Compartilhar via

Investigar atividades

  • Artigo

Microsoft Defender para Aplicativos de Nuvem dá-lhe visibilidade sobre todas as atividades das suas aplicações ligadas. Depois de ligar Defender para Aplicativos de Nuvem a uma aplicação com o Conector de aplicações, Defender para Aplicativos de Nuvem analisa todas as atividades que ocorreram - o período de análise retroativo difere por aplicação - e, em seguida, é constantemente atualizado com novas atividades.

Observação

Para obter uma lista completa das atividades do Microsoft 365 monitorizadas pelo Defender para Aplicativos de Nuvem, consulte Pesquisar o registo de auditoria no centro de conformidade.

O Registo de atividades pode ser filtrado para que possa encontrar atividades específicas. Pode criar políticas com base nas atividades e, em seguida, definir o que pretende que seja alertado e agir. Pode procurar atividades executadas em determinados ficheiros. O tipo de atividades e as informações obtidas para cada atividade dependem da aplicação e do tipo de dados que a aplicação pode fornecer.

Por exemplo, pode utilizar o Registo de atividades para localizar utilizadores na sua organização que estejam a utilizar sistemas operativos ou browsers desatualizados, da seguinte forma: depois de ligar uma aplicação a Defender para Aplicativos de Nuvem na página Registo de atividades, utilize o filtro avançado e selecione Etiqueta do agente do utilizador. Em seguida, selecione Browser desatualizado ou Sistema operativo desatualizado.

Exemplo de browser desatualizado da atividade.

O filtro básico fornece excelentes ferramentas para começar a filtrar as suas atividades.

filtro de registo de atividades básico.

Pode expandir o filtro básico ao selecionar Filtros avançados para desagregar atividades mais específicas.

filtro de registo de atividades avançadas.

Observação

  • A etiqueta Legado é adicionada a qualquer política de atividade que utilize o filtro "utilizador" mais antigo. Este filtro continuará a funcionar como habitualmente. Se quiser remover a etiqueta Legado, pode remover o filtro e adicionar o filtro novamente com o novo filtro Nome de utilizador .

  • Em alguns casos raros, a contagem dos eventos apresentados no registo de atividades pode mostrar um número ligeiramente superior ao número real de eventos que se aplicam ao filtro e que estão a ser apresentados.

A gaveta atividade

Trabalhar com a Gaveta de atividade

Pode ver mais informações sobre cada atividade ao selecionar a própria Atividade no Registo de atividades. Esta ação abre a Gaveta de atividade que fornece as seguintes ações e informações adicionais para cada atividade:

  • Políticas correspondidas: selecione a ligação Políticas correspondidas para ver uma lista de políticas correspondentes a esta atividade.

  • Ver dados não processados: selecione Ver dados não processados para ver os dados reais que foram recebidos da aplicação.

  • Utilizador: selecione o utilizador para ver a página do utilizador que efetuou a atividade.

  • Tipo de dispositivo: selecione Tipo de dispositivo para ver os dados não processados do agente do utilizador.

  • Localização: selecione a localização para ver a localização no Bing Mapas.

  • Categoria e etiquetas do endereço IP: selecione a etiqueta IP para ver a lista de etiquetas IP encontradas nesta atividade. Em seguida, pode filtrar por todas as atividades que correspondam a esta etiqueta.

Os campos na Gaveta de atividade fornecem ligações contextuais para atividades adicionais e desagregações que poderá querer efetuar diretamente a partir da gaveta. Por exemplo, se mover o cursor junto à categoria de endereço IP, pode utilizar o ícone adicionar para filtraradicionar ao filtro. Para adicionar imediatamente o endereço IP ao filtro da página atual. Também pode utilizar o ícone de engrenagem de definições ícone de definições que é apresentado para chegar diretamente à página de definições necessária para modificar a configuração de um dos campos, como Grupos de utilizadores.

Também pode utilizar os ícones na parte superior do separador para:

  • Ver atividades do mesmo tipo
  • Ver todas as atividades do mesmo utilizador
  • Ver atividades a partir do mesmo endereço IP
  • Ver atividades a partir da localização geográfica exata
  • Ver atividades do mesmo período (48 horas)

gaveta de atividade.

