Del via

Undersøke aktiviteter

  • Artikkel

Microsoft Defender for Cloud Apps gir deg innsyn i alle aktivitetene fra de tilkoblede appene. Når du kobler Defender for Cloud Apps til en app ved hjelp av App-koblingen, skanner Defender for Cloud Apps alle aktivitetene som skjedde – den tilbakevirkende skanneperioden varierer per app – og deretter oppdateres den kontinuerlig med nye aktiviteter.

Obs!

Hvis du vil ha en fullstendig liste over Microsoft 365-aktiviteter som overvåkes av Defender for Cloud Apps, kan du se Søke i overvåkingsloggen i samsvarssenteret.

Aktivitetsloggen kan filtreres slik at du kan finne bestemte aktiviteter. Du oppretter policyer basert på aktivitetene og definerer deretter hva du vil bli varslet om, og gjør noe med det. Du kan søke etter aktiviteter som utføres på bestemte filer. Typen aktiviteter og informasjonen vi får for hver aktivitet, avhenger av appen og hva slags data appen kan gi.

Du kan for eksempel bruke aktivitetsloggen til å finne brukere i organisasjonen som bruker operativsystemer eller nettlesere som er utdaterte, som følger: Når du har koblet en app til Defender for Cloud Apps på aktivitetsloggsiden, bruker du det avanserte filteret og velger brukeragentkode. Velg deretter Utdatert nettleser eller Utdatert operativsystem.

Eksempel på utdatert aktivitet i nettleseren.

Det grunnleggende filteret inneholder flotte verktøy for å begynne å filtrere aktivitetene dine.

grunnleggende aktivitetsloggfilter.

Du kan utvide det grunnleggende filteret ved å velge Avanserte filtre for å drille ned i mer spesifikke aktiviteter.

avansert aktivitetsloggfilter.

Obs!

  • Den eldre koden legges til i en aktivitetspolicy som bruker det eldre «bruker»-filteret. Dette filteret vil fortsette å fungere som vanlig. Hvis du vil fjerne den eldre koden, kan du fjerne filteret og legge til filteret på nytt ved hjelp av det nye brukernavnfilteret .

  • I noen sjeldne tilfeller kan antall hendelser som presenteres i aktivitetsloggen, vise et litt høyere tall enn det reelle antallet hendelser som gjelder for filteret og presenteres.

Aktivitetsskuffen

Arbeide med aktivitetsskuffen

Du kan vise mer informasjon om hver aktivitet ved å velge selve aktiviteten i aktivitetsloggen. Dette åpner aktivitetsskuffen som gir følgende tilleggshandlinger og innsikt for hver aktivitet:

  • Samsvarende policyer: Velg koblingen Samsvarende policyer for å se en liste over policyer som denne aktiviteten samsvarer med.

  • Vis rådata: Velg Vis rådata for å se de faktiske dataene som ble mottatt fra appen.

  • Bruker: Velg brukeren for å vise brukersiden for brukeren som utførte aktiviteten.

  • Enhetstype: Velg enhetstype for å vise rå brukeragentdata.

  • Plassering: Velg plasseringen for å vise plasseringen i Bing-kart.

  • IP-adressekategori og -koder: Velg IP-koden for å vise listen over IP-koder som finnes i denne aktiviteten. Deretter kan du filtrere etter alle aktiviteter som samsvarer med denne koden.

Feltene i aktivitetsskuffen inneholder kontekstavhengige koblinger til flere aktiviteter og neddrillinger du kanskje vil utføre direkte fra skuffen. Hvis du for eksempel flytter markøren ved siden av IP-adressekategorien, kan du bruke legg til i filterikonetfor å filtrere. Hvis du umiddelbart vil legge til IP-adressen i filteret på gjeldende side. Du kan også bruke ikonikonet for innstillinger for tannhjul som dukker opp for å komme direkte til innstillingssiden som er nødvendig for å endre konfigurasjonen av ett av feltene, for eksempel brukergrupper.

Du kan også bruke ikonene øverst på fanen til å:

  • Vis aktiviteter av samme type
  • Vis alle aktiviteter for samme bruker
  • Vis aktiviteter fra samme IP-adresse
  • Vis aktiviteter fra den nøyaktige geografiske plasseringen
  • Vis aktiviteter fra samme periode (48 timer)

aktivitetsskuff.

