Dela via


Undersöka aktiviteter

Microsoft Defender för molnet Apps ger dig insyn i alla aktiviteter från dina anslutna appar. När du har anslutit Defender för molnet-appar till en app med hjälp av Anslutningsverktyg genomsöker Defender för molnet Apps alla aktiviteter som har inträffat – den retroaktiva genomsökningsperioden skiljer sig åt per app – och uppdateras sedan ständigt med nya aktiviteter.

Kommentar

En fullständig lista över Microsoft 365-aktiviteter som övervakas av Defender för molnet-appar finns i Sök i granskningsloggen i efterlevnadscentret.

Aktivitetsloggen kan filtreras så att du kan söka efter specifika aktiviteter. Du skapar principer baserat på aktiviteterna och definierar sedan vad du vill få aviseringar om och agera på. Du kan söka efter aktiviteter som utförs på vissa filer. Typen av aktiviteter och den information som vi får för varje aktivitet beror på appen och vilken typ av data som appen kan tillhandahålla.

Du kan till exempel använda aktivitetsloggen för att hitta användare i din organisation som använder operativsystem eller webbläsare som är inaktuella, enligt följande: När du har anslutit en app för att Defender för molnet Appar på sidan Aktivitetslogg använder du det avancerade filtret och väljer Taggen Användaragent. Välj sedan Outdated browser (Inaktuell webbläsare) eller Outdated operating system (Inaktuellt operativsystem).

Exempel på inaktuell aktivitetswebbläsare.

Det grundläggande filtret innehåller bra verktyg för att börja filtrera dina aktiviteter.

grundläggande aktivitetsloggfilter.

Du kan expandera det grundläggande filtret genom att välja Avancerade filter för att öka detaljnivån i mer specifika aktiviteter.

avancerat aktivitetsloggfilter.

Kommentar

  • Den äldre taggen läggs till i alla aktivitetsprinciper som använder det äldre "användarfiltret". Det här filtret fortsätter att fungera som vanligt. Om du vill ta bort den äldre taggen kan du ta bort filtret och lägga till filtret igen med det nya användarnamnsfiltret .

  • I vissa sällsynta fall kan antalet händelser som visas i aktivitetsloggen visa ett något högre antal än det verkliga antalet händelser som gäller för filtret och som presenteras.

Aktivitetslådan

Arbeta med aktivitetslådan

Du kan visa mer information om varje aktivitet genom att välja själva aktiviteten i aktivitetsloggen. Då öppnas aktivitetslådan som innehåller följande ytterligare åtgärder och insikter för varje aktivitet:

  • Matchade principer: Välj länken Matchade principer för att se en lista över principer som den här aktiviteten matchade.

  • Visa rådata: Välj Visa rådata för att se faktiska data som togs emot från appen.

  • Användare: Välj användaren för att visa användarsidan för den användare som utförde aktiviteten.

  • Enhetstyp: Välj Enhetstyp för att visa rådata för användaragenten.

  • Plats: Välj plats för att visa platsen i Bing Maps.

  • IP-adresskategori och -taggar: Välj IP-taggen för att visa listan över IP-taggar som finns i den här aktiviteten. Sedan kan du filtrera efter alla aktiviteter som matchar denna tagg.

Fälten i aktivitetslådan innehåller sammanhangsbaserade länkar till ytterligare aktiviteter och detaljnivå som du kanske vill utföra direkt från lådan. Om du till exempel flyttar markören bredvid KATEGORIN IP-adress kan du använda ikonen lägg till för att filtrera. lägg till för att filtrera för att omedelbart lägga till IP-adressen i den aktuella sidans filter. Du kan också använda kugghjulsikonen inställningsikon för inställningar som visas för att komma direkt till inställningssidan som krävs för att ändra konfigurationen av ett av fälten, till exempel Användargrupper.

Du kan också använda ikonerna överst på fliken för att:

  • Visa aktiviteter av samma typ
  • Visa alla aktiviteter för samma användare
  • Visa aktiviteter från samma IP-adress
  • Visa aktiviteter från den exakta geografiska platsen
  • Visa aktiviteter från samma period (48 timmar)

aktivitetslåda.

En lista över tillgängliga styrningsåtgärder finns under Activity governance actions (Aktivitetsstyrningsåtgärder).