Para obter uma lista das ações de governação disponíveis, veja Ações de governação de atividade.

Informações do utilizador

A experiência de investigação inclui informações sobre o utilizador em exercício. Com um único clique, pode obter uma descrição geral abrangente do utilizador, incluindo a localização a partir da qual se ligou, quantos alertas abertos estão envolvidos e as respetivas informações de metadados.

Para ver as informações do utilizador:

  1. Selecione a Própria Atividade no Registo de atividades.

  2. Em seguida, selecione o separador Utilizador .
    Ao selecioná-la, o separador Utilizador da gaveta atividade fornece as seguintes informações sobre o utilizador:

    • Alertas abertos: o número de alertas abertos que envolvem o utilizador.
    • Correspondências: o número de correspondências de política para ficheiros pertencentes ao utilizador.
    • Atividades: o número de atividades realizadas pelo utilizador nos últimos 30 dias.
    • Países: o número de países a partir do qual o utilizador se ligou nos últimos 30 dias.
    • ISPs: o número de ISPs a partir do qual o utilizador se ligou nos últimos 30 dias.
    • Endereços IP: o número de endereços IP a partir do qual o utilizador se ligou nos últimos 30 dias.

informações do utilizador no Defender para Aplicativos de Nuvem.

Informações do endereço IP

Uma vez que as informações do endereço IP são cruciais para quase todas as investigações, pode ver informações detalhadas sobre endereços IP na Gaveta de atividade. A partir de uma atividade específica, pode selecionar o separador Endereço IP para ver dados consolidados sobre o endereço IP, incluindo o número de alertas abertos para o endereço IP específico, um gráfico de tendências de atividade recente e um mapa de localização. Isto permite desagregar facilmente ao investigar alertas de viagens impossíveis, por exemplo. Além disso, pode compreender facilmente onde o endereço IP foi utilizado e se estava envolvido em atividades suspeitas. Também pode efetuar ações diretamente na gaveta de endereços IP que lhe permitem etiquetar um endereço IP como arriscado, VPN ou empresarial para facilitar a futura investigação e criação de políticas.

Para ver as informações do endereço IP:

  1. Selecione a Própria Atividade no Registo de atividades.

  2. Em seguida, selecione o separador Endereço IP .

    Esta ação abre o separador Endereço IP da gaveta de atividades, que fornece as seguintes informações sobre o endereço IP:

    • Alertas abertos: o número de alertas abertos que envolveram o endereço IP.

    • Atividades: o número de atividades realizadas pelo endereço IP nos últimos 30 dias.

    • Localização do IP: as localizações geográficas a partir das quais o endereço IP se ligou nos últimos 30 dias.

    • Atividades: o número de atividades realizadas a partir deste endereço IP nos últimos 30 dias.

    • Administração atividades: o número de atividades administrativas realizadas a partir deste endereço IP nos últimos 30 dias. Pode efetuar as seguintes ações de endereço IP:

      • Definir como UM IP empresarial e adicionar à lista de permissões
      • Definir como um endereço IP de VPN e adicionar à lista de permissões
      • Definir como um IP de Risco e adicionar à lista de bloqueios

Informações do endereço IP no Defender para Aplicativos de Nuvem.

Observação

  • Os endereços IP IPv4 ou IPv6 internos auditados pelas aplicações na cloud ligadas à API podem indicar comunicações de serviços internos na rede da aplicação na cloud e não devem ser confundidos com IPs internos da rede de origem a partir da qual o dispositivo se ligou, uma vez que a aplicação na cloud não está exposta aos IPs internos dos dispositivos.
  • Para evitar criar alertas de viagem impossíveis quando os funcionários se ligam a partir das respetivas localizações domésticas através da VPN empresarial, recomenda-se que identifiquem o endereço IP como VPN.

Exportar atividades

Pode exportar todas as atividades de utilizador para um ficheiro CSV.

No Registo de atividades, selecione o botão Exportar no canto superior esquerdo.

botão exportar.

Observação

Este artigo fornece etapas sobre como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações no âmbito do GDPR. Se estiver à procura de informações gerais sobre o RGPD, veja a secção RGPD do portal de Confiança do Serviço.

Próximas etapas

Melhores práticas para proteger a sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.