Исследование действий
Microsoft Defender for Cloud Apps позволяет просматривать все действия из подключенных приложений. После подключения Defender for Cloud Apps к приложению с помощью соединителя приложений Defender for Cloud Apps сканирует все произошедшие действия (период ретроактивного сканирования для каждого приложения отличается), а затем постоянно обновляется с новыми действиями.
Примечание.
Полный список действий Microsoft 365, отслеживаемых Defender for Cloud Apps, см. в разделе Поиск в журнале аудита в центре соответствия требованиям.
Журнал действий можно отфильтровать, чтобы вы могли найти определенные действия. Вы создаете политики на основе действий, а затем определяете, о чем вы хотите получать оповещения и действовать. Можно искать действия, выполненные с определенными файлами. Тип действий и сведения, которые мы получаем для каждого действия, зависят от приложения и типа данных, которые приложение может предоставить.
Например, журнал действий можно использовать для поиска пользователей в организации, использующих устаревшие операционные системы или браузеры, как показано ниже. После подключения приложения к Defender for Cloud Apps на странице Журнал действий используйте расширенный фильтр и выберите тег агента пользователя. Затем выберите Устаревший браузер или Устаревшая операционная система.
Базовый фильтр предоставляет отличные средства для начала фильтрации действий.
Вы можете развернуть базовый фильтр, выбрав Расширенные фильтры , чтобы детализировать более конкретные действия.
Примечание.
Тег Legacy добавляется к любой политике действий, которая использует старый фильтр "пользователь". Этот фильтр будет работать в обычном режиме. Если вы хотите удалить тег Legacy, можно удалить фильтр и снова добавить фильтр с помощью нового фильтра имени пользователя .
В некоторых редких случаях количество событий, представленных в журнале действий, может отображаться немного больше, чем реальное число событий, которые применяются к фильтру и отображаются.
Панель действий
Работа с ящиком действий
Дополнительные сведения о каждом действии можно просмотреть, выбрав само действие в журнале действий. Откроется панель действий, которая предоставляет следующие дополнительные действия и аналитические сведения для каждого действия:
Совпадаемые политики. Выберите ссылку Совпадаемые политики , чтобы просмотреть список политик, которые соответствуют этому действию.
Просмотр необработанных данных. Выберите Просмотреть необработанные данные , чтобы просмотреть фактические данные, полученные от приложения.
Пользователь. Выберите пользователя, чтобы просмотреть страницу пользователя, выполнившего действие.
Тип устройства. Выберите Тип устройства , чтобы просмотреть необработанные данные агента пользователя.
Расположение. Выберите расположение для просмотра расположения в Карты Bing.
Категория и теги IP-адресов. Выберите ip-тег, чтобы просмотреть список ip-тегов, найденных в этом действии. Затем можно выполнить фильтрацию по всем действиям, соответствующим этому тегу.
Поля в панели действий предоставляют контекстные ссылки на дополнительные действия и детализацию, которые могут потребоваться выполнить непосредственно из ящика. Например, при перемещении курсора рядом с категорией IP-адреса можно использовать значок добавить для 
. Чтобы сразу добавить IP-адрес в фильтр текущей страницы. Вы также можете использовать 
шестеренки параметров, который открывается, чтобы перейти непосредственно на страницу параметров, необходимую для изменения конфигурации одного из полей, например групп пользователей.
Вы также можете использовать значки в верхней части вкладки, чтобы:
- Просмотр действий одного типа
- Просмотр всех действий одного и того же пользователя
- Просмотр действий с одного IP-адреса
- Просмотр действий из точного географического расположения
- Просмотр действий за тот же период (48 часов)
Список доступных действий по управлению см. в разделе Действия по управлению действиями.
Аналитика пользователей
Опыт исследования включает в себя аналитические сведения о действующем пользователе. Одним щелчком мыши вы можете получить полный обзор пользователя, включая расположение, из которого он подключен, количество открытых оповещений, с которыми он связан, и сведения об их метаданных.
Чтобы просмотреть аналитику пользователей, выполните приведенные далее действия.
Выберите само действие в журнале действий.
Затем перейдите на вкладку Пользователь .
Если выбрать его, откроется вкладка Пользователь панели действий, которая содержит следующие сведения о пользователе.- Открытые оповещения: количество открытых оповещений, в которых участвует пользователь.
- Соответствует: количество соответствий политике для файлов, принадлежащих пользователю.
- Действия: количество действий, выполненных пользователем за последние 30 дней.
- Страны: количество стран, из которых пользователь подключился за последние 30 дней.
- Поставщики интернет-провайдеров: количество поставщиков интернет-служб, к которому подключен пользователь за последние 30 дней.
- IP-адреса: количество IP-адресов, с которых пользователь подключился за последние 30 дней.
Аналитика IP-адресов
Так как сведения об IP-адресах имеют решающее значение практически для всех исследований, подробные сведения об IP-адресах можно просмотреть в панели действий. В рамках определенного действия можно выбрать вкладку IP-адрес, чтобы просмотреть объединенные данные об IP-адресе, включая количество открытых оповещений для конкретного IP-адреса, график тенденций последних действий и карту расположения. Это позволяет легко детализировать, например, при изучении оповещений о невозможных поездках. Кроме того, вы можете легко понять, где использовался IP-адрес и был ли он вовлечен в подозрительные действия. Вы также можете выполнять действия непосредственно в ящике IP-адресов, которые позволяют пометить IP-адрес как рискованный, VPN или корпоративный, чтобы упростить дальнейшее исследование и создание политики.
Чтобы просмотреть аналитику IP-адресов, выполните приведенные далее действия.
Выберите само действие в журнале действий.
Затем перейдите на вкладку IP-адрес .
Откроется вкладка IP-адрес панели действий, на которой представлены следующие аналитические сведения об IP-адресе:
Открытые оповещения: количество открытых оповещений, связанных с IP-адресом.
Действия: количество действий, выполненных IP-адресом за последние 30 дней.
Расположение IP-адресов. Географические расположения, из которых был подключен IP-адрес за последние 30 дней.
Действия: количество действий, выполненных с этого IP-адреса за последние 30 дней.
действия Администратор: количество административных действий, выполненных с этого IP-адреса за последние 30 дней. Можно выполнить следующие действия с IP-адресами:
- Задайте в качестве корпоративного IP-адреса и добавьте в список разрешений
- Задайте в качестве IP-адреса VPN и добавьте в список разрешенных
- Задайте в качестве опасного IP-адреса и добавьте в список блокировок
Примечание.
- Внутренние IP-адреса IPv4 или IPv6, проверенные облачными приложениями, подключенными с помощью API, могут указывать на внутренние обмен данными между службами в сети облачного приложения, и их не следует путать с внутренними IP-адресами из исходной сети, из-за того, что устройство подключено, так как облачное приложение не предоставляется внутренним IP-адресам устройств.
- Чтобы избежать создания оповещений о невозможных поездках при подключении сотрудников из своих домашних расположений через корпоративный VPN, рекомендуется пометить IP-адрес как VPN.
Действия по экспорту
Все действия пользователя можно экспортировать в CSV-файл.
В журнале действий нажмите кнопку Экспорт в левом верхнем углу.
Примечание.
В этой статье описано, как удалить личные сведения с устройства или из службы. Эти действия можно использовать для выполнения обязательств, предусмотренных регламентом GDPR. Если вам нужны общие сведения о GDPR, см. раздел GDPR на портале Service Trust.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.