Dela via

Undersöka aktiviteter

  • Artikel

Microsoft Defender for Cloud Apps ger dig insyn i alla aktiviteter från dina anslutna appar. När du har anslutit Defender for Cloud Apps till en app med appanslutningsappen genomsöker Defender for Cloud Apps alla aktiviteter som har inträffat – den retroaktiva genomsökningsperioden skiljer sig åt per app – och sedan uppdateras den ständigt med nya aktiviteter.

Obs!

En fullständig lista över Microsoft 365-aktiviteter som övervakas av Defender for Cloud Apps finns i Sök i granskningsloggen i efterlevnadscentret.

Aktivitetsloggen kan filtreras så att du kan hitta specifika aktiviteter. Du skapar principer baserat på aktiviteterna och definierar sedan vad du vill få aviseringar om och agera på. Du kan söka efter aktiviteter som utförs på vissa filer. Vilken typ av aktiviteter och vilken information vi får för varje aktivitet beror på appen och vilken typ av data som appen kan tillhandahålla.

Du kan till exempel använda aktivitetsloggen för att hitta användare i din organisation som använder inaktuella operativsystem eller webbläsare: När du har anslutit en app till Defender for Cloud Apps på sidan Aktivitetslogg använder du det avancerade filtret och väljer taggen Användaragent. Välj sedan Inaktuell webbläsare eller Inaktuellt operativsystem.

Exempel på inaktuell aktivitetswebbläsare.

Det grundläggande filtret innehåller bra verktyg för att börja filtrera dina aktiviteter.

grundläggande aktivitetsloggfilter.

Du kan expandera det grundläggande filtret genom att välja Avancerade filter för att öka detaljnivån till mer specifika aktiviteter.

avancerat aktivitetsloggfilter.

Obs!

  • Den äldre taggen läggs till i alla aktivitetsprinciper som använder det äldre "användarfiltret". Det här filtret fortsätter att fungera som vanligt. Om du vill ta bort den äldre taggen kan du ta bort filtret och lägga till filtret igen med det nya användarnamnsfiltret .

  • I vissa sällsynta fall kan antalet händelser som visas i aktivitetsloggen visa ett något högre antal än det verkliga antalet händelser som gäller för filtret och som visas.

Aktivitetslådan

Arbeta med aktivitetslådan

Du kan visa mer information om varje aktivitet genom att välja själva aktiviteten i aktivitetsloggen. Då öppnas aktivitetslådan som innehåller följande ytterligare åtgärder och insikter för varje aktivitet:

  • Matchade principer: Välj länken Matchade principer för att se en lista över principer som den här aktiviteten matchade.

  • Visa rådata: Välj Visa rådata för att se faktiska data som togs emot från appen.

  • Användare: Välj användaren för att visa användarsidan för den användare som utförde aktiviteten.

  • Enhetstyp: Välj Enhetstyp för att visa rådata för användaragenten.

  • Plats: Välj den plats där du vill visa platsen i Bing-kartor.

  • IP-adresskategori och -taggar: Välj IP-taggen för att visa listan över IP-taggar som finns i den här aktiviteten. Du kan sedan filtrera efter alla aktiviteter som matchar den här taggen.

Fälten i aktivitetslådan innehåller sammanhangsbaserade länkar till ytterligare aktiviteter och ökad detaljnivå som du kanske vill utföra direkt från lådan. Om du till exempel flyttar markören bredvid kategorin IP-adress kan du använda lägg till filterikonenlägg till för att filtrera. Om du omedelbart vill lägga till IP-adressen i den aktuella sidans filter. Du kan också använda inställningsikonikonen för kugghjulsikonen som dyker upp för att komma direkt till inställningssidan som krävs för att ändra konfigurationen av ett av fälten, till exempel Användargrupper.

Du kan också använda ikonerna överst på fliken för att:

  • Visa aktiviteter av samma typ
  • Visa alla aktiviteter för samma användare
  • Visa aktiviteter från samma IP-adress
  • Visa aktiviteter från den exakta geografiska platsen
  • Visa aktiviteter från samma period (48 timmar)

aktivitetslåda.

En lista över tillgängliga styrningsåtgärder finns i Aktivitetsstyrningsåtgärder.

