アクティビティを調査する
Microsoft Defender for Cloud Appsを使用すると、接続されているアプリのすべてのアクティビティを表示できます。 アプリ コネクタを使用してDefender for Cloud Appsをアプリに接続した後、Defender for Cloud Appsは発生したすべてのアクティビティをスキャンします。遡及的なスキャン期間はアプリごとに異なります。その後、新しいアクティビティで常に更新されます。
注:
Defender for Cloud Appsによって監視される Microsoft 365 アクティビティの完全な一覧については、「コンプライアンス センターで監査ログを検索する」を参照してください。
アクティビティ ログをフィルター処理して、特定のアクティビティを見つけることができます。 アクティビティに基づいてポリシーを作成し、アラートの対象を定義し、対処します。 特定のファイルで実行されたアクティビティを検索できます。 アクティビティの種類と各アクティビティに対して取得する情報は、アプリとアプリが提供できるデータの種類によって異なります。
たとえば、アクティビティ ログを使用して、オペレーティング システムまたはブラウザーを使用しているユーザーをorganizationで検索できます。次のように、アプリを [アクティビティ ログ] ページでDefender for Cloud Appsに接続した後、詳細フィルターを使用し、[ユーザー エージェント タグ] を選択します。 次に、[ 古いブラウザー ] または [ 古いオペレーティング システム] を選択します。
基本的なフィルターには、アクティビティのフィルター処理を開始するための優れたツールが用意されています。
[ 高度な フィルター] を選択して、より具体的なアクティビティにドリルダウンすることで、基本フィルターを展開できます。
注:
レガシ タグは、古い "ユーザー" フィルターを使用するすべてのアクティビティ ポリシーに追加されます。 このフィルターは引き続き通常どおりに動作します。 レガシ タグを削除する場合は、フィルターを削除し、新しい ユーザー名 フィルターを使用してフィルターをもう一度追加できます。
まれに、アクティビティ ログに表示されるイベントの数が、フィルターに適用され、表示されるイベントの実際の数よりもわずかに多い場合があります。
アクティビティ ドロワー
アクティビティ ドロワーの操作
アクティビティ ログでアクティビティ自体を選択すると、各アクティビティの詳細を表示できます。 これにより、アクティビティ ドロワーが開き、アクティビティごとに次の追加のアクションと分析情報が提供されます。
一致したポリシー: [ 一致したポリシー ] リンクを選択して、このアクティビティが一致したポリシーの一覧を表示します。
生データの表示: [ 生データの表示] を選択して、アプリから受信した実際のデータを表示します。
ユーザー: アクティビティを実行したユーザーのユーザー ページを表示するユーザーを選択します。
デバイスの種類: [ デバイスの種類 ] を選択して、生のユーザー エージェント データを表示します。
場所: Bing地図の場所を表示する場所を選択します。
IP アドレス カテゴリとタグ: IP タグを選択して、このアクティビティで見つかった IP タグの一覧を表示します。 その後、このタグに一致するすべてのアクティビティでフィルター処理できます。
[アクティビティ] ドロワーのフィールドには、ドロワーから直接実行できる追加のアクティビティとドリルダウンへのコンテキスト リンクが表示されます。 たとえば、IP アドレス カテゴリの横にカーソルを移動した場合は、[ フィルターに追加 ] アイコン [フィルター ![に追加] を使用して、現在](media/add-to-filter-icon.png){kind=icon}
のページのフィルターに IP アドレスをすぐに追加できます。 ユーザー グループなど、いずれかのフィールドの構成を変更するために必要な設定ページに直接表示される設定歯車アイコン設定
を使用することもできます。
タブの上部にあるアイコンを使用して、次のことができます。
- 同じ種類のアクティビティを表示する
- 同じユーザーのすべてのアクティビティを表示する
- 同じ IP アドレスからアクティビティを表示する
- 正確な地理的な場所からアクティビティを表示する
