Freigeben über

Untersuchen von Aktivitäten

  • Artikel

Microsoft Defender for Cloud Apps bietet Ihnen Einblick in alle Aktivitäten Ihrer verbundenen Apps. Nachdem Sie Defender for Cloud Apps über den App-Connector mit einer App verbunden haben, überprüft Defender for Cloud Apps alle aktivitäten, die aufgetreten sind ( der rückwirkende Überprüfungszeitraum unterscheidet sich je nach App - und wird dann ständig mit neuen Aktivitäten aktualisiert.

Hinweis

Eine vollständige Liste der von Defender for Cloud Apps überwachten Microsoft 365-Aktivitäten finden Sie unter Durchsuchen des Überwachungsprotokolls im Compliance Center.

Das Aktivitätsprotokoll kann gefiltert werden, damit Sie bestimmte Aktivitäten finden können. Sie erstellen Richtlinien basierend auf den Aktivitäten und definieren dann, worüber Sie benachrichtigt werden möchten, und handeln Sie darauf. Sie können nach Aktivitäten suchen, die für bestimmte Dateien ausgeführt werden. Die Art der Aktivitäten und die Informationen, die wir für jede Aktivität erhalten, hängen von der App und der Art von Daten ab, die die App bereitstellen kann.

Sie können beispielsweise das Aktivitätsprotokoll verwenden, um Benutzer in Ihrem organization zu finden, die veraltete Betriebssysteme oder Browser verwenden: Nachdem Sie eine App mit Defender for Cloud Apps auf der Seite Aktivitätsprotokoll verbunden haben, verwenden Sie den erweiterten Filter, und wählen Sie Benutzer-Agent-Tag aus. Wählen Sie dann Veralteter Browser oder Veraltetes Betriebssystem aus.

Beispiel für veraltete Browseraktivität.

Der grundlegende Filter bietet hervorragende Tools, mit denen Sie Ihre Aktivitäten filtern können.

Einfacher Aktivitätsprotokollfilter.

Sie können den Basisfilter erweitern, indem Sie Erweiterte Filter auswählen, um einen Drilldown zu spezifischeren Aktivitäten auszuführen.

Erweiterter Aktivitätsprotokollfilter.

Hinweis

  • Das Legacytag wird jeder Aktivitätsrichtlinie hinzugefügt, die den älteren Filter "Benutzer" verwendet. Dieser Filter funktioniert weiterhin wie gewohnt. Wenn Sie das Legacytag entfernen möchten, können Sie den Filter entfernen und den Filter mithilfe des neuen Benutzernamenfilters erneut hinzufügen.

  • In einigen seltenen Fällen kann die Anzahl der im Aktivitätsprotokoll angezeigten Ereignisse eine etwas höhere Zahl als die reelle Anzahl von Ereignissen anzeigen, die für den Filter gelten und angezeigt werden.

Die Aktivitätsschublade

Arbeiten mit dem Aktivitätsschubladen

Sie können weitere Informationen zu jeder Aktivität anzeigen, indem Sie die Aktivität selbst im Aktivitätsprotokoll auswählen. Dadurch wird die Aktivitätsschublade geöffnet, die die folgenden zusätzlichen Aktionen und Erkenntnisse für jede Aktivität bereitstellt:

  • Übereinstimmende Richtlinien: Wählen Sie den Link Übereinstimmende Richtlinien aus, um eine Liste der Richtlinien anzuzeigen, mit der diese Aktivität übereinstimmt.

  • Rohdaten anzeigen: Wählen Sie Unformatierte Daten anzeigen aus, um die tatsächlichen Daten anzuzeigen, die von der App empfangen wurden.

  • Benutzer: Wählen Sie den Benutzer aus, um die Benutzerseite für den Benutzer anzuzeigen, der die Aktivität ausgeführt hat.

  • Gerätetyp: Wählen Sie Gerätetyp aus, um die unformatierten Benutzer-Agent-Daten anzuzeigen.

  • Standort: Wählen Sie den Standort aus, um den Standort in Bing Karten anzuzeigen.

  • IP-Adresskategorie und -tags: Wählen Sie das IP-Tag aus, um die Liste der IP-Tags anzuzeigen, die in dieser Aktivität gefunden wurden. Anschließend können Sie nach allen Aktivitäten filtern, die diesem Tag entsprechen.

Die Felder in der Aktivitätsschublade bieten kontextbezogene Links zu zusätzlichen Aktivitäten und Drilldowns, die Sie möglicherweise direkt aus der Schublade ausführen möchten. Wenn Sie z. B. den Cursor neben die IP-Adresskategorie verschieben, können Sie das Symbol zum Filtern hinzufügen zum Filter verwenden. um die IP-Adresse sofort dem Filter der aktuellen Seite hinzuzufügen. Sie können auch das Eingeblendete Symbol für zahnradsymboleinstellungen verwenden, um direkt auf die Einstellungsseite zu gelangen, die erforderlich ist, um die Konfiguration eines der Felder zu ändern, z. B. Benutzergruppen.

Sie können die Symbole oben auf der Registerkarte auch für Folgendes verwenden:

  • Anzeigen von Aktivitäten desselben Typs
  • Anzeigen aller Aktivitäten desselben Benutzers
  • Anzeigen von Aktivitäten von derselben IP-Adresse
  • Anzeigen von Aktivitäten am genauen geografischen Standort
  • Anzeigen von Aktivitäten aus dem gleichen Zeitraum (48 Stunden)

Aktivitätsschublade.

Eine Liste der verfügbaren Governanceaktionen finden Sie unter Aktivitätsgovernanceaktionen.

