Jaa

Suodatus- ja kyselytoiminnot ja Defender for Cloud Apps

  • Artikkeli

Tässä artikkelissa on Defender for Cloud Apps toimintosuodattimien ja -kyselyiden kuvaukset ja ohjeet.

Toimintosuodattimet

Alla on luettelo toimintosuodattimista, joita voidaan käyttää. Useimmat suodattimet tukevat useita arvoja sekä NOT-arvoa , joka tarjoaa tehokkaan työkalun käytännön luomiseen.

  • Toimintatunnus – Hae vain tiettyjä toimintoja niiden tunnuksen mukaan. Tästä suodattimesta on hyötyä, kun muodostat yhteyden Microsoft Defender for Cloud Apps SIEM-agenttiin (SIEM-agentin avulla) ja haluat tutkia hälytyksiä tarkemmin Defender for Cloud Apps portaalissa.

  • Aktiviteettiobjektit – Hae objekteja, joista toiminto tehtiin. Tämä suodatin koskee tiedostoja, kansioita, käyttäjiä tai sovellusobjekteja.

    • Activity Object ID – Objektin tunnus (tiedosto, kansio, käyttäjä tai sovellustunnus).

    • Item – Tämän avulla voit hakea minkä tahansa toiminto-objektin nimen tai tunnuksen mukaan (esimerkiksi käyttäjänimet, tiedostot, parametrit, sivustot). Toiminto-objektin Kohde-suodattimessa voit valita, suodatetaanko kohteet, jotka sisältävät, ovat yhtä suuret tai alkavat tietyllä kohteella.

  • Toimintotyyppi: hae sovelluksessa suoritettavaa tarkempaa toimintoa.

  • Aktiviteettityyppi – Hae sovelluksen toimintaa.

    Huomautus

    Sovellukset lisätään suodattimeen vain, jos sovelluksella on toimintaa.

  • Hallinnollinen toiminta – Hae vain järjestelmänvalvojan toimintoja.

    Huomautus

    Defender for Cloud Apps eivät voi merkitä Google Cloud Platformin (GCP) hallintatoimia hallinnollisiksi toimiksi.

  • Ilmoituksen tunnus – Hae hälytystunnuksen mukaan.

  • Sovellus – Hae vain tiettyjen sovellusten toimintoja.

  • Käytössä oleva toiminto - Hae hallinnon mukaan -toiminto käytössä: Estetty, Ohita välityspalvelin, Salaus purettu, Salattu, Salaus epäonnistui, Ei toimia.

  • Date – Päivämäärä, jolloin toiminto ilmeni. Suodatin tukee päivämääriä ennen/jälkeen ja päivämääräaluetta.

  • Laitetunniste – Hae Intune yhteensopivan, Microsoft Entra yhdistelmäliittämän tai kelvollisen asiakasvarmenteen mukaan.

  • Laitetyyppi – Hae vain toimintoja, jotka on tehty käyttäen tiettyä laitetyyppiä. Voit esimerkiksi hakea kaikkia toimintoja mobiililaitteista, tietokoneista tai tableteista.

  • Tiedostot ja kansiot – Hae tiedostoja ja kansioita, joista toiminto suoritettiin.

    • Tiedostotunnus – Voit hakea sen tiedostotunnuksen mukaan, jolla toiminto suoritettiin.
    • Name – Tiedostojen tai kansioiden nimen suodattimet. Voit valita, päättyykö nimi hakuarvoon, onko se yhtä suuri kuin vai alkaako se hakuarvollasi .
    • Tietyt tiedostot tai kansiot – Voit sisällyttää tai jättää pois tiettyjä tiedostoja tai kansioita. Voit suodattaa luettelon sovelluksen, omistajan tai osittaisen tiedostonimenmukaan, kun valitset tiedostoja tai kansioita.

  • IP-osoite – RAAKA IP-osoite, luokka tai tunniste, josta toiminto suoritettiin.

    • RAAKA IP-osoite – Voit hakea toimintoja, jotka on suoritettu raaka-IP-osoitteilla tai raaka-IP-osoitteilla. Raaka-NI:t voivat olla yhtä suuret, eivät ole yhtä suuret, alkavat tai eivät ala tietyllä järjestyksellä.
    • IP-luokka – Sen IP-osoitteen luokka, josta toiminto suoritettiin, esimerkiksi kaikki toiminnot järjestelmänvalvojan IP-osoitealueella. Luokat on määritettävä sisältämään tarvittavat IP-osoitteet. Jotkin IPS:t voidaan luokitella oletusarvoisesti. On esimerkiksi IP-osoitteita, joita Microsoftin uhkatietolähteet harkitsevat riskialttiiksi. Lisätietoja IP-luokkien määrittämisestä on artikkelissa Tietojen järjestäminen tarpeittesi mukaan.
    • IP-tunniste – Sen IP-osoitteen tunniste, josta toiminto suoritettiin, esimerkiksi kaikki toiminnot anonyymisti välityspalvelimen IP-osoitteista. Defender for Cloud Apps luo joukon sisäisiä IP-tunnisteita, joita ei voi määrittää. Lisäksi voit määrittää IP-tunnisteet. Lisätietoja IP-tunnisteiden määrittämisestä on kohdassa Tietojen järjestäminen tarpeittesi mukaan. Sisäiset IP-tunnisteet sisältävät seuraavat:
      • Microsoft-sovellukset (14 niistä)
      • Anonyymi välitys
      • Botnet (näet, että toiminnon suoritti bottiverkko ja linkki, josta saat lisätietoja tietystä botnetista)
      • Darknet-tarkistuksen IP-osoite
      • Malware C&C -palvelin
      • Etäyhteyksien analysointityökalu
      • Satelliittipalveluntarjoajat
      • Älykäs välityspalvelin ja käyttövälityspalvelin (jätetty pois tarkoituksesta)
      • Tor-sulkusolmut
      • Z-skaala

