Udostępnij za pośrednictwem


Badanie działań

Microsoft Defender for Cloud Apps zapewnia wgląd we wszystkie działania z połączonych aplikacji. Po nawiązaniu połączenia Defender for Cloud Apps z aplikacją przy użyciu łącznika aplikacji Defender for Cloud Apps skanuje wszystkie działania, które wystąpiły — okres skanowania wstecznego różni się w zależności od aplikacji — a następnie jest stale aktualizowany o nowe działania.

Uwaga

Aby uzyskać pełną listę działań platformy Microsoft 365 monitorowanych przez Defender for Cloud Apps, zobacz Przeszukiwanie dziennika inspekcji w Centrum zgodności.

Dziennik aktywności można filtrować, aby umożliwić znajdowanie określonych działań. Tworzysz zasady na podstawie działań, a następnie definiujesz, o czym chcesz otrzymywać alerty i na których chcesz działać. Możesz wyszukać działania wykonywane dla niektórych plików. Typ działań i informacje, które otrzymujemy dla każdego działania, zależą od aplikacji i rodzaju danych, które aplikacja może dostarczyć.

Na przykład możesz użyć dziennika aktywności, aby znaleźć w organizacji użytkowników korzystających z nieaktuanych systemów operacyjnych lub przeglądarek: po połączeniu aplikacji z Defender for Cloud Apps na stronie dziennika aktywności użyj filtru zaawansowanego i wybierz pozycję Tag agenta użytkownika. Następnie wybierz pozycję Nieaktualna przeglądarka lub Nieaktualny system operacyjny.

Przykład nieaktualizowanej przeglądarki działania.

Podstawowy filtr udostępnia doskonałe narzędzia do rozpoczęcia filtrowania działań.

podstawowy filtr dziennika aktywności.

Filtr podstawowy można rozwinąć, wybierając pozycję Filtry zaawansowane , aby przejść do bardziej szczegółowych działań.

zaawansowany filtr dziennika aktywności.

Uwaga

  • Tag Starsza wersja jest dodawany do wszystkich zasad działania, które używają starszego filtru "użytkownik". Ten filtr będzie nadal działać jak zwykle. Jeśli chcesz usunąć tag Starsza wersja, możesz usunąć filtr i ponownie dodać filtr przy użyciu nowego filtru Nazwa użytkownika .

  • W niektórych rzadkich przypadkach liczba zdarzeń przedstawionych w dzienniku aktywności może pokazywać nieco większą liczbę niż rzeczywista liczba zdarzeń, które mają zastosowanie do filtru i są prezentowane.

Szuflada Działanie

Praca z szufladą Działania

Więcej informacji o poszczególnych działaniach można wyświetlić, wybierając pozycję Działanie w dzienniku aktywności. Spowoduje to otwarcie szuflady Działania, która udostępnia następujące dodatkowe akcje i szczegółowe informacje dla każdego działania:

  • Dopasowane zasady: wybierz link Dopasowane zasady , aby wyświetlić listę zasad dopasowanych do tego działania.

  • Wyświetlanie danych pierwotnych: wybierz pozycję Wyświetl dane pierwotne , aby wyświetlić rzeczywiste dane odebrane z aplikacji.

  • Użytkownik: wybierz użytkownika, aby wyświetlić stronę użytkownika, który wykonał działanie.

  • Typ urządzenia: wybierz pozycję Typ urządzenia , aby wyświetlić nieprzetworzone dane agenta użytkownika.

  • Lokalizacja: wybierz lokalizację, aby wyświetlić lokalizację w Mapy Bing.

  • Kategoria i tagi adresów IP: wybierz tag IP, aby wyświetlić listę tagów IP znalezionych w tym działaniu. Następnie można filtrować według wszystkich działań pasujących do tego tagu.

Pola w szufladzie Działanie zawierają kontekstowe linki do dodatkowych działań i przechodzenia do szczegółów, które można wykonać bezpośrednio z szuflady. Jeśli na przykład przesuniesz kursor obok kategorii adresów IP, możesz użyć ikony dodaj do filtru , aby filtrować. Aby natychmiast dodać adres IP do filtru bieżącej strony. Możesz również użyć ikony ustawień ikony koła zębatego, która pojawia się bezpośrednio na stronie ustawień niezbędnej do zmodyfikowania konfiguracji jednego z pól, takich jak grupy użytkowników.

Możesz również użyć ikon w górnej części karty, aby:

  • Wyświetlanie działań tego samego typu
  • Wyświetlanie wszystkich działań tego samego użytkownika
  • Wyświetlanie działań z tego samego adresu IP
  • Wyświetlanie działań z dokładnej lokalizacji geograficznej
  • Wyświetlanie działań z tego samego okresu (48 godzin)

szuflada aktywności.

