Undersøg aktiviteter

Microsoft Defender for Cloud Apps giver dig indblik i alle aktiviteter fra dine forbundne apps. Når du har oprettet forbindelse Defender for Cloud Apps til en app ved hjælp af App-connectoren, scanner Defender for Cloud Apps alle de aktiviteter, der er sket – scanningsperioden med tilbagevirkende kraft varierer fra app til app – og derefter opdateres den konstant med nye aktiviteter.

Bemærk!

Du kan finde en komplet liste over Microsoft 365-aktiviteter, der overvåges af Defender for Cloud Apps, i Søg i overvågningsloggen i Overholdelsescenter.

Aktivitetsloggen kan filtreres, så du kan finde bestemte aktiviteter. Du opretter politikker baseret på aktiviteterne og definerer derefter, hvad du vil have besked om og reagere på. Du kan søge efter aktiviteter, der udføres på bestemte filer. Typen af aktiviteter og de oplysninger, vi får for hver aktivitet, afhænger af appen, og hvilken type data appen kan levere.

Du kan f.eks. bruge aktivitetsloggen til at finde brugere i din organisation, der bruger operativsystemer eller browsere, der er forældede, på følgende måde: Når du har oprettet forbindelse til en app for at Defender for Cloud Apps på siden Aktivitetslog, skal du bruge det avancerede filter og vælge Brugeragentkode. Vælg derefter Forældet browser eller Forældet operativsystem.

Det grundlæggende filter indeholder fantastiske værktøjer til at begynde at filtrere dine aktiviteter.

Du kan udvide det grundlæggende filter ved at vælge Avancerede filtre for at analysere ned i mere specifikke aktiviteter.

Bemærk!

• Legacy-koden føjes til en aktivitetspolitik, der bruger det ældre "bruger"-filter. Dette filter fungerer fortsat som normalt. Hvis du vil fjerne legacy-koden, kan du fjerne filteret og tilføje filteret igen ved hjælp af det nye brugernavnsfilter .

• I nogle sjældne tilfælde kan antallet af hændelser, der præsenteres i aktivitetsloggen, vise et lidt højere antal end det reelle antal hændelser, der gælder for filteret og præsenteres.

Aktivitetsskuffen

Arbejde med aktivitetsskuffen

Du kan få vist flere oplysninger om hver aktivitet ved at vælge selve Aktiviteten i aktivitetsloggen. Dette åbner skuffen Aktivitet, der indeholder følgende yderligere handlinger og indsigter for hver aktivitet:

• Matchede politikker: Vælg linket Matchede politikker for at få vist en liste over politikker, som denne aktivitet matcher.

• Vis rådata: Vælg Vis rådata for at se de faktiske data, der blev modtaget fra appen.

• Bruger: Vælg brugeren for at få vist brugersiden for den bruger, der udførte aktiviteten.

• Enhedstype: Vælg Enhedstype for at få vist de rå brugeragentdata.

• Placering: Vælg placeringen for at få vist placeringen i Bing Kort.

• IP-adressekategori og -koder: Vælg IP-koden for at få vist listen over DE-koder, der blev fundet i denne aktivitet. Du kan derefter filtrere efter alle aktiviteter, der stemmer overens med dette mærke.

Felterne i aktivitetsskuffen indeholder kontekstafhængige links til yderligere aktiviteter og detailudledning, som du kan udføre direkte fra skuffen. Hvis du f.eks. flytter markøren ud for IP-adressekategorien, kan du bruge ikonet Føj til filter Hvis du straks vil føje IP-adressen til den aktuelle sides filter. Du kan også bruge , der vises, for at modtage direkte på den indstillingsside, der er nødvendig for at ændre konfigurationen af et af felterne, f.eks . Brugergrupper.

Du kan også bruge ikonerne øverst på fanen til at:

• Få vist aktiviteter af samme type
• Få vist alle aktiviteter for den samme bruger
• Få vist aktiviteter fra den samme IP-adresse
• Få vist aktiviteter fra den nøjagtige geografiske placering
• Få vist aktiviteter fra samme periode (48 timer)

Du kan se en liste over tilgængelige styringshandlinger under Aktivitetsstyringshandlinger.

Brugerindsigt

Undersøgelsesoplevelsen indeholder indsigt om den fungerende bruger. Med et enkelt klik kan du få en omfattende oversigt over brugeren, herunder hvilken placering brugeren har oprettet forbindelse til, hvor mange åbne beskeder de er involveret i, og deres metadataoplysninger.