Användarinsikter

Undersökningsupplevelsen innehåller insikter om den tillförordnade användaren. Med ett enda klick kan du få en omfattande översikt över användaren, inklusive vilken plats de anslöt från, hur många öppna aviseringar de är involverade i och deras metadatainformation.

Så här visar du användarinsikter:

  1. Välj själva aktiviteten i aktivitetsloggen.

  2. Välj sedan fliken Användare .
    Om du väljer den öppnas fliken Användare i aktivitetslådan, så får du följande insikter om användaren:

    • Öppna aviseringar: Antalet öppna aviseringar som involverar användaren.
    • Matchningar: Antalet principmatchningar för filer som ägs av användaren.
    • Aktiviteter: Antalet aktiviteter som utförts av användaren under de senaste 30 dagarna.
    • Länder: Antalet länder som användaren har anslutit från under de senaste 30 dagarna.
    • ISP:er: Antalet ISP:er som användaren har anslutit från under de senaste 30 dagarna.
    • IP-adresser: Antalet IP-adresser som användaren har anslutit från under de senaste 30 dagarna.

användarinsikter i Defender for Cloud Apps.

IP-adressinsikter

Eftersom IP-adressinformation är avgörande för nästan alla undersökningar kan du visa detaljerad information om IP-adresser i aktivitetslådan. Inifrån en viss aktivitet kan du välja fliken IP-adress för att visa konsoliderade data om IP-adressen, inklusive antalet öppna aviseringar för den specifika IP-adressen, ett trenddiagram över den senaste aktiviteten och en platskarta. Detta gör det enkelt att öka detaljnivån när du till exempel undersöker omöjliga reseaviseringar. Dessutom kan du enkelt förstå var IP-adressen användes och om den var inblandad i misstänkta aktiviteter. Du kan också utföra åtgärder direkt i IP-adresslådan som gör att du kan tagga en IP-adress som riskfylld, VPN eller företag för att underlätta framtida undersökning och skapande av principer.

Så här visar du information om IP-adresser:

  1. Välj själva aktiviteten i aktivitetsloggen.

  2. Välj sedan fliken IP-adress .

    Då öppnas fliken IP-adress för aktivitetslådan, som ger följande insikter om IP-adressen:

    • Öppna aviseringar: Antalet öppna aviseringar som berörde IP-adressen.

    • Aktiviteter: Antalet aktiviteter som utförts av IP-adressen under de senaste 30 dagarna.

    • IP-plats: De geografiska platser som IP-adressen har anslutits från under de senaste 30 dagarna.

    • Aktiviteter: Antalet aktiviteter som utförts från den här IP-adressen under de senaste 30 dagarna.

    • Admin aktiviteter: Antalet administrativa aktiviteter som utförts från den här IP-adressen under de senaste 30 dagarna. Du kan utföra följande IP-adressåtgärder:

      • Ange som företags-IP och lägg till i listan över tillåtna
      • Ange som en VPN IP-adress och lägg till i listan över tillåtna
      • Ange som en riskfylld IP-adress och lägg till i blockeringslistan

IP-adressinsikter i Defender for Cloud Apps.

Obs!

  • Interna IPv4- eller IPv6-IP-adresser som granskas av molnprogrammen som är anslutna till API:et, kan tyda på intern tjänstkommunikation i nätverket för molnprogrammet och bör inte förväxlas med interna IP-adresser från källnätverket som enheten är ansluten från, eftersom molnprogrammet inte exponeras för enheternas interna IP-adresser.
  • För att undvika omöjliga reseaviseringar när anställda ansluter från sina hemplatser via företagets VPN rekommenderar vi att du taggar IP-adressen som VPN.

Exportera aktiviteter

Du kan exportera alla användaraktiviteter till en CSV-fil.

I aktivitetsloggen väljer du knappen Exportera i det övre vänstra hörnet.

exportknappen.

Obs!

Den här artikeln innehåller steg för hur du tar bort personuppgifter från enheten eller tjänsten och kan användas för att stödja dina skyldigheter enligt GDPR. Om du letar efter allmän information om GDPR kan du läsa avsnittet GDPR i Service Trust-portalen.

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.