Användarinsikter

Undersökningsupplevelsen innehåller insikter om den tillförordnade användaren. Med ett enda klick kan du få en omfattande översikt över användaren, inklusive vilken plats de anslöt från, hur många öppna aviseringar de är involverade i och deras metadatainformation.

Så här visar du användarinsikter:

  1. Välj själva aktiviteten i aktivitetsloggen.

  2. Välj sedan fliken Användare .
    Om du väljer den öppnas fliken Aktivitetslåda Användare med följande insikter om användaren:

    • Öppna aviseringar: Antalet öppna aviseringar som involverar användaren.
    • Matchningar: Antalet principmatchningar för filer som ägs av användaren.
    • Aktiviteter: Antalet aktiviteter som utförts av användaren under de senaste 30 dagarna.
    • Länder: Antalet länder som användaren har anslutit från under de senaste 30 dagarna.
    • Ip-adresser: Antalet ISP:er som användaren har anslutit från under de senaste 30 dagarna.
    • IP-adresser: Antalet IP-adresser som användaren har anslutit från under de senaste 30 dagarna.

användarinsikter i Defender för molnet-appar.

Insikter om IP-adresser

Eftersom IP-adressinformation är avgörande för nästan alla undersökningar kan du visa detaljerad information om IP-adresser i aktivitetslådan. Från en viss aktivitet kan du välja fliken IP-adress för att visa konsoliderade data om IP-adressen, inklusive antalet öppna aviseringar för den specifika IP-adressen, ett trenddiagram över den senaste aktiviteten och en platskarta. Detta gör det enkelt att öka detaljnivån när du till exempel undersöker omöjliga reseaviseringar. Dessutom kan du enkelt förstå var IP-adressen användes och om den var inblandad i misstänkta aktiviteter. Du kan också utföra åtgärder direkt i IP-adresslådan som gör att du kan tagga en IP-adress som riskfylld, VPN eller företag för att underlätta framtida undersökning och principskapande.

Så här visar du insikter om IP-adresser:

  1. Välj själva aktiviteten i aktivitetsloggen.

  2. Välj sedan fliken IP-adress .

    Då öppnas fliken IP-adress för aktivitetslådan, som ger följande insikter om IP-adressen:

    • Öppna aviseringar: Antalet öppna aviseringar som involverade IP-adressen.

    • Aktiviteter: Antalet aktiviteter som utförts av IP-adressen under de senaste 30 dagarna.

    • IP-plats: De geografiska platser som IP-adressen har anslutits från under de senaste 30 dagarna.

    • Aktiviteter: Antalet aktiviteter som utförts från den här IP-adressen under de senaste 30 dagarna.

    • Administratörsaktiviteter: Antalet administrativa aktiviteter som utförts från den här IP-adressen under de senaste 30 dagarna. Du kan utföra följande IP-adressåtgärder:

      • Ange som företags-IP och lägg till i listan över tillåtna
      • Ange som en VPN IP-adress och lägg till i listan över tillåtna
      • Ange som en riskfylld IP-adress och lägg till i blockeringslistan

IP-adressinsikter i Defender för molnet Apps.

Kommentar

  • Interna IPv4- eller IPv6-IP-adresser som granskas av molnprogrammen som är anslutna till API:et kan tyda på intern kommunikation inom nätverket i molnprogrammet och bör inte förväxlas med interna IP-adresser från källnätverket som enheten är ansluten från, eftersom molnprogrammet inte exponeras för enheternas interna IP-adresser.
  • För att undvika omöjliga reseaviseringar när anställda ansluter från sina hemplatser via företagets VPN rekommenderar vi att du taggar IP-adressen som VPN.

Exportera aktiviteter

Du kan exportera alla användaraktiviteter till en CSV-fil.

I aktivitetsloggen väljer du knappen Exportera i det övre vänstra hörnet.

exportknappen.

Kommentar

Den här artikeln tillhandahåller anvisningar om hur du tar bort personliga data från enheten eller tjänsten och den kan vara ett stöd för dina skyldigheter enligt GDPR. Om du letar efter allmän information om GDPR hittar du det i GDPR-avsnittet på Service Trust Portal.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.