Delen via

Activiteiten onderzoeken

  • Artikel

Microsoft Defender for Cloud Apps geeft u inzicht in alle activiteiten van uw verbonden apps. Nadat u Defender for Cloud Apps met een app hebt verbonden met behulp van de App-connector, scant Defender for Cloud Apps alle activiteiten die zijn uitgevoerd (de scanperiode met terugwerkende kracht verschilt per app) en wordt deze voortdurend bijgewerkt met nieuwe activiteiten.

Opmerking

Zie Het auditlogboek doorzoeken in het compliancecentrum voor een volledige lijst met Microsoft 365-activiteiten die worden bewaakt door Defender for Cloud Apps.

Het activiteitenlogboek kan worden gefilterd zodat u specifieke activiteiten kunt vinden. U maakt beleid op basis van de activiteiten en definieert vervolgens waarover u wilt worden gewaarschuwd en waarop u actie wilt ondernemen. U kunt zoeken naar activiteiten die op bepaalde bestanden worden uitgevoerd. Het type activiteiten en de informatie die we voor elke activiteit krijgen, is afhankelijk van de app en het soort gegevens dat de app kan verstrekken.

U kunt bijvoorbeeld het activiteitenlogboek gebruiken om gebruikers in uw organisatie te vinden die besturingssystemen of browsers gebruiken die verouderd zijn: Nadat u een app hebt verbonden met Defender for Cloud Apps op de pagina Activiteitenlogboek, gebruikt u het geavanceerde filter en selecteert u De tag Gebruikersagent. Selecteer vervolgens Verouderde browser of Verouderd besturingssysteem.

Voorbeeld van verouderde browser voor activiteit.

Het basisfilter biedt geweldige hulpmiddelen om te beginnen met het filteren van uw activiteiten.

basis activiteitenlogboekfilter.

U kunt het basisfilter uitbreiden door Geavanceerde filters te selecteren om in te zoomen op specifiekere activiteiten.

geavanceerd activiteitenlogboekfilter.

Opmerking

  • De tag Verouderd wordt toegevoegd aan elk activiteitsbeleid dat gebruikmaakt van het oudere filter 'gebruiker'. Dit filter blijft gewoon werken. Als u de tag Verouderd wilt verwijderen, kunt u het filter verwijderen en het filter opnieuw toevoegen met behulp van het nieuwe filter Gebruikersnaam .

  • In sommige zeldzame gevallen kan het aantal gebeurtenissen in het activiteitenlogboek iets hoger zijn dan het werkelijke aantal gebeurtenissen dat van toepassing is voor het filter en dat wordt weergegeven.

De activiteitenlade

Werken met de activiteitenlade

U kunt meer informatie over elke activiteit bekijken door de activiteit zelf te selecteren in het activiteitenlogboek. Hiermee opent u de activiteitenlade met de volgende aanvullende acties en inzichten voor elke activiteit:

  • Overeenkomende beleidsregels: selecteer de koppeling Overeenkomende beleidsregels om een lijst met beleidsregels weer te geven die overeenkomen met deze activiteit.

  • Onbewerkte gegevens weergeven: selecteer Onbewerkte gegevens weergeven om de werkelijke gegevens te bekijken die van de app zijn ontvangen.

  • Gebruiker: selecteer de gebruiker om de gebruikerspagina weer te geven voor de gebruiker die de activiteit heeft uitgevoerd.

  • Apparaattype: selecteer Apparaattype om de onbewerkte gegevens van de gebruikersagent weer te geven.

  • Locatie: selecteer de locatie om de locatie in Bing Kaarten weer te geven.

  • IP-adrescategorie en -tags: selecteer de IP-tag om de lijst met IP-tags weer te geven die in deze activiteit zijn gevonden. U kunt vervolgens filteren op alle activiteiten die overeenkomen met deze tag.

De velden in de activiteitenlade bevatten contextuele koppelingen naar aanvullende activiteiten en inzoomen die u mogelijk rechtstreeks vanuit de lade wilt uitvoeren. Als u bijvoorbeeld de cursor naast de categorie IP-adres plaatst, kunt u het pictogram Toevoegen aan filtertoevoegen aan filter gebruiken om het IP-adres onmiddellijk toe te voegen aan het filter van de huidige pagina. U kunt ook het instellingenpictogram instellingenpictogram instellingen gebruiken dat wordt weergegeven om rechtstreeks op de instellingenpagina te komen die nodig is om de configuratie van een van de velden, zoals Gebruikersgroepen, te wijzigen.

U kunt ook de pictogrammen boven aan het tabblad gebruiken om het volgende te doen:

  • Activiteiten van hetzelfde type weergeven
  • Alle activiteiten van dezelfde gebruiker weergeven
  • Activiteiten van hetzelfde IP-adres weergeven
  • Activiteiten weergeven vanaf de exacte geografische locatie
  • Activiteiten uit dezelfde periode (48 uur) weergeven

activiteitenlade.

Zie Activiteitsbeheeracties voor een lijst met beschikbare governanceacties.

