Dela via

Filtrera och fråga Defender for Cloud Apps aktiviteter

  • Artikel

Den här artikeln innehåller beskrivningar och instruktioner för Defender for Cloud Apps aktivitetsfilter och frågor.

Aktivitetsfilter

Nedan visas en lista över de aktivitetsfilter som kan tillämpas. De flesta filter stöder flera värden samt INTE för att ge dig ett kraftfullt verktyg för att skapa principer.

  • Aktivitets-ID – Sök bara efter specifika aktiviteter efter deras ID. Det här filtret är användbart när du ansluter Microsoft Defender for Cloud Apps till SIEM (med SIEM-agenten) och du vill undersöka aviseringar ytterligare i Defender for Cloud Apps-portalen.

  • Aktivitetsobjekt – Sök efter de objekt som aktiviteten utfördes på. Det här filtret gäller för filer, mappar, användare eller appobjekt.

    • Aktivitetsobjekt-ID – ID för objektet (fil, mapp, användare eller app-ID).

    • Objekt – Gör att du kan söka efter namn eller ID för alla aktivitetsobjekt (till exempel användarnamn, filer, parametrar, webbplatser). För filtret Aktivitetsobjekt kan du välja om du vill filtrera efter objekt som innehåller, är lika med eller börjar med det specifika objektet.

  • Åtgärdstyp – Sök efter en mer specifik åtgärd som utförs i en app.

  • Aktivitetstyp – Sök efter appaktiviteten.

    Obs!

    Appar läggs bara till i filtret om det finns aktivitet för appen.

  • Administrativ aktivitet – Sök endast efter administrativa aktiviteter.

    Obs!

    Defender for Cloud Apps kan inte markera google cloud platform (GCP) administrativa aktiviteter som administrativa aktiviteter.

  • Aviserings-ID – Sök efter aviserings-ID.

  • App – Sök bara efter aktiviteter i specifika appar.

  • Tillämpad åtgärd – Sök efter styrningsåtgärd tillämpad: Blockerad, Kringgå proxy, Dekrypterad, Krypterad, Kryptering misslyckades, Ingen åtgärd.

  • Date – det datum då aktiviteten inträffade. Filter stöder före/efter datum och ett datumintervall.

  • Enhetstagg – Sök efter Intune kompatibel, Microsoft Entra hybridansluten eller giltigt klientcertifikat.

  • Enhetstyp – Sök bara efter aktiviteter som har utförts med en viss enhetstyp. Du kan till exempel söka efter alla aktiviteter från mobila enheter, datorer eller surfplattor.

  • Filer och mappar – Sök efter filer och mappar som aktiviteten utfördes på.

    • Fil-ID – Gör att du kan söka efter det fil-ID som aktiviteten utfördes på.
    • Namn – Filtrerar på namnet på filer eller mappar. Du kan välja om namnet slutar med, är likamed eller börjar med ditt sökvärde.
    • Specifika filer eller mappar – Du kan inkludera eller exkludera specifika filer eller mappar. Du kan filtrera listan efter app, ägare eller partiellt filnamnnär du väljer filer eller mappar.

  • IP-adress – den råa IP-adress, kategori eller tagg som aktiviteten utfördes från.

    • Rå IP-adress – Gör att du kan söka efter aktiviteter som har utförts på eller av råa IP-adresser. De råa IP-adresserna kan vara lika med, inte vara lika med, börja med eller inte börja med en viss sekvens.
    • IP-kategori – kategorin för den IP-adress som aktiviteten utfördes från, till exempel alla aktiviteter från det administrativa IP-adressintervallet. Kategorierna måste konfigureras för att inkludera relevanta IP-adresser. Vissa IP-adresser kan kategoriseras som standard. Det finns till exempel IP-adresser som anses av Microsofts hotinformationskällor kategoriseras som riskfyllda. Information om hur du konfigurerar IP-kategorierna finns i Ordna data efter dina behov.
    • IP-tagg – taggen för ip-adressen som aktiviteten utfördes från, till exempel alla aktiviteter från anonyma proxy-IP-adresser. Defender for Cloud Apps skapar en uppsättning inbyggda IP-taggar som inte kan konfigureras. Dessutom kan du konfigurera dina IP-taggar. Mer information om hur du konfigurerar DINA IP-taggar finns i Ordna data efter dina behov. De inbyggda IP-taggarna innehåller följande:
      • Microsoft-appar (14 av dem)
      • Anonym proxy
      • Botnet (du ser att aktiviteten utfördes av ett botnät med en länk för att lära dig mer om det specifika botnätet)
      • IP-adress för darknet-genomsökning
      • C&C-server för skadlig kod
      • Analys med fjärranslutning
      • Satellitleverantörer
      • Smart proxy och åtkomstproxy (utelämnas med flit)
      • Tor-avslutningsnoder
      • Zscaler

