Partager via

Filtrer et interroger les activités Defender for Cloud Apps

  • Article

Cet article fournit des descriptions et des instructions pour Defender for Cloud Apps filtres d’activité et les requêtes.

Filtres d’activité

Vous trouverez ci-dessous une liste des filtres d’activité qui peuvent être appliqués. La plupart des filtres prennent en charge plusieurs valeurs, mais pas pour vous fournir un outil puissant pour la création de stratégie.

  • ID d’activité : recherchez uniquement des activités spécifiques par leur ID. Ce filtre est utile lorsque vous vous connectez Microsoft Defender for Cloud Apps à votre SIEM (à l’aide de l’agent SIEM) et que vous souhaitez examiner plus en détail les alertes dans le portail Defender for Cloud Apps.

  • Objets d’activité : recherchez les objets sur lesquelles l’activité a été effectuée. Ce filtre s’applique aux fichiers, dossiers, utilisateurs ou objets d’application.

    • ID de l’objet d’activité : ID de l’objet (ID de fichier, de dossier, d’utilisateur ou d’application).

    • Item : vous permet de rechercher par le nom ou l’ID d’un objet d’activité (par exemple, des noms d’utilisateur, des fichiers, des paramètres, des sites). Pour le filtre Élément de l’objet Activité , vous pouvez choisir de filtrer les éléments qui contiennent, sont égaux ou commencent par l’élément spécifique.

  • Type d’action : recherchez une action plus spécifique effectuée dans une application.

  • Type d’activité : recherchez l’activité de l’application.

    Remarque

    Les applications sont ajoutées au filtre uniquement s’il existe une activité pour cette application.

  • Activité administrative : recherchez uniquement les activités administratives.

    Remarque

    Defender for Cloud Apps ne pouvez pas marquer les activités d’administration de Google Cloud Platform (GCP) en tant qu’activités administratives.

  • ID d’alerte : recherchez par ID d’alerte.

  • Application : recherchez uniquement les activités au sein d’applications spécifiques.

  • Action appliquée : recherche par action de gouvernance appliquée : Bloqué, Proxy de contournement, Déchiffré, Chiffré, Échec du chiffrement, Aucune action.

  • Date : date à laquelle l’activité s’est produite. Le filtre prend en charge les dates avant/après et une plage de dates.

  • Étiquette d’appareil : recherchez Intune certificat client conforme Microsoft Entra hybride joint ou valide.

  • Type d’appareil : recherchez uniquement les activités effectuées à l’aide d’un type d’appareil spécifique. Par exemple, recherchez toutes les activités à partir d’appareils mobiles, de PC ou de tablettes.

  • Fichiers et dossiers : recherchez les fichiers et dossiers sur lequel l’activité a été effectuée.

    • ID de fichier : vous permet de rechercher l’ID de fichier sur lequel l’activité a été effectuée.
    • Nom : filtre le nom des fichiers ou dossiers. Vous pouvez sélectionner si le nom se termine par, est égal ou commence par votre valeur de recherche.
    • Fichiers ou dossiers spécifiques : vous pouvez inclure ou exclure des fichiers ou dossiers spécifiques. Vous pouvez filtrer la liste par application, propriétaire ou nom de fichierpartiel lors de la sélection de fichiers ou de dossiers.

  • Adresse IP : adresse IP brute, catégorie ou balise à partir de laquelle l’activité a été effectuée.

    • Adresse IP brute : vous permet de rechercher des activités qui ont été effectuées sur ou par des adresses IP brutes. Les adresses IP brutes peuvent être égales, ne pas être égales, commencer par ou ne pas commencer par une séquence particulière.
    • Catégorie IP : catégorie de l’adresse IP à partir de laquelle l’activité a été effectuée, par exemple toutes les activités de la plage d’adresses IP d’administration. Les catégories doivent être configurées pour inclure les adresses IP appropriées. Certaines adresses IP peuvent être classées par défaut. Par exemple, certaines adresses IP qui sont considérées par les sources de renseignement sur les menaces Microsoft sont classées comme risquées. Pour savoir comment configurer les catégories d’adresses IP, consultez Organiser les données en fonction de vos besoins.
    • Balise IP : balise de l’adresse IP à partir de laquelle l’activité a été effectuée, par exemple, toutes les activités à partir d’adresses IP de proxy anonymes. Defender for Cloud Apps crée un ensemble de balises IP intégrées qui ne sont pas configurables. En outre, vous pouvez configurer vos balises IP. Pour plus d’informations sur la configuration de vos balises IP, consultez Organiser les données en fonction de vos besoins. Les balises IP intégrées sont les suivantes :
      • Applications Microsoft (14 d’entre elles)
      • Proxy anonyme
      • Botnet (vous verrez que l’activité a été effectuée par un botnet avec un lien pour en savoir plus sur le botnet spécifique)
      • Adresse IP d’analyse du darknet
      • Serveur C&C malveillant
      • Analyseur de connectivité à distance
      • Fournisseurs de satellites
      • Proxy intelligent et proxy d’accès (abandonnés volontairement)
      • Nœuds de sortie tor
      • Zscaler

