调查活动

Microsoft Defender for Cloud Apps使你能够查看已连接应用中的所有活动。 使用应用连接器将Defender for Cloud Apps连接到应用后,Defender for Cloud Apps扫描发生的所有活动(追溯扫描期因应用而异),然后使用新活动不断更新。

注意

有关Defender for Cloud Apps监视的Microsoft 365 活动的完整列表,请参阅在合规中心搜索审核日志

可以筛选 活动日志 ,使你能够查找特定活动。 根据活动创建策略,然后定义要发出警报和操作的内容。 可以搜索对某些文件执行的活动。 我们为每个活动获取的活动类型和信息取决于应用以及应用可以提供的数据类型。

例如,可以使用活动日志查找组织中使用过期操作系统或浏览器的用户,如下所示:将应用连接到“活动日志”页中的Defender for Cloud Apps后,使用高级筛选器并选择“用户代理标记”。 然后选择“过时的浏览器”或“过时的操作系统”。

活动过时浏览器示例。

基本筛选器提供了用于开始筛选活动的绝佳工具。

基本活动日志筛选器。

可以通过选择“高级筛选器”来向下钻取到更具体的活动来扩展基本 筛选器

高级活动日志筛选器。

注意

  • 旧标记将添加到使用旧版“用户”筛选器的任何活动策略。 此筛选器将继续照常工作。 如果要删除旧标记,可以删除筛选器,并使用新的 “用户名” 筛选器再次添加筛选器。

  • 在一些极少数情况下,活动日志中显示的事件计数可能略高于应用于筛选器并正在呈现的事件的实际数目。

活动抽屉

使用活动抽屉

可以通过在活动日志中选择“活动”本身来查看有关每个活动的详细信息。 这会打开活动抽屉,为每个活动提供以下附加操作和见解:

  • 匹配的策略:选择 “匹配的策略 ”链接以查看此活动匹配的策略列表。

  • 查看原始数据:选择“ 查看原始数据 ”以查看从应用接收的实际数据。

  • 用户:选择该用户以查看执行活动的用户的用户页面。

  • 设备类型:选择“ 设备类型 ”以查看原始用户代理数据。

  • 位置:选择位置以查看必应地图中的位置。

  • IP 地址类别和标记:选择 IP 标记以查看在此活动中找到的 IP 标记列表。 然后,可以按与此标记匹配的所有活动进行筛选。

活动抽屉中的字段提供上下文链接,这些链接指向你可能希望直接从抽屉执行的其他活动和向下钻取。 例如,如果将光标移到“IP 地址”类别旁边,则可以使用 “添加到筛选器” 图标 “添加到筛选器 ”。立即将 IP 地址添加到当前页的筛选器。 还可以使用弹出的设置齿轮图标 设置图标设置图标 直接到达修改其中一个字段(如 用户组)配置所需的设置页面。

还可以使用选项卡顶部的图标来:

  • 查看相同类型的活动
  • 查看同一用户的所有活动
  • 查看来自同一 IP 地址的活动
  • 从确切的地理位置查看活动
  • 查看 48 小时 (同一时间段的活动)

活动抽屉。

有关可用治理操作的列表,请参阅 活动治理操作

用户见解

调查体验包括有关代理用户的见解。 只需单击一下,即可全面了解用户,包括用户从哪个位置连接、涉及的打开警报数及其元数据信息。

查看用户见解:

  1. 在活动 日志中选择“活动”本身。

  2. 然后选择“ 用户 ”选项卡。
    选择它可打开“活动抽屉 用户 ”选项卡,提供有关用户的以下见解:

    • 打开警报:涉及用户的未结警报数。
    • 匹配:用户拥有的文件的策略匹配数。
    • 活动:用户在过去 30 天内执行的活动数。
    • 国家/地区:用户在过去 30 天内连接的国家/地区数。
    • ISP:过去 30 天内用户从中连接的 ISP 数。
    • IP 地址:用户在过去 30 天内连接的 IP 地址数。

Defender for Cloud Apps中的用户见解。

IP 地址见解

由于 IP 地址信息对于几乎所有调查都至关重要,因此可以在活动抽屉中查看有关 IP 地址的详细信息。 在特定活动中,可以选择“IP 地址”选项卡来查看有关 IP 地址的合并数据,包括特定 IP 地址的未结警报数、最近活动的趋势图和位置映射。 例如,这样就可以在调查不可能的旅行警报时轻松向下钻取。 此外,可以轻松了解 IP 地址的使用位置以及它是否涉及可疑活动。 还可以直接在 IP 地址抽屉中执行操作,以便将 IP 地址标记为有风险、VPN 或公司,以方便将来的调查和策略创建。

查看 IP 地址见解:

  1. 在活动 日志中选择“活动”本身。

  2. 然后选择“ IP 地址 ”选项卡。

    这会打开“活动抽屉 IP 地址 ”选项卡,该选项卡提供有关 IP 地址的以下见解:

    • 打开警报:涉及 IP 地址的未结警报数。

    • 活动:IP 地址在过去 30 天内执行的活动数。

    • IP 位置:IP 地址在过去 30 天内连接的地理位置。

    • 活动:过去 30 天内从此 IP 地址执行的活动数。

    • 管理员活动:过去 30 天内从此 IP 地址执行的管理活动数。 可以执行以下 IP 地址操作:

      • 设置为公司 IP 并添加到允许列表
      • 设置为 VPN IP 地址并添加到允许列表
      • 设置为风险 IP 并添加到阻止列表

Defender for Cloud Apps中的 IP 地址见解。

注意

  • 由使用 API 连接的云应用程序审核的内部 IPv4 或 IPv6 IP 地址可能指示云应用程序网络内的内部服务通信,并且不应与设备连接的源网络的内部 IP 混淆,因为云应用程序不会向设备的内部 IP 公开。
  • 为了避免在员工通过公司 VPN 从主位置连接时引发 不可能的旅行 警报,建议将 IP 地址标记为 VPN

导出活动

可以将所有用户活动导出到 CSV 文件。

活动日志中,选择左上角的“ 导出 ”按钮。

“导出”按钮。

注意

本文将提供有关如何从设备或服务删除个人数据的步骤,并可用来支持你在 GDPR 下的义务。 如果要查找有关 GDPR 的一般信息,请参阅 服务信任门户的 GDPR 部分

后续步骤

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证