aktivity, které odpovídají konkrétní zásadě nastavené na portálu.

  • Registrovaný isp – isp, od kterého byla aktivita provedena.

  • Zdroj – vyhledávání podle zdroje, ze kterého byla aktivita zjištěna. Zdrojem může být kterýkoli z následujících zdrojů:

    • Konektor aplikace – protokoly přicházející přímo z konektoru rozhraní API aplikace.
    • Analýza konektoru aplikace – Defender for Cloud Apps rozšiřování na základě informací kontrolovaných konektorem rozhraní API.

  • Uživatel – uživatel, který provedl aktivitu, kterou je možné filtrovat do domény, skupiny, názvu nebo organizace. Pokud chcete filtrovat aktivity bez konkrétního uživatele, můžete použít operátor "není nastaveno".

    • Doména uživatele – Vyhledejte konkrétní doménu uživatele.
    • Organizace uživatelů – organizační jednotka uživatele, který aktivitu provedl, například všechny aktivity prováděné EMEA_marketing uživateli. To je relevantní jenom pro připojené instance Google Workspace, které používají organizační jednotky.
    • Skupina uživatelů – konkrétní skupiny uživatelů, které můžete importovat z připojených aplikací, například správci Microsoftu 365.
    • Uživatelské jméno – Vyhledejte konkrétní uživatelské jméno. Pokud chcete zobrazit seznam uživatelů v konkrétní skupině uživatelů, vyberte v zásuvce Aktivita název skupiny uživatelů. Kliknutím přejdete na stránku Účty, která obsahuje seznam všech uživatelů ve skupině. Odtud můžete přejít k podrobnostem o účtech konkrétních uživatelů ve skupině.
    • Filtry Skupina uživatelů a Uživatelské jméno je možné dále filtrovat pomocí filtru As a výběrem role uživatele, která může být kterákoli z následujících:
      • Pouze objekt aktivity – to znamená, že vybraný uživatel nebo skupina uživatelů danou aktivitu neprovádí. byly předmětem aktivity.
      • Pouze objekt actor – to znamená, že aktivitu provedl uživatel nebo skupina uživatelů.
      • Libovolná role – to znamená, že uživatel nebo skupina uživatelů se do aktivity zapojili, a to buď jako osoba, která aktivitu prováděla, nebo jako objekt aktivity.

  • Uživatelský agent – uživatelský agent z s provedenou aktivitou.

  • Značka uživatelského agenta – integrovaná značka uživatelského agenta, například všechny aktivity ze zastaralých operačních systémů nebo zastaralých prohlížečů.

Dotazy na aktivity

Pokud chcete šetření ještě zjednodušit, můžete teď vytvořit vlastní dotazy a uložit je pro pozdější použití.

  1. Na stránce Protokol aktivit použijte filtry popsané výše a podle potřeby přejděte k podrobnostem o aplikacích.

K vytvoření dotazu použijte filtry.

  1. Po vytvoření dotazu vyberte tlačítko Uložit jako .

  2. V automaticky otevírané nabídce Uložit dotaz pojmenujte.

    nový dotaz.

  3. Pokud chcete tento dotaz v budoucnu znovu použít, posuňte se v části Dotazy dolů na Uložené dotazy a vyberte dotaz.

    open query.

Defender for Cloud Apps poskytuje také navrhované dotazy. Navrhované dotazy poskytují doporučené způsoby šetření, které filtrují vaše aktivity. Tyto dotazy můžete upravit a uložit jako vlastní dotazy. Níže jsou volitelné navrhované dotazy:

  • Správa aktivity – filtruje všechny vaše aktivity tak, aby zobrazovaly jenom ty aktivity, které zahrnují správce.

  • Aktivity stahování – filtruje všechny vaše aktivity tak, aby zobrazovaly jenom ty aktivity, které byly aktivitami stahování, včetně stahování seznamu uživatelů jako .csv souboru, stahování sdíleného obsahu a stahování složky.

  • Neúspěšné přihlášení – filtruje všechny vaše aktivity tak, aby zobrazovaly jenom neúspěšná přihlášení a neúspěšná přihlášení prostřednictvím jednotného přihlašování.

  • Aktivity při souborech a složkách – filtruje všechny vaše aktivity tak, aby zobrazovaly jenom ty, které zahrnují soubory a složky. Filtr zahrnuje nahrávání, stahování a přístup ke složkám spolu s vytvářením, odstraňováním, nahráváním, stahováním, karanténou, přístupem k souborům a přenosem obsahu.

  • Aktivity zosobnění – filtruje všechny vaše aktivity tak, aby zobrazovaly jenom aktivity zosobnění.

  • Změny hesla a žádosti o resetování – filtruje všechny vaše aktivity tak, aby zobrazovaly jenom ty aktivity, které zahrnují resetování hesla, změnu hesla a vynucení změny hesla uživatele při příštím přihlášení.

  • Aktivity sdílení – filtruje všechny vaše aktivity tak, aby zobrazovaly jenom ty aktivity, které zahrnují sdílení složek a souborů, včetně vytvoření firemního odkazu, vytvoření anonymního odkazu a udělení oprávnění ke čtení a zápisu.

  • Úspěšné přihlášení – filtruje všechny vaše aktivity tak, aby zobrazovaly jenom ty aktivity, které zahrnují úspěšná přihlášení, včetně akce zosobnění, zosobnění přihlášení, jednotného přihlašování a přihlašování z nového zařízení.

aktivity dotazů.

Kromě toho můžete navrhované dotazy použít jako výchozí bod pro nový dotaz. Nejprve vyberte jeden z navrhovaných dotazů. Pak podle potřeby proveďte změny a nakonec vyberte Uložit jako a vytvořte nový uložený dotaz.

Dotazování aktivit šest měsíců zpět

Pokud chcete prozkoumat aktivity starší než 30 dnů, přejděte do protokolu aktivit a v pravém horním rohu obrazovky vyberte Prozkoumat 6 měsíců:

Vyberte prozkoumat před 6 měsíci.

Odtud můžete definovat filtry tak, jak se obvykle používá protokol aktivit, a to s následujícími rozdíly:

  • Filtr kalendářních dat je povinný a je omezený na jeden týden. To znamená, že i když můžete dotazovat aktivity až šest měsíců zpět, můžete to udělat jenom po dobu jednoho týdne najednou.

  • Dotazování před více než 30 dny se podporuje pouze v následujících polích:

    • ID aktivity
    • Typ aktivity
    • Typ akce
    • Application
    • IP adresa
    • Umístění
    • Uživatelské jméno

Příklady:

Filtrujte po výběru prozkoumání 6 měsíců zpátky.

Export aktivit šest měsíců zpět (Preview)

Kliknutím na tlačítko Exportovat v levém horním rohu můžete exportovat všechny aktivity až za šest měsíců.
Kliknutím na ikonu exportu vyexportujte záznamy.

Při exportu dat můžete zvolit rozsah dat až šest měsíců a můžete vyloučit soukromé aktivity.
Exportovaný soubor je omezený na 100 000 záznamů a bude ve formátu CSV.

Výsledný soubor bude přístupný v části Exportované sestavy. Uživatelé můžou přejít do části Sestavy –> Cloudové aplikace na portálu Microsoft 365 Defender a zobrazit stav procesu exportu a získat přístup k minulým exportům.
Sestavy, které zahrnují soukromé aktivity, budou na stránce sestav označeny ikonou oka.

ikona oka

Další kroky

Osvědčené postupy pro ochranu organizace