  • Tekeytynyt aktiviteetti – Hae vain toimintoja, jotka on suoritettu toisen käyttäjän nimellä.

  • Instance – Sovelluksen esiintymä, jossa toiminto suoritettiin tai ei suoritettu.

  • Location – Maa tai alue, josta toiminto suoritettiin.

  • Vastaava käytäntö – Hae toimintoja, jotka vastaavat portaalissa määritettyä tiettyä käytäntöä.

  • Rekisteröity IsP – IsP, josta toiminto suoritettiin.

  • Source – Hae lähteen mukaan, josta toiminto havaittiin. Lähde voi olla mikä tahansa seuraavista:

    • Sovellusliitin – suoraan sovelluksen ohjelmointirajapintaliittimestä tulevat lokit.
    • Sovellusliittimen analyysi – Defender for Cloud Apps täydennykset ohjelmointirajapintaliittimen skannaamien tietojen perusteella.

  • User – Toiminnon suorittanut käyttäjä, joka voidaan suodattaa toimialueeseen, ryhmään, nimeen tai organisaatioon. Jos haluat suodattaa toimintoja ilman tiettyä käyttäjää, voit käyttää "ei ole määritetty" -operaattoria.

    • Käyttäjän toimialue – Hae tiettyä käyttäjän toimialuetta.
    • Käyttäjäorganisaatio – Toiminnon suorittaneen käyttäjän organisaatioyksikkö, esimerkiksi kaikki toiminnot, jotka EMEA_marketing käyttäjille. Tämä koskee vain yhdistettyjä Google Workspace -esiintymiä, jotka käyttävät organisaation yksiköitä.
    • Käyttäjäryhmä – Tietyt käyttäjäryhmät, joita voit tuoda yhdistetyistä sovelluksista, esimerkiksi Microsoft 365 -järjestelmänvalvojat.
    • Käyttäjänimi – Hae tietty käyttäjänimi. Jos haluat nähdä tietyn käyttäjäryhmän käyttäjäluettelon, valitse Toiminta-laatikosta käyttäjäryhmän nimi. Napsauttamalla pääset Tilit-sivulle, jossa luetellaan kaikki ryhmän käyttäjät. Sieltä voit porautua ryhmän tiettyjen käyttäjien tilien tietoihin.
    • Käyttäjäryhmä- ja Käyttäjänimi-suodattimia voi suodattaa lisää käyttämällä As-suodatinta ja valitsemalla käyttäjän roolin, mikä voi olla mikä tahansa seuraavista:
      • Vain toiminto-objekti – eli valittu käyttäjä- tai käyttäjäryhmä ei suorittanut kyseistä toimintoa. ne olivat toiminnan kohteena.
      • Vain toimija – eli käyttäjä- tai käyttäjäryhmä suoritti toiminnon.
      • Mikä tahansa rooli – Tämä tarkoittaa, että käyttäjä tai käyttäjäryhmä oli mukana toiminnossa joko toiminnon suorittaneena henkilönä tai toiminnon kohteena.

  • Käyttäjäagentti – Toiminnon käyttäjäagentti kohteesta suoritettiin.

  • Käyttäjäagentin tunniste – Sisäinen käyttäjäagentin tunniste, esimerkiksi kaikki toimet vanhentuneista käyttöjärjestelmistä tai vanhentuneista selaimista.

Toimintakyselyt

Voit tehdä tutkimuksista vielä yksinkertaisempia luomalla mukautettuja kyselyitä ja tallentamalla ne myöhempää käyttöä varten.

  1. Voit porautua sovelluksiin tarvittaessa toimintalokisivulla yllä kuvattujen suodattimien avulla.

Tee kysely suodattimien avulla.

  1. Kun olet valmis kyselyn luomisen jälkeen, valitse Tallenna nimellä -painike.

  2. Nimeä kysely Tallenna kysely - ponnahdusikkunassa.

    uusi kysely.

  3. Jos haluat käyttää tätä kyselyä uudelleen tulevaisuudessa, siirry Kyselyt-kohdassa kohtaan Tallennetut kyselyt ja valitse kyselysi.

    avaa kysely.