  • Activité empruntée : recherchez uniquement les activités qui ont été effectuées dans le nom d’un autre utilisateur.

  • Instance : l’application instance où l’activité a été ou n’a pas été effectuée.

  • Emplacement : pays/région à partir duquel l’activité a été effectuée.

  • Stratégie correspondante : recherchez les activités qui correspondent à une stratégie spécifique définie dans le portail.

  • IsP inscrit : isp à partir duquel l’activité a été effectuée.

  • Source : recherche par source à partir de laquelle l’activité a été détectée. La source peut être l’une des suivantes :

    • Connecteur d’application : journaux provenant directement du connecteur d’API de l’application.
    • Analyse du connecteur d’application : Defender for Cloud Apps enrichissements basés sur les informations analysées par le connecteur d’API.

  • Utilisateur : l’utilisateur qui a effectué l’activité, qui peut être filtrée en domaine, groupe, nom ou organization. Pour filtrer les activités sans utilisateur spécifique, vous pouvez utiliser l’opérateur « n’est pas défini ».

    • Domaine utilisateur : recherchez un domaine d’utilisateur spécifique.
    • Organization utilisateur : unité d’organisation de l’utilisateur qui a effectué l’activité, par exemple, toutes les activités effectuées par EMEA_marketing utilisateurs. Cela s’applique uniquement aux instances Google Workspace connectées utilisant des unités d’organisation.
    • Groupe d’utilisateurs : groupes d’utilisateurs spécifiques que vous pouvez importer à partir d’applications connectées, par exemple les administrateurs Microsoft 365.
    • Nom d’utilisateur : recherchez un nom d’utilisateur spécifique. Pour afficher la liste des utilisateurs d’un groupe d’utilisateurs spécifique, dans le tiroir Activité, sélectionnez le nom du groupe d’utilisateurs. Cliquez sur la page Comptes, qui répertorie tous les utilisateurs du groupe. À partir de là, vous pouvez explorer les détails des comptes d’utilisateurs spécifiques dans le groupe.
    • Les filtres Groupe d’utilisateurs et Nom d’utilisateur peuvent être filtrés en utilisant le filtre As et en sélectionnant le rôle de l’utilisateur, qui peut être l’un des éléments suivants :
      • Objet d’activité uniquement , ce qui signifie que l’utilisateur ou le groupe d’utilisateurs sélectionnés n’a pas effectué l’activité en question ; ils étaient l’objet de l’activité.
      • Acteur uniquement , ce qui signifie que l’utilisateur ou le groupe d’utilisateurs a effectué l’activité.
      • Tout rôle : ce qui signifie que l’utilisateur ou le groupe d’utilisateurs a été impliqué dans l’activité, soit en tant que personne qui a effectué l’activité, soit en tant qu’objet de l’activité.

  • Agent utilisateur : l’agent utilisateur de de avec l’activité a été effectué.

  • Balise d’agent utilisateur : balise d’agent utilisateur intégrée, par exemple, toutes les activités de systèmes d’exploitation obsolètes ou de navigateurs obsolètes.

Requêtes d’activité

Pour simplifier encore l’investigation, vous pouvez désormais créer des requêtes personnalisées et les enregistrer pour une utilisation ultérieure.

  1. Dans la page Journal d’activité , utilisez les filtres décrits ci-dessus pour explorer vos applications si nécessaire.

Utilisez des filtres pour effectuer une requête.

  1. Une fois que vous avez terminé de générer votre requête, sélectionnez le bouton Enregistrer sous .

  2. Dans la fenêtre contextuelle Enregistrer la requête, nommez votre requête.

    nouvelle requête.