Aby uzyskać listę dostępnych akcji ładu, zobacz Akcje ładu działania.

Szczegółowe informacje o użytkownikach

Środowisko badania obejmuje szczegółowe informacje o działającym użytkowniku. Jednym kliknięciem możesz uzyskać kompleksowe omówienie użytkownika, w tym lokalizację, z której się połączył, liczbę otwartych alertów, z którymi się bierze, oraz informacje o metadanych.

Aby wyświetlić szczegółowe informacje o użytkowniku:

  1. Wybierz samo działanie w dzienniku aktywności.

  2. Następnie wybierz kartę Użytkownik .
    Wybranie jej powoduje otwarcie karty Użytkownik szuflady Działania zawiera następujące szczegółowe informacje o użytkowniku:

    • Otwórz alerty: liczba otwartych alertów, które dotyczą użytkownika.
    • Dopasowania: liczba dopasowań zasad dla plików należących do użytkownika.
    • Działania: liczba działań wykonywanych przez użytkownika w ciągu ostatnich 30 dni.
    • Kraje: liczba krajów, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.
    • Dostawcy usług internetowych: liczba dostawców usług internetowych, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.
    • Adresy IP: liczba adresów IP, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.

szczegółowych informacji o użytkownikach w Defender for Cloud Apps.

Szczegółowe informacje o adresach IP

Ponieważ informacje o adresach IP są kluczowe dla prawie wszystkich badań, możesz wyświetlić szczegółowe informacje o adresach IP w szufladzie Działania. W ramach określonego działania możesz wybrać kartę Adres IP, aby wyświetlić skonsolidowane dane dotyczące adresu IP, w tym liczbę otwartych alertów dla określonego adresu IP, wykres trendu ostatnich działań i mapę lokalizacji. Umożliwia to łatwe przechodzenie do szczegółów podczas badania alertów o niemożliwych podróżach, na przykład. Ponadto można łatwo zrozumieć, gdzie był używany adres IP i czy był on zaangażowany w podejrzane działania. Możesz również wykonywać akcje bezpośrednio w szufladzie adresów IP, które umożliwiają tagowanie adresu IP jako ryzykownego, sieci VPN lub firmy w celu ułatwienia przyszłego badania i tworzenia zasad.

Aby wyświetlić szczegółowe informacje o adresach IP:

  1. Wybierz samo działanie w dzienniku aktywności.

  2. Następnie wybierz kartę Adres IP .

    Spowoduje to otwarcie karty Adres IP szuflady działania, która zawiera następujące szczegółowe informacje o adresie IP:

    • Otwórz alerty: liczba otwartych alertów, które obejmowały adres IP.

    • Działania: liczba działań wykonywanych przez adres IP w ciągu ostatnich 30 dni.

    • Lokalizacja IP: lokalizacje geograficzne, z których adres IP był połączony w ciągu ostatnich 30 dni.

    • Działania: liczba działań wykonanych z tego adresu IP w ciągu ostatnich 30 dni.

    • Administracja działań: liczba działań administracyjnych wykonanych z tego adresu IP w ciągu ostatnich 30 dni. Możesz wykonać następujące akcje dotyczące adresów IP:

      • Ustaw jako firmowy adres IP i dodaj do listy dozwolonych
      • Ustaw jako adres IP sieci VPN i dodaj do listy dozwolonych
      • Ustaw jako ryzykowny adres IP i dodaj do listy zablokowanych

Szczegółowe informacje o adresach IP w Defender for Cloud Apps.

Uwaga

  • Wewnętrzne adresy IP IPv4 lub IPv6 poddawane inspekcji przez aplikacje w chmurze połączone z interfejsem API mogą wskazywać komunikację usług wewnętrznych w sieci aplikacji w chmurze i nie powinny być mylone z wewnętrznymi adresami IP z sieci źródłowej połączonej z urządzeniem, ponieważ aplikacja w chmurze nie jest uwidoczniona na wewnętrznych adresach IP urządzeń.
  • Aby uniknąć zgłaszania alertów o niemożliwych podróżach , gdy pracownicy łączą się ze swoich lokalizacji domowych za pośrednictwem firmowej sieci VPN, zaleca się tagowanie adresu IP jako sieci VPN.

Eksportowanie działań

Wszystkie działania użytkownika można wyeksportować do pliku CSV.

W dzienniku aktywności wybierz przycisk Eksportuj w lewym górnym rogu.

przycisk eksportu.

Uwaga

Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania twoich zobowiązań wynikających z RODO. Jeśli szukasz ogólnych informacji na temat RODO, zobacz sekcję RODO w portalu zaufania usług.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.