Toiminnan tutkiminen

Microsoft Defender for Cloud Apps antaa näkyvyyden kaikkiin yhdistettyjen sovelluksiesi toimintoihin. Kun olet yhdistänyt Defender for Cloud Apps sovellukseen sovellusliittimen avulla, Defender for Cloud Apps tarkistaa kaikki tapahtuneet toiminnot - taannehtiva skannausaika vaihtelee sovelluskohtaisesti - ja sitä päivitetään jatkuvasti uusilla toiminnoilla.

Huomautus

Täydellinen luettelo Defender for Cloud Apps valvomista Microsoft 365 -toiminnoista on artikkelissa Valvontalokin haku yhteensopivuuskeskuksessa.

Toimintoloki voidaan suodattaa niin, että voit etsiä tiettyjä toimintoja. Voit luoda käytäntöjä aktiviteettien perusteella ja määrittää sitten, mistä haluat saada ilmoituksen ja käsitellä niitä. Voit etsiä tiettyjä tiedostoja koskevia toimintoja. Toimintojen tyyppi ja kustakin toiminnosta saatavat tiedot määräytyvät sovelluksen mukaan ja sen tietojen perusteella, millaisia tietoja sovellus voi tarjota.

Toimintalokin avulla voit esimerkiksi etsiä organisaatiosi käyttäjiä, jotka käyttävät vanhentuneita käyttöjärjestelmiä tai selaimia: Kun olet yhdistänyt sovelluksen Defender for Cloud Apps toimintalokisivulla, käytä lisäsuodatinta ja valitse Käyttäjäagentin tunniste. Valitse sitten Vanhentunut selain tai Vanhentunut käyttöjärjestelmä.

Perussuodatin tarjoaa erinomaiset työkalut toimintojen suodattamisen aloittamiseen.

Voit laajentaa perussuodatinta valitsemalla Lisäsuodattimet porautuaksesi tarkempiin toimintoihin.

Huomautus

• Vanha-tunniste lisätään mihin tahansa toimintokäytäntöön, joka käyttää vanhempaa käyttäjäsuodatinta. Tämä suodatin toimii edelleen tavalliseen tapaan. Jos haluat poistaa Legacy-tunnisteen, voit poistaa suodattimen ja lisätä suodattimen uudelleen käyttämällä uutta käyttäjänimen suodatinta.

• Joissain harvinaisissa tapauksissa toimintolokissa esitettyjen tapahtumien määrä voi näyttää hieman enemmän kuin suodattimeen ja esittämiseen käytettävien tapahtumien reaalimäärä.

Toiminta-laatikko

Toiminta-laatikon käsitteleminen

Voit tarkastella lisätietoja kustakin toiminnosta valitsemalla toimintalokista itse toiminnan. Tämä avaa Toiminta-laatikon, joka tarjoaa seuraavat lisätoiminnot ja merkitykselliset tiedot kullekin aktiviteetille:

• Vastaavat käytännöt: Valitse Vastaavat käytännöt -linkki, jotta näet luettelon käytännöistä, jotka tämä toiminto vastasi.

• Raakatietojen tarkasteleminen: Valitse Näytä raakatiedot , jotta näet sovelluksesta vastaanotetut todelliset tiedot.

• Käyttäjä: Valitse käyttäjä, jos haluat tarkastella toiminnon suorittaneen käyttäjän käyttäjäsivua.

• Laitetyyppi: Valitse Laitetyyppi , jos haluat tarkastella raakakäyttäjäagentin tietoja.

• Sijainti: Valitse sijainti, jos haluat tarkastella sijaintia Bing Maps.

• IP-osoiteluokka ja -tunnisteet: Valitse IP-tunniste, jos haluat tarkastella tästä toiminnosta löytyneiden IP-tunnisteiden luetteloa. Voit sitten suodattaa kaikkien tätä tunnistetta vastaavien aktiviteettien mukaan.

Toiminta-laatikon kentät sisältävät tilannekohtaisia linkkejä muihin toimintoihin ja porautumisiin, jotka haluat ehkä suorittaa suoraan laatikosta. Jos esimerkiksi siirrät kohdistimen IP-osoiteluokan viereen, voit lisätä Lisää suodattimeen -kuvakkeen avulla. Jos haluat lisätä IP-osoitteen heti nykyisen sivun suodattimeen. Voit myös käyttää asetusten hammasrataskuvakkeen , joka avautuu ja saapuu suoraan asetussivulle, jota tarvitaan jonkin kentän, kuten käyttäjäryhmien, määrityksen muokkaamiseen.

Voit myös käyttää välilehden yläreunassa olevia kuvakkeita seuraavasti:

• Näytä samantyyppiset toiminnot
• Näytä kaikki saman käyttäjän toiminnot
• Näytä toiminnot samasta IP-osoitteesta
• Näytä toiminnot tarkan maantieteellisen sijainnin mukaan
• Näytä toiminnot samalta ajanjaksolta (48 tuntia)

Luettelo käytettävissä olevista hallintotoimista on kohdassa Toiminnan hallintatoimet.