  3. Pour réutiliser cette requête à l’avenir, sous Requêtes, faites défiler jusqu’à Requêtes enregistrées et sélectionnez votre requête.

    ouvrir la requête.

Defender for Cloud Apps vous fournit également des suggestions de requêtes. Les requêtes suggérées vous fournissent des avenues d’investigation recommandées qui filtrent vos activités. Vous pouvez modifier ces requêtes et les enregistrer en tant que requêtes personnalisées. Voici les requêtes suggérées facultatives :

  • Administration activités : filtre toutes vos activités pour afficher uniquement les activités qui impliquent des administrateurs.

  • Activités de téléchargement : filtre toutes vos activités pour afficher uniquement les activités qui étaient des activités de téléchargement, notamment le téléchargement d’une liste d’utilisateurs sous forme de fichier .csv, le téléchargement de contenu partagé et le téléchargement d’un dossier.

  • Échec de la connexion : filtre toutes vos activités pour afficher uniquement les échecs de connexion et les connexions ayant échoué via l’authentification unique

  • Activités de fichiers et de dossiers : filtre toutes vos activités pour afficher uniquement celles qui impliquent des fichiers et des dossiers. Le filtre inclut le chargement, le téléchargement et l’accès aux dossiers, ainsi que la création, la suppression, le chargement, le téléchargement, la mise en quarantaine, l’accès aux fichiers et le transfert de contenu.

  • Activités d’emprunt d’identité : filtre toutes vos activités pour afficher uniquement les activités d’emprunt d’identité.

  • Modifications de mot de passe et demandes de réinitialisation : filtre toutes vos activités pour afficher uniquement les activités qui impliquent la réinitialisation du mot de passe, la modification du mot de passe et la force d’un utilisateur à modifier le mot de passe lors de la prochaine connexion.

  • Activités de partage : filtre toutes vos activités pour afficher uniquement les activités qui impliquent le partage de dossiers et de fichiers, notamment la création d’un lien d’entreprise, la création d’un lien anonyme et l’octroi d’autorisations de lecture/écriture.

  • Connexion réussie : filtre toutes vos activités pour afficher uniquement les activités qui impliquent des connexions réussies, notamment l’action d’emprunt d’identité, l’emprunt d’identité de connexion, les connexions par authentification unique et la connexion à partir d’un nouvel appareil.

activités de requête.

En outre, vous pouvez utiliser les requêtes suggérées comme point de départ pour une nouvelle requête. Tout d’abord, sélectionnez l’une des requêtes suggérées. Ensuite, apportez les modifications nécessaires, puis sélectionnez Enregistrer sous pour créer une requête Enregistrée.

Interroger les activités il y a six mois

Pour examiner les activités datant de plus de 30 jours, vous pouvez accéder au journal d’activité et sélectionner Examiner 6 mois en arrière dans le coin supérieur droit de l’écran :

Sélectionnez Examiner 6 mois en arrière.

À partir de là, vous pouvez définir les filtres comme cela se fait normalement avec le journal d’activité, avec les différences suivantes :

  • Le filtre de date est obligatoire et est limité à une période d’une semaine. Cela signifie que même si vous pouvez interroger des activités pendant six mois au maximum, vous ne pouvez le faire que pendant une période d’une semaine à la fois.

  • L’interrogation de plus de 30 jours est prise en charge pour les champs suivants uniquement :

    • ID d’activité
    • Type d’activité
    • Type d’action
    • Application
    • Adresse IP
    • Emplacement
    • Nom d’utilisateur

Par exemple :

Filtrez après avoir sélectionné examiner 6 mois en arrière.

Exporter les activités il y a six mois (préversion)

Vous pouvez exporter toutes les activités depuis jusqu’à six mois en cliquant sur le bouton Exporter en haut à gauche
Cliquez sur l’icône d’exportation pour exporter les enregistrements.

Lors de l’exportation de données, vous pouvez choisir une plage de dates allant jusqu’à six mois et avoir la possibilité d’exclure des activités privées.
Le fichier exporté est limité à 100 000 enregistrements et sera au format CSV.

Le fichier de résultats est accessible sous les rapports exportés. Les utilisateurs peuvent accéder à Rapports -> Cloud Apps dans le portail Microsoft 365 Defender pour afficher les status du processus d’exportation et accéder aux exportations passées.
Les rapports qui incluent des activités privées sont marqués d’une icône Œil dans la page des rapports.

icône d’œil

Étapes suivantes

Bonnes pratiques pour protéger votre organization