  • Personifierad aktivitet – Sök bara efter aktiviteter som har utförts i en annan användares namn.

  • Instans – appinstansen där aktiviteten utfördes eller inte utfördes.

  • Plats – det land/den region som aktiviteten utfördes från.

  • Matchad princip – Sök efter aktiviteter som matchade en specifik princip som angavs i portalen.

  • Registrerad Internetleverantör – Internetleverantören som aktiviteten utfördes från.

  • Källa – Sök efter den källa som aktiviteten identifierades från. Källan kan vara något av följande:

    • Appanslutning – loggar som kommer direkt från appens API-anslutningsapp.
    • Analys av appanslutningsprogram – Defender for Cloud Apps berikanden baserat på information som genomsöks av API-anslutningsappen.

  • Användare – Den användare som utförde aktiviteten, som kan filtreras till domän, grupp, namn eller organisation. Om du vill filtrera aktiviteter utan någon specifik användare kan du använda operatorn "är inte inställd".

    • Användardomän – Sök efter en specifik användardomän.
    • Användarorganisation – Organisationsenheten för den användare som utförde aktiviteten, till exempel alla aktiviteter som utförs av EMEA_marketing användare. Detta är endast relevant för anslutna Google Workspace-instanser med hjälp av organisationsenheter.
    • Användargrupp – Specifika användargrupper som du kan importera från anslutna appar, till exempel Microsoft 365-administratörer.
    • Användarnamn – Sök efter ett specifikt användarnamn. Om du vill se en lista över användare i en specifik användargrupp går du till aktivitetslådan och väljer namnet på användargruppen. När du klickar kommer du till sidan Konton, som visar en lista över alla användare i gruppen. Därifrån kan du öka detaljnivån i informationen om kontona för specifika användare i gruppen.
    • Filteren Användargrupp och Användarnamn kan filtreras ytterligare med hjälp av filtret Som och välja användarens roll, vilket kan vara något av följande:
      • Endast aktivitetsobjekt – vilket innebär att den valda användaren eller användargruppen inte utförde aktiviteten i fråga. de var föremålet för aktiviteten.
      • Endast aktör – vilket innebär att användaren eller användargruppen utförde aktiviteten.
      • Alla roller – vilket innebär att användaren eller användargruppen var involverad i aktiviteten, antingen som den person som utförde aktiviteten eller som objektet för aktiviteten.

  • Användaragent – Användaragenten för från med aktiviteten utfördes.

  • Tagg för användaragent – inbyggd tagg för användaragent, till exempel alla aktiviteter från inaktuella operativsystem eller inaktuella webbläsare.

Aktivitetsfrågor

För att göra undersökningen ännu enklare kan du nu skapa anpassade frågor och spara dem för senare användning.

  1. På sidan Aktivitetslogg använder du filtren enligt beskrivningen ovan för att öka detaljnivån i dina appar efter behov.

Använd filter för att skapa frågor.

  1. När du har skapat frågan väljer du knappen Spara som .

  2. I popup-fönstret Spara fråga namnger du frågan.

    ny fråga.

  3. Om du vill använda den här frågan igen i framtiden, under Frågor, bläddrar du ned till Sparade frågor och väljer din fråga.

    öppen fråga.