Defender for Cloud Apps tarjoaa myös Ehdotettuja kyselyitä. Ehdotetut kyselyt tarjoavat suositellut tutkimuskeinot, jotka suodattavat toimintaasi. Voit muokata näitä kyselyitä ja tallentaa ne mukautettuina kyselyinä. Seuraavat ovat valinnaisia ehdotettuja kyselyitä:

  • Hallinta toimintoja – suodattaa kaikki toimintosi näyttämään vain ne toiminnot, joihin osallistuu järjestelmänvalvojia.

  • Lataustoiminnot – suodattaa kaikki toimintasi näyttämään vain ne toiminnot, jotka olivat lataustoimintoja, mukaan lukien käyttäjäluettelon lataaminen .csv-tiedostona, jaetun sisällön lataaminen ja kansion lataaminen.

  • Sisäänkirjautuminen epäonnistui – suodattaa kaikki toimintosi näyttämään vain epäonnistuneet kirjautumiset ja epäonnistuneet kirjautumiset kertakirjautumisen kautta

  • Tiedosto- ja kansiotoiminnot – suodattaa kaikki toiminnot näyttämään vain tiedostot ja kansiot. Suodatin sisältää kansioiden lataamisen, lataamisen ja käyttämisen sekä tiedostojen luomisen, poistamisen, lataamisen, lataamisen, määrittämisen ja käyttämisen sekä sisällön siirtämisen.

  • Tekeytymisaktiviteetit – suodattaa kaikki toiminnot näyttämään vain tekeytymisaktiviteetit.

  • Salasanan muutokset ja palautuspyynnöt – suodattaa kaikki toimintosi näyttämään vain ne toiminnot, joihin liittyy salasanan vaihtaminen, salasanan vaihtaminen ja käyttäjän pakottaminen vaihtamaan salasana seuraavan sisäänkirjautumisen yhteydessä.

  • Jakamistoiminnot – suodattaa kaikki toimintosi näyttämään vain ne toiminnot, joihin liittyy kansioiden ja tiedostojen jakaminen, mukaan lukien yrityslinkin luominen, anonyymin linkin luominen ja luku- ja kirjoitusoikeuksien myöntäminen.

  • Onnistunut sisäänkirjautuminen – suodattaa kaikki toimintosi näyttämään vain ne toiminnot, joihin liittyy onnistuneita kirjautumisia, mukaan lukien tekeytyminen toiminnoksi, kirjautumiseksi tekeytyminen, kertakirjautuminen ja kirjautuminen uudesta laitteesta.

kyselytoiminnot.

Lisäksi voit käyttää ehdotettuja kyselyitä aloituspisteenä uudelle kyselylle. Valitse ensin jokin ehdotetuista kyselyistä. Tee sitten muutokset tarpeen mukaan ja luo uusi Tallennettu kysely valitsemalla Tallenna nimellä.

Kyselytoiminnot kuusi kuukautta sitten

Jos haluat tutkia yli 30 päivää vanhoja toimia, voit siirtyä toimintalokiin ja valita Näytön oikeassa yläkulmassa Tutki 6 kuukautta taaksepäin :

Valitse Tutki 6 kuukautta sitten.

Sieltä voit määrittää suodattimet, kuten tavallisesti tehdään toimintolokin kanssa, seuraavin eroin:

  • Päivämääräsuodatin on pakollinen, ja se on rajoitettu yhden viikon jaksoon. Tämä tarkoittaa sitä, että vaikka voit tehdä kyselyjä enintään kuusi kuukautta sitten, voit tehdä sen vain yhden viikon kerrallaan.

  • Yli 30 päivän takaista kyselyä tuetaan vain seuraavissa kentissä:

    • Toiminnon tunnus
    • Toimintotyyppi
    • Toiminnon tyyppi
    • Sovellus
    • IP-osoite
    • Sijainti
    • Käyttäjänimi

Esimerkki:

Suodata, kun olet valinnut Tutki 6 kuukautta sitten.

Vie toiminnot kuusi kuukautta sitten (esikatselu)

Voit viedä kaikki toiminnot enintään kuuden kuukauden ajalta napsauttamalla vasemmassa yläkulmassa olevaa Vie-painiketta
Vie tietueet napsauttamalla vientikuvaketta.

Kun viet tietoja, voit valita enintään kuuden kuukauden päivämääräalueen ja jättää pois yksityisiä toimintoja.
Viety tiedosto on rajoitettu 100 000 tietueeseen ja on CSV-muodossa.

Tulostiedostoa voi käyttää Viedyt raportit -kohdassa. Käyttäjät voivat siirtyä kohtaan Raportit –> Microsoft 365 Defender -portaalin pilvisovellukset, jotta he voivat tarkastella vientiprosessin tilaa ja käyttää aiempia vientitoimintoja.
Raportit, jotka sisältävät yksityisiä toimintoja, merkitään Silmä-kuvakkeella raporttisivulle.

eye-icon

Seuraavat vaiheet

Organisaation suojaamisen parhaat käytännöt