Condividi tramite

Analizzare le attività

  • Articolo

Microsoft Defender for Cloud Apps offre visibilità su tutte le attività delle app connesse. Dopo aver connesso Defender for Cloud Apps a un'app usando il connettore app, Defender for Cloud Apps analizza tutte le attività che si sono verificate, ovvero il periodo di analisi retroattivo varia per app e quindi viene aggiornato costantemente con nuove attività.

Nota

Per un elenco completo delle attività di Microsoft 365 monitorate da Defender for Cloud Apps, vedere Cercare il log di controllo nel Centro conformità.

Il log attività può essere filtrato per consentire di trovare attività specifiche. Si creano criteri in base alle attività e quindi si definiscono gli elementi su cui si desidera ricevere avvisi e su cui agire. È possibile cercare le attività eseguite su determinati file. Il tipo di attività e le informazioni che si ottengono per ogni attività dipendono dall'app e dal tipo di dati che l'app può fornire.

Ad esempio, è possibile usare il log attività per trovare gli utenti dell'organizzazione che usano sistemi operativi o browser non aggiornati, come segue: Dopo aver connesso un'app a Defender for Cloud Apps nella pagina Log attività, usare il filtro avanzato e selezionare Tag agente utente. Selezionare quindi Browser obsoleto o Sistema operativo obsoleto.

Esempio di browser non aggiornato per l'attività.

Il filtro di base offre ottimi strumenti per iniziare a filtrare le attività.

filtro del log attività di base.

È possibile espandere il filtro di base selezionando Filtri avanzati per eseguire il drill-down di attività più specifiche.

filtro avanzato del log attività.

Nota

  • Il tag Legacy viene aggiunto a qualsiasi criterio di attività che usa il filtro "utente" precedente. Questo filtro continuerà a funzionare come di consueto. Se si vuole rimuovere il tag Legacy, è possibile rimuovere il filtro e aggiungerlo nuovamente usando il nuovo filtro Nome utente .

  • In alcuni rari casi, il conteggio degli eventi presentati nel log attività può mostrare un numero leggermente superiore rispetto al numero reale di eventi che si applicano al filtro e che vengono presentati.

Pannello Attività

Uso del pannello Attività

È possibile visualizzare altre informazioni su ogni attività selezionando l'attività stessa nel log attività. Verrà aperto il pannello Attività che fornisce le azioni aggiuntive e le informazioni dettagliate seguenti per ogni attività:

  • Criteri corrispondenti: selezionare il collegamento Criteri corrispondenti per visualizzare un elenco di criteri corrispondenti a questa attività.

  • Visualizza dati non elaborati: selezionare Visualizza dati non elaborati per visualizzare i dati effettivi ricevuti dall'app.

  • Utente: selezionare l'utente per visualizzare la pagina utente per l'utente che ha eseguito l'attività.

  • Tipo di dispositivo: selezionare Tipo di dispositivo per visualizzare i dati dell'agente utente non elaborato.

  • Località: selezionare la posizione per visualizzare la posizione in Bing Mappe.

  • Categoria di indirizzi IP e tag: selezionare il tag IP per visualizzare l'elenco di tag IP presenti in questa attività. È quindi possibile filtrare in base a tutte le attività corrispondenti a questo tag.

I campi nel pannello Attività forniscono collegamenti contestuali ad attività aggiuntive e drill-down che è possibile eseguire direttamente dal pannello. Ad esempio, se si sposta il cursore accanto alla categoria di indirizzi IP, è possibile usare l'icona aggiungi per filtrareaggiungi al filtro. Per aggiungere immediatamente l'indirizzo IP al filtro della pagina corrente. È anche possibile usare l'icona impostazioni icona ingranaggio impostazioni icona che si apre per arrivare direttamente alla pagina delle impostazioni necessaria per modificare la configurazione di uno dei campi, ad esempio Gruppi di utenti.

È anche possibile usare le icone nella parte superiore della scheda per:

  • Visualizzare le attività dello stesso tipo
  • Visualizzare tutte le attività dello stesso utente
  • Visualizzare le attività dallo stesso indirizzo IP
  • Visualizzare le attività dalla posizione geografica esatta
  • Visualizzare le attività dello stesso periodo (48 ore)

pannello attività.

Per un elenco delle azioni di governance disponibili, vedere Azioni di governance delle attività.