Defender for Cloud Apps ger dig även förslag på frågor. Föreslagna frågor ger dig rekommenderade undersökningsvägar som filtrerar dina aktiviteter. Du kan redigera dessa frågor och spara dem som anpassade frågor. Följande är valfria föreslagna frågor:

  • Admin aktiviteter – filtrerar alla dina aktiviteter så att endast de aktiviteter som involverar administratörer visas.

  • Ladda ned aktiviteter – filtrerar alla dina aktiviteter för att endast visa de aktiviteter som var nedladdningsaktiviteter, inklusive nedladdning av användarlista som en .csv fil, nedladdning av delat innehåll och nedladdning av en mapp.

  • Misslyckad inloggning – filtrerar alla dina aktiviteter för att endast visa misslyckad inloggning och misslyckade inloggningar via enkel inloggning

  • Fil- och mappaktiviteter – filtrerar alla dina aktiviteter så att endast de som rör filer och mappar visas. Filtret omfattar uppladdning, nedladdning och åtkomst till mappar, tillsammans med att skapa, ta bort, ladda upp, ladda ned, kvartera och komma åt filer och överföra innehåll.

  • Personifieringsaktiviteter – filtrerar alla dina aktiviteter för att endast visa personifieringsaktiviteter.

  • Lösenordsändringar och återställningsbegäranden – filtrerar alla dina aktiviteter för att endast visa de aktiviteter som omfattar lösenordsåterställning, ändra lösenord och tvinga en användare att ändra lösenordet vid nästa inloggning.

  • Delningsaktiviteter – filtrerar alla dina aktiviteter för att endast visa de aktiviteter som omfattar delning av mappar och filer, inklusive att skapa en företagslänk, skapa en anonym länk och bevilja läs-/skrivbehörigheter.

  • Lyckad inloggning – filtrerar alla dina aktiviteter för att endast visa de aktiviteter som involverar lyckade inloggningar, inklusive personifiera åtgärd, personifiera inloggning, enkel inloggning och inloggning från en ny enhet.

frågeaktiviteter.

Dessutom kan du använda de föreslagna frågorna som utgångspunkt för en ny fråga. Välj först en av de föreslagna frågorna. Gör sedan ändringar efter behov och välj slutligen Spara som för att skapa en ny Sparad fråga.

Frågeaktiviteter för sex månader sedan

Om du vill undersöka aktiviteter som är äldre än 30 dagar kan du navigera till aktivitetsloggen och välja Undersök 6 månader tillbaka i det övre högra hörnet på skärmen:

Välj undersök 6 månader tillbaka.

Därifrån kan du definiera filtren som normalt görs med aktivitetsloggen, med följande skillnader:

  • Datumfiltret är obligatoriskt och är begränsat till ett intervall på en vecka. Det innebär att även om du kan köra frågor mot aktiviteter i upp till sex månader tillbaka kan du bara göra det under en vecka i taget.

  • Det går bara att köra frågor mot mer än 30 dagar tillbaka för följande fält:

    • Aktivitets-ID
    • Aktivitetstyp
    • Åtgärdstyp
    • Program
    • IP-adress
    • Plats
    • Användarnamn

Till exempel:

Filtrera efter att du har valt undersök 6 månader tillbaka.

Exportera aktiviteter för sex månader sedan (förhandsversion)

Du kan exportera alla aktiviteter från upp till sex månader genom att klicka på knappen Exportera i det övre vänstra hörnet
Klicka på exportikonen för att exportera poster.

När du exporterar data kan du välja ett datumintervall på upp till sex månader och kunna exkludera privata aktiviteter.
Den exporterade filen är begränsad till 100 000 poster och kommer att vara i CSV-format.

Resultatfilen kommer att vara tillgänglig under de exporterade rapporterna. Användare kan navigera till Rapporter –> Cloud Apps i Microsoft 365 Defender-portalen för att visa status för exportprocessen och få åtkomst till tidigare exporter.
Rapporter som innehåller privata aktiviteter markeras med en ögonikon på rapportsidan.

ögonikon

Nästa steg

Metodtips för att skydda din organisation