Sådan får du vist brugerindsigt:

1. Vælg selve Aktiviteten i aktivitetsloggen.

2. Vælg derefter fanen Bruger .
   Hvis du vælger den, åbnes fanen AktivitetsskuffeBruger , som giver følgende indsigt i brugeren:

   • Åbne beskeder: Antallet af åbne beskeder, der involverer brugeren.
   • Matches: Antallet af politikforekomster for filer, der ejes af brugeren.
   • Aktiviteter: Antallet af aktiviteter, der er udført af brugeren i løbet af de seneste 30 dage.
   • Lande: Antallet af lande, som brugeren har oprettet forbindelse fra inden for de seneste 30 dage.
   • Internetudbydere: Antallet af internetudbydere, som brugeren har oprettet forbindelse fra i løbet af de seneste 30 dage.
   • IP-adresser: Antallet af IP-adresser, som brugeren har oprettet forbindelse til fra i løbet af de seneste 30 dage.

INDSIGT I IP-adresse

Da IP-adresseoplysninger er afgørende for næsten alle undersøgelser, kan du få vist detaljerede oplysninger om IP-adresser i aktivitetsskuffen. Fra en bestemt aktivitet kan du vælge fanen IP-adresse for at få vist konsoliderede data om IP-adressen, herunder antallet af åbne beskeder for den bestemte IP-adresse, en tendensgraf over seneste aktivitet og et placeringskort. Det gør det f.eks. nemt at foretage detailudledning, når det er umuligt at undersøge rejsebeskeder. Derudover kan du nemt forstå, hvor IP-adressen blev brugt, og om den var involveret i mistænkelige aktiviteter. Du kan også udføre handlinger direkte i IP-adresseskuffen, der gør det muligt for dig at mærke en IP-adresse som risikable, VPN eller firma for at lette fremtidig undersøgelse og politikoprettelse.

Sådan får du vist indsigt i IP-adresser:

1. Vælg selve Aktiviteten i aktivitetsloggen.

2. Vælg derefter fanen IP-adresse .

   Dette åbner fanen IP-adresse for aktivitetsskuffe, som giver følgende indsigt i IP-adressen:

   • Åbne beskeder: Antallet af åbne beskeder, der involverede IP-adressen.

   • Aktiviteter: Antallet af aktiviteter, der er udført af IP-adressen i løbet af de seneste 30 dage.

   • IP-placering: De geografiske placeringer, hvorfra IP-adressen er forbundet inden for de seneste 30 dage.

   • Aktiviteter: Antallet af aktiviteter, der er udført fra denne IP-adresse i løbet af de seneste 30 dage.

   • Administration aktiviteter: Antallet af administrative aktiviteter, der er udført fra denne IP-adresse i løbet af de seneste 30 dage. Du kan udføre følgende IP-adressehandlinger:

     • Angiv som virksomhedens IP-adresse, og føj til allowlist
     • Angiv som en VPN-IP-adresse, og føj til allowlist
     • Angiv som en risikabel IP-adresse, og føj til blocklist

Bemærk!

• Interne IPv4- eller IPv6-IP-adresser, der overvåges af de cloudprogrammer, der er forbundet med API, kan angive intern tjenestekommunikation i netværket af cloudprogrammet og bør ikke forveksles med interne IP-adresser fra kildenetværket, som enheden har forbindelse til, da cloudprogrammet ikke eksponeres for enhedernes interne IP-adresser.
• For at undgå at hæve umulige rejsebeskeder , når medarbejdere opretter forbindelse fra deres hjemmeplaceringer via virksomhedens VPN, anbefales det at mærke IP-adressen som VPN.

Eksportér aktiviteter

Du kan eksportere alle brugeraktiviteter til en CSV-fil.

I aktivitetsloggen skal du vælge knappen Eksportér i øverste venstre hjørne.

Bemærk!

Denne artikel indeholder trin til, hvordan du sletter personlige data fra enheden eller tjenesten og kan bruges til at understøtte dine forpligtelser i henhold til GDPR. Hvis du leder efter generelle oplysninger om GDPR, kan du se afsnittet om GDPR på Service Trust Portal.

Næste trin

Bedste praksis for beskyttelse af din organisation

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.