Käyttäjän merkitykselliset tiedot

Tutkimuskokemus sisältää merkityksellisiä tietoja virkaatekevästä käyttäjästä. Yhdellä napsautuksella saat kattavan yleiskatsauksen käyttäjästä, kuten mistä sijainnista hän oli yhteydessä, kuinka monesta avoimesta ilmoituksesta hän on ollut tekemisissä, sekä heidän metatietonsa.

Käyttäjien merkityksellisten tietojen tarkasteleminen:

1. Valitse toiminta itse toimintalokista.

2. Valitse sitten Käyttäjä-välilehti .
   Kun valitset sen, Toiminto-laatikon Käyttäjä-välilehti tarjoaa seuraavat merkitykselliset tiedot käyttäjästä:

   • Avoimet hälytykset: Käyttäjän avoimien ilmoitusten määrä.
   • Vastaavuudet: Käyttäjän omistamien tiedostojen käytäntövastaavuuksien määrä.
   • Aktiviteetit: Käyttäjän suorittamien toimintojen määrä viimeisten 30 päivän aikana.
   • Maat: Niiden maiden määrä, joista käyttäjä on muodostanut yhteyden viimeisten 30 päivän aikana.
   • Isps: Niiden isps:ien määrä, joista käyttäjä on muodostanut yhteyden viimeisten 30 päivän aikana.
   • IP-osoitteet: Niiden IP-osoitteiden määrä, joista käyttäjä on muodostanut yhteyden, viimeisten 30 päivän aikana.

IP-osoitteen merkitykselliset tiedot

Koska IP-osoitetiedot ovat ratkaisevia lähes kaikissa tutkimuksissa, voit tarkastella yksityiskohtaisia tietoja IP-osoitteista Toiminta-laatikossa. Tietystä toiminnosta voit valita IP-osoite-välilehden ja tarkastella IP-osoitteen koontitietoja, kuten tietyn IP-osoitteen avointen ilmoitusten määrää, viimeaikaisen toiminnan trendikaaviota ja sijaintikarttaa. Näin voit helposti porautua alaspäin esimerkiksi tutkiessasi mahdottomia matkailmoituksia. Lisäksi voit helposti ymmärtää, missä IP-osoitetta käytettiin ja oliko se mukana epäilyttävässä toiminnassa. Voit myös suorittaa suoraan IP-osoitelaatikossa toimintoja, joiden avulla voit merkitä IP-osoitteen riskialttiiksi, VPN-yhteydeksi tai yritykseksi tulevan tutkinnan ja käytännön luomisen helpottamiseksi.

IP-osoitteen merkityksellisten tietojen tarkasteleminen:

1. Valitse toiminta itse toimintalokista.

2. Valitse sitten IP-osoite-välilehti .

   Tämä avaa Toimintalaatikon IP-osoite -välilehden, joka sisältää seuraavat merkitykselliset tiedot IP-osoitteesta:

   • Avoimet hälytykset: IP-osoitteeseen liittyvien avoimien hälytysten määrä.

   • Aktiviteetit: IP-osoitteen suorittamien toimintojen määrä viimeisten 30 päivän aikana.

   • IP-sijainti: Maantieteelliset sijainnit, joista IP-osoite on yhdistetty viimeisten 30 päivän aikana.

   • Toiminnot: Tästä IP-osoitteesta suoritettujen toimintojen määrä viimeisten 30 päivän aikana.

   • Hallinta toimintoja: Tästä IP-osoitteesta suoritettujen hallinnollisten toimien määrä viimeisten 30 päivän aikana. Voit suorittaa seuraavat IP-osoitetoiminnot:

     • Määritä yrityksen IP-osoitteiksi ja lisää sallittujen luetteloon
     • Määritä VPN-IP-osoitteeksi ja lisää sallittujen luetteloon
     • Aseta riskialttiiksi IP-osoitteiksi ja lisää blocklist-luetteloon

Huomautus

• Sisäiset IPv4- tai IPv6-IP-osoitteet, joita ohjelmointirajapintaan yhdistetyt pilvisovellukset valvovat, voivat osoittaa sisäisen palveluviestinnän pilvisovelluksen verkossa. Niitä ei tule sekoittaa lähdeverkon sisäisiin IP-osoitteisiin, joista laite on yhteydessä, koska pilvisovellus ei ole alttiina laitteiden sisäisille IP-osoitteille.
• Jotta vältetään mahdottomien matkailmoitusten esittäminen, kun työntekijät muodostavat yhteyden kotisijainneistaan yrityksen VPN:n kautta, IP-osoite kannattaa merkitä VPN-osoitteeksi.

Vie toimintoja

Voit viedä kaikki käyttäjän toimet CSV-tiedostoon.

Valitse toimintalokistaVie-painike vasemmasta yläkulmasta.

Huomautus

Tässä artikkelissa kerrotaan, miten voit poistaa henkilötietoja laitteesta tai palvelusta, ja sen avulla voit tukea GDPR:n mukaisia velvoitteitasi. Jos etsit yleistä tietoa GDPR:stä, katso Service Trust Portalin GDPR-osio.

Seuraavat vaiheet

Organisaation suojaamisen parhaat käytännöt

Jos kohtaat ongelmia, olemme täällä auttamassa. Jos haluat apua tai tukea tuoteongelmaasi varten, avaa tukipyyntö.