Hvis du vil ha en liste over tilgjengelige styringshandlinger, kan du se Handlinger for aktivitetsstyring.

Brukerinnsikt

Undersøkelsesopplevelsen inkluderer innsikt om den fungerende brukeren. Med ett enkelt klikk kan du få en omfattende oversikt over brukeren, inkludert hvilken plassering de koblet fra, hvor mange åpne varsler de er involvert i, og metadatainformasjonen deres.

Slik viser du brukerinnsikt:

  1. Velg selve aktiviteten i aktivitetsloggen.

  2. Velg deretter Bruker-fanen .
    Når du velger den, åpnes Bruker-fanen for aktivitetsskuffen, og gir følgende innsikt om brukeren:

    • Åpne varsler: Antall åpne varsler som involverer brukeren.
    • Treff: Antall policysamsvar for filer som eies av brukeren.
    • Aktiviteter: Antall aktiviteter som er utført av brukeren de siste 30 dagene.
    • Land: Antall land brukeren har koblet til de siste 30 dagene.
    • Internett-leverandører: Antall internettleverandører brukeren har koblet til de siste 30 dagene.
    • IP-adresser: Antall IP-adresser brukeren har koblet til de siste 30 dagene.

brukerinnsikt i Defender for Cloud Apps.

Ip-adresseinnsikt

Siden IP-adresseinformasjon er avgjørende for nesten alle undersøkelser, kan du vise detaljert informasjon om IP-adresser i aktivitetsskuffen. Fra en bestemt aktivitet kan du velge IP-adressefanen for å vise konsoliderte data om IP-adressen, inkludert antall åpne varsler for den bestemte IP-adressen, en trendgraf over nylig aktivitet og et plasseringskart. Dette gjør det enkelt å drille ned når du for eksempel undersøker umulige reisevarsler. I tillegg kan du enkelt forstå hvor IP-adressen ble brukt, og om den var involvert i mistenkelige aktiviteter. Du kan også utføre handlinger direkte i IP-adresseskuffen som gjør det mulig å merke en IP-adresse som risikabelt, VPN eller firma for å lette fremtidig undersøkelse og opprettelse av policyer.

Slik viser du IP-adresseinnsikt:

  1. Velg selve aktiviteten i aktivitetsloggen.

  2. Velg deretter IP-adressefanen .

    Dette åpner IP-adressefanen for aktivitetsskuffen, som gir følgende innsikt om IP-adressen:

    • Åpne varsler: Antall åpne varsler som involverte IP-adressen.

    • Aktiviteter: Antall aktiviteter utført av IP-adressen de siste 30 dagene.

    • IP-plassering: De geografiske plasseringene som IP-adressen er koblet til i løpet av de siste 30 dagene.

    • Aktiviteter: Antall aktiviteter utført fra denne IP-adressen de siste 30 dagene.

    • Admin aktiviteter: Antall administrative aktiviteter utført fra denne IP-adressen de siste 30 dagene. Du kan utføre følgende IP-adressehandlinger:

      • Angi som en firma-IP og legg til i tillatelsesliste
      • Angi som en IP-adresse for VPN og legg til i tillatelsesliste
      • Angi som en risikabel IP og legg til i blokkliste

Ip-adresseinnsikt i Defender for Cloud Apps.

Obs!

  • Interne IP-adresser for IPv4 eller IPv6 som overvåkes av skyprogrammene som er koblet til API, kan indikere intern tjenestekommunikasjon i nettverket til skyprogrammet, og må ikke forveksles med interne IP-adresser fra kildenettverket som enheten er koblet til, siden skyprogrammet ikke eksponeres for de interne IP-adressene til enhetene.
  • For å unngå å øke umulige reisevarsler når ansatte kobler seg til fra sine hjemsteder via bedriftens VPN, anbefales det å merke IP-adressen som VPN.

Eksporter aktiviteter

Du kan eksportere alle brukeraktiviteter til en CSV-fil.

Velg Eksporter-knappen øverst til venstre i aktivitetsloggen.

eksport-knapp.

Obs!

Denne artikkelen inneholder trinnvise instruksjoner for hvordan du sletter personopplysninger fra enheten eller tjenesten og kan brukes til å støtte dine forpliktelser i henhold til GDPR. Hvis du leter etter generell informasjon om GDPR, kan du se GDPR-delen av Service Trust-portalen.

Neste trinn

Anbefalte fremgangsmåter for å beskytte organisasjonen

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.