Informazioni dettagliate sull'utente

L'esperienza di analisi include informazioni dettagliate sull'utente che agisce. Con un solo clic è possibile ottenere una panoramica completa dell'utente, tra cui la posizione da cui si è connessi, il numero di avvisi aperti con cui è coinvolto e le informazioni sui metadati.

Per visualizzare informazioni dettagliate sull'utente:

  1. Selezionare l'attività stessa nel log attività.

  2. Selezionare quindi la scheda Utente .
    Selezionandolo si apre la scheda Utente del pannello Attività che fornisce le informazioni dettagliate seguenti sull'utente:

    • Avvisi aperti: numero di avvisi aperti che coinvolgono l'utente.
    • Corrispondenze: numero di corrispondenze dei criteri per i file di proprietà dell'utente.
    • Attività: numero di attività eseguite dall'utente negli ultimi 30 giorni.
    • Paesi: numero di paesi da cui l'utente si è connesso negli ultimi 30 giorni.
    • ISP: numero di ISP da cui l'utente ha eseguito la connessione negli ultimi 30 giorni.
    • Indirizzi IP: numero di indirizzi IP da cui l'utente si è connesso negli ultimi 30 giorni.

informazioni dettagliate sull'utente in Defender for Cloud Apps.

Informazioni dettagliate sugli indirizzi IP

Poiché le informazioni sugli indirizzi IP sono fondamentali per quasi tutte le indagini, è possibile visualizzare informazioni dettagliate sugli indirizzi IP nel pannello Attività. All'interno di un'attività specifica, è possibile selezionare la scheda Indirizzo IP per visualizzare i dati consolidati sull'indirizzo IP, incluso il numero di avvisi aperti per l'indirizzo IP specifico, un grafico di tendenza dell'attività recente e una mappa delle posizioni. In questo modo è possibile eseguire facilmente il drill-down durante l'analisi degli avvisi di viaggio impossibili, ad esempio. Inoltre, è possibile comprendere facilmente dove è stato usato l'indirizzo IP e se è stato coinvolto in attività sospette. È anche possibile eseguire azioni direttamente nel pannello degli indirizzi IP che consentono di contrassegnare un indirizzo IP come rischioso, VPN o aziendale per semplificare le indagini future e la creazione di criteri.

Per visualizzare informazioni dettagliate sugli indirizzi IP:

  1. Selezionare l'attività stessa nel log attività.

  2. Selezionare quindi la scheda Indirizzo IP .

    Verrà visualizzata la scheda Indirizzo IP del pannello Attività, che fornisce le informazioni dettagliate seguenti sull'indirizzo IP:

    • Avvisi aperti: numero di avvisi aperti che hanno coinvolto l'indirizzo IP.

    • Attività: numero di attività eseguite dall'indirizzo IP negli ultimi 30 giorni.

    • Posizione IP: posizioni geografiche da cui l'indirizzo IP è connesso negli ultimi 30 giorni.

    • Attività: numero di attività eseguite da questo indirizzo IP negli ultimi 30 giorni.

    • Amministrazione attività: numero di attività amministrative eseguite da questo indirizzo IP negli ultimi 30 giorni. È possibile eseguire le azioni seguenti per gli indirizzi IP:

      • Impostare come IP aziendale e aggiungere a allowlist
      • Impostare come indirizzo IP VPN e aggiungere a allowlist
      • Impostare come IP rischioso e aggiungere a blocklist

Informazioni dettagliate sugli indirizzi IP in Defender for Cloud Apps.

Nota

  • Gli indirizzi IP IPv4 o IPv6 interni controllati dalle applicazioni cloud connesse con l'API possono indicare le comunicazioni dei servizi interni all'interno della rete dell'applicazione cloud e non devono essere confusi con gli INDIRIZZI IP interni dalla rete di origine da cui è connesso il dispositivo, in quanto l'applicazione cloud non è esposta agli INDIRIZZI IP interni dei dispositivi.
  • Per evitare di generare avvisi di viaggio impossibili quando i dipendenti si connettono dalle loro posizioni domestiche tramite la VPN aziendale, è consigliabile contrassegnare l'indirizzo IP come VPN.

Attività di esportazione

È possibile esportare tutte le attività utente in un file CSV.

Nel log attività selezionare il pulsante Esporta nell'angolo in alto a sinistra.

pulsante esporta.

Nota

Questo articolo illustra come eliminare i dati personali dal dispositivo o dal servizio e può essere usato per supportare gli obblighi previsti dal GDPR. Se si cercano informazioni generali sul GDPR, vedere la sezione GDPR del portale service trust.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.