Benutzereinblicke

Die Untersuchungserfahrung enthält Erkenntnisse über den handelnden Benutzer. Mit nur einem Klick erhalten Sie einen umfassenden Überblick über den Benutzer, einschließlich des Standorts, von dem aus er eine Verbindung hergestellt hat, wie viele offene Warnungen er verwendet, und seine Metadateninformationen.

So zeigen Sie Benutzererkenntnisse an:

  1. Wählen Sie im Aktivitätsprotokoll die Aktivität selbst aus.

  2. Wählen Sie dann die Registerkarte Benutzer aus.
    Wenn Sie es auswählen, wird die Registerkarte Benutzer der Aktivitätsschublade geöffnet, die die folgenden Erkenntnisse über den Benutzer bietet:

    • Offene Warnungen: Die Anzahl der geöffneten Warnungen, die den Benutzer einbeziehen.
    • Übereinstimmungen: Die Anzahl der Richtlinien-Übereinstimmungen für Dateien, die sich im Besitz des Benutzers befinden.
    • Aktivitäten: Die Anzahl der Aktivitäten, die der Benutzer in den letzten 30 Tagen ausgeführt hat.
    • Länder: Die Anzahl der Länder, aus der sich der Benutzer in den letzten 30 Tagen verbunden hat.
    • ISPs: Die Anzahl der ISPs, mit der sich der Benutzer in den letzten 30 Tagen verbunden hat.
    • IP-Adressen: Die Anzahl der IP-Adressen, von der aus der Benutzer in den letzten 30 Tagen eine Verbindung hergestellt hat.

Benutzereinblicke in Defender for Cloud Apps.

Erkenntnisse zu IP-Adressen

Da IP-Adressinformationen für fast alle Untersuchungen von entscheidender Bedeutung sind, können Sie detaillierte Informationen zu IP-Adressen in der Aktivitätsschublade anzeigen. Innerhalb einer bestimmten Aktivität können Sie die Registerkarte IP-Adresse auswählen, um konsolidierte Daten zur IP-Adresse anzuzeigen, einschließlich der Anzahl der geöffneten Warnungen für die jeweilige IP-Adresse, eines Trenddiagramms der letzten Aktivitäten und einer Standortkarte. Dies ermöglicht beispielsweise einen einfachen Drilldown bei der Untersuchung unmöglicher Reisewarnungen. Darüber hinaus können Sie leicht nachvollziehen, wo die IP-Adresse verwendet wurde und ob sie an verdächtigen Aktivitäten beteiligt war. Sie können auch Aktionen direkt in der IP-Adressschublade ausführen, mit denen Sie eine IP-Adresse als riskant, VPN oder Unternehmen markieren können, um zukünftige Untersuchungen und die Erstellung von Richtlinien zu vereinfachen.

So zeigen Sie Erkenntnisse zu IP-Adressen an:

  1. Wählen Sie im Aktivitätsprotokoll die Aktivität selbst aus.

  2. Wählen Sie dann die Registerkarte IP-Adresse aus.

    Dadurch wird die Registerkarte IP-Adresse der Aktivitätsschublade geöffnet, die die folgenden Einblicke in die IP-Adresse bietet:

    • Offene Warnungen: Die Anzahl der offenen Warnungen, die die IP-Adresse umfassten.

    • Aktivitäten: Die Anzahl der Aktivitäten, die von der IP-Adresse in den letzten 30 Tagen ausgeführt wurden.

    • IP-Standort: Die geografischen Standorte, von denen aus die IP-Adresse in den letzten 30 Tagen verbunden ist.

    • Aktivitäten: Die Anzahl der Aktivitäten, die von dieser IP-Adresse in den letzten 30 Tagen ausgeführt wurden.

    • Admin Aktivitäten: Die Anzahl der administrativen Aktivitäten, die von dieser IP-Adresse in den letzten 30 Tagen ausgeführt wurden. Sie können die folgenden IP-Adressaktionen ausführen:

      • Als Unternehmens-IP festlegen und zur Positivliste hinzufügen
      • Als VPN-IP-Adresse festlegen und zur Positivliste hinzufügen
      • Als riskante IP-Adresse festlegen und zur Sperrliste hinzufügen

IP-Adresserkenntnisse in Defender for Cloud Apps.

Hinweis

  • Interne IPv4- oder IPv6-IP-Adressen, die von den cloudbasierten Anwendungen überwacht werden, die mit der API verbunden sind, können auf interne Dienste im Netzwerk der Cloudanwendung hinweisen und sollten nicht mit internen IP-Adressen aus dem Quellnetzwerk verwechselt werden, über das das Gerät verbunden ist, da die Cloudanwendung nicht für die internen IP-Adressen der Geräte verfügbar gemacht wird.
  • Um unmögliche Reisewarnungen zu vermeiden, wenn Mitarbeiter über das Unternehmens-VPN eine Verbindung von ihren Privaten Standorten aus herstellen, wird empfohlen, die IP-Adresse als VPN zu kennzeichnen.

Exportieren von Aktivitäten

Sie können alle Benutzeraktivitäten in eine CSV-Datei exportieren.

Wählen Sie im Aktivitätsprotokoll oben links die Schaltfläche Exportieren aus.

Schaltfläche

Hinweis

Dieser Artikel enthält Schrittanleitungen zum Löschen von personenbezogenen Daten aus einem Gerät oder Dienst und kann Sie dabei unterstützen, Ihren Pflichten gemäß DSGVO nachzukommen. Wenn Sie nach allgemeinen Informationen zur DSGVO suchen, lesen Sie den Abschnitt DSGVO des Service Trust-Portals.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.