- 同じ期間 (48 時間) のアクティビティを表示する
使用できるガバナンス アクションの一覧については、「 アクティビティ ガバナンス アクション」を参照してください。
ユーザー分析情報
調査エクスペリエンスには、代理ユーザーに関する分析情報が含まれます。 1 回のクリックで、接続元の場所、関連する開いているアラートの数、メタデータ情報など、ユーザーの包括的な概要を確認できます。
ユーザー分析情報を表示するには:
アクティビティ ログでアクティビティ自体を選択します。
次に、[ ユーザー ] タブを選択します。
選択すると、[アクティビティ] ドロワー [ユーザー] タブが開き、 ユーザー に関する次の分析情報が表示されます。- 開いているアラート: ユーザーが関与する開いているアラートの数。
- 一致: ユーザーが所有するファイルに一致するポリシーの数。
- アクティビティ: 過去 30 日間にユーザーが実行したアクティビティの数。
- 国: 過去 30 日間にユーザーが接続した国の数。
- ISP: 過去 30 日間にユーザーが接続した ISP の数。
- IP アドレス: 過去 30 日間に接続されたユーザーの IP アドレスの数。
IP アドレスの分析情報
IP アドレス情報はほぼすべての調査に不可欠であるため、アクティビティ ドロワーで IP アドレスに関する詳細情報を表示できます。 特定のアクティビティ内から [IP アドレス] タブを選択すると、特定の IP アドレスに対する開いているアラートの数、最近のアクティビティの傾向グラフ、位置情報マップなど、IP アドレスに関する統合データを表示できます。 これにより、たとえば、不可能な旅行アラートを調査するときに簡単にドリルダウンできます。 さらに、IP アドレスが使用された場所と、疑わしいアクティビティに関与していたかどうかを簡単に把握できます。 IP アドレス ドロワーで直接アクションを実行して、IP アドレスを危険な、VPN、または企業としてタグ付けして、将来の調査とポリシーの作成を容易にすることもできます。
IP アドレスの分析情報を表示するには:
アクティビティ ログでアクティビティ自体を選択します。
次に、[ IP アドレス ] タブを選択します。
[アクティビティ ドロワー IP アドレス ] タブが開き、IP アドレスに関する次の分析情報が表示されます。
開いているアラート: IP アドレスを含む開いているアラートの数。
アクティビティ: 過去 30 日間に IP アドレスによって実行されたアクティビティの数。
IP の場所: 過去 30 日間に IP アドレスが接続された地理的な場所。
アクティビティ: 過去 30 日間にこの IP アドレスから実行されたアクティビティの数。
管理 アクティビティ: 過去 30 日間にこの IP アドレスから実行された管理アクティビティの数。 次の IP アドレス アクションを実行できます。
- 企業 IP として設定し、許可リストに追加する
- VPN IP アドレスとして設定し、allowlist に追加する
- 危険な IP として設定し、ブロックリストに追加する
注:
- API に接続されているクラウド アプリケーションによって監査される内部 IPv4 または IPv6 IP アドレスは、クラウド アプリケーションのネットワーク内の内部サービス通信を示す場合があり、クラウド アプリケーションがデバイスの内部 IP に公開されていないため、デバイスが接続されているソース ネットワークからの内部 IP と混同しないでください。
- 従業員が会社の VPN を介して自宅の場所から接続するときに 、不可能な旅行 アラートを発生させないように、IP アドレスに VPN としてタグ付けすることをお勧めします。
アクティビティのエクスポート
すべてのユーザー アクティビティを CSV ファイルにエクスポートできます。
アクティビティ ログで、左上隅にある [エクスポート] ボタンを選択します。
注:
この記事では、デバイスまたはサービスから個人データを削除する手順について説明します。また、これは GDPR での義務をサポートするために使用できます。 GDPR に関する一般的な情報をお探しの場合は、 サービス信頼ポータルの GDPR セクションを参照してください。
次の手順
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。