Gebruikersinzichten

De onderzoekservaring bevat inzichten over de handelende gebruiker. Met één klik krijgt u een uitgebreid overzicht van de gebruiker, met inbegrip van vanaf welke locatie ze verbinding hebben gemaakt, met hoeveel open waarschuwingen ze zijn betrokken en hun metagegevensgegevens.

Gebruikersinzichten weergeven:

  1. Selecteer de activiteit zelf in het activiteitenlogboek.

  2. Selecteer vervolgens het tabblad Gebruiker .
    Als u deze selecteert, wordt het tabblad Activiteitslade Gebruiker geopend, verleent u de volgende inzichten over de gebruiker:

    • Waarschuwingen openen: het aantal geopende waarschuwingen waarbij de gebruiker betrokken is.
    • Overeenkomsten: het aantal beleidsovereenkomsten voor bestanden die eigendom zijn van de gebruiker.
    • Activiteiten: het aantal activiteiten dat de gebruiker in de afgelopen 30 dagen heeft uitgevoerd.
    • Landen: het aantal landen waar de gebruiker in de afgelopen 30 dagen verbinding heeft gemaakt.
    • ISP's: het aantal ISP's waarvan de gebruiker in de afgelopen 30 dagen verbinding heeft gemaakt.
    • IP-adressen: het aantal IP-adressen waaruit de gebruiker in de afgelopen 30 dagen verbinding heeft gemaakt.

gebruikersinzichten in Defender for Cloud Apps.

IP-adres-inzichten

Omdat IP-adresgegevens cruciaal zijn voor bijna alle onderzoeken, kunt u gedetailleerde informatie over IP-adressen bekijken in de activiteitenlade. Vanuit een specifieke activiteit kunt u het tabblad IP-adres selecteren om geconsolideerde gegevens over het IP-adres weer te geven, waaronder het aantal openstaande waarschuwingen voor het specifieke IP-adres, een trendgrafiek van recente activiteit en een locatieoverzicht. Hierdoor kunt u eenvoudig inzoomen bij het onderzoeken van bijvoorbeeld onmogelijke reiswaarschuwingen. Bovendien kunt u eenvoudig begrijpen waar het IP-adres is gebruikt en of het betrokken was bij verdachte activiteiten. U kunt ook rechtstreeks in de IP-adreslade acties uitvoeren waarmee u een IP-adres kunt taggen als riskant, VPN of zakelijk om toekomstig onderzoek en het maken van beleid te vergemakkelijken.

Ip-adres-inzichten weergeven:

  1. Selecteer de activiteit zelf in het activiteitenlogboek.

  2. Selecteer vervolgens het tabblad IP-adres .

    Hiermee opent u het tabblad IP-adres van de activiteitslade, dat de volgende inzichten biedt over het IP-adres:

    • Waarschuwingen openen: het aantal geopende waarschuwingen waarbij het IP-adres is betrokken.

    • Activiteiten: het aantal activiteiten dat door het IP-adres is uitgevoerd in de afgelopen 30 dagen.

    • IP-locatie: de geografische locaties van waaruit het IP-adres in de afgelopen 30 dagen is verbonden.

    • Activiteiten: het aantal activiteiten dat in de afgelopen 30 dagen vanaf dit IP-adres is uitgevoerd.

    • Beheer activiteiten: het aantal beheeractiviteiten dat in de afgelopen 30 dagen vanaf dit IP-adres is uitgevoerd. U kunt de volgende IP-adresacties uitvoeren:

      • Instellen als bedrijfs-IP en toevoegen aan acceptatielijst
      • Instellen als EEN VPN-IP-adres en toevoegen aan acceptatielijst
      • Instellen als een riskant IP-adres en toevoegen aan blokkeringslijst

IP-adres-inzichten in Defender for Cloud Apps.

Opmerking

  • Interne IPv4- of IPv6-IP-adressen die worden gecontroleerd door de cloudtoepassingen die zijn verbonden met de API, kunnen duiden op interne servicescommunicatie binnen het netwerk van de cloudtoepassing en mogen niet worden verward met interne IP-adressen van het bronnetwerk waaruit het apparaat is verbonden, omdat de cloudtoepassing niet wordt blootgesteld aan de interne IP-adressen van de apparaten.
  • Om te voorkomen dat onmogelijke reiswaarschuwingen worden weergegeven wanneer werknemers verbinding maken vanaf hun thuislocatie via het zakelijke VPN, is het raadzaam om het IP-adres als VPN te taggen.

Activiteiten exporteren

U kunt alle gebruikersactiviteiten exporteren naar een CSV-bestand.

Selecteer in het activiteitenlogboek de knop Exporteren in de linkerbovenhoek.

knop exporteren.

Opmerking

Dit artikel bevat stappen voor het verwijderen van persoonsgegevens van het apparaat of de service en kan worden gebruikt om uw verplichtingen onder de AVG te ondersteunen. Als u op zoek bent naar algemene informatie over de AVG, raadpleegt u de sectie AVG van de Service Trust-portal.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.