筛选和查询 Defender for Cloud Apps 活动
本文提供有关 Defender for Cloud Apps 活动筛选器和查询的描述和说明。
活动筛选器
以下是可能会应用的活动筛选器列表。 大多数筛选器都支持使用多个值和 "NOT",以提供功能强大的策略创建工具。
活动 ID – 仅根据 ID 搜索特定活动。 (使用 SIEM 代理)将 Microsoft Defender for Cloud Apps 连接到 SIEM,并希望进一步调查 Defender for Cloud Apps 门户中的警报时,此筛选器会非常有用。
活动对象 - 搜索对其执行活动的对象。 此筛选器适用于文件、文件夹、用户或应用对象。
活动对象 ID - 对象(文件、文件夹、用户或应用 ID)的 ID。
项 - 使你可按任何活动对象(例如:用户名、文件、参数、站点)的名称或 ID 进行搜索。 对于“活动对象项”筛选器,可以选择是否要筛选出“包含”、“等于”或“以特定项开头”的项。
操作类型 - 搜索应用中执行的更具体的操作。
活动类型 - 搜索应用活动。
注意
仅当该应用有活动时,才会将应用添加到筛选器。
管理活动 – 仅搜索管理活动。
注意
Defender for Cloud Apps 无法将 Google Cloud Platform (GCP) 管理活动标记为管理活动。
警报 ID - 按警报 ID 搜索。
应用 – 仅搜索特定应用中的活动
应用的操作 - 按应用的管理操作搜索:阻止、绕过代理、解密、加密、加密失败、无操作。
日期 – 活动发生的日期。 筛选器支持对日期之前或日期之后及日期范围的筛选。
设备标记 - 按“符合 Intune”、“Microsoft Entra 混合联接”或“有效客户端证书”搜索。
设备类型 - 仅搜索使用特定设备类型执行的活动。 例如,从移动设备、电脑或平板电脑搜索所有活动。
文件和文件夹 - 搜索执行活动的文件和文件夹。
- 文件ID - 允许按文件 ID 搜索已执行的活动。
- 名称 - 筛选文件或文件夹的名称。 可以选择名称是否以等号结尾,或是否以搜索值开头。
- 特定文件或文件夹 - 可包含或排除特定文件或文件夹。 选择文件或文件夹时,可按“应用”、“所有者”或部分“文件名”筛选列表。
IP 地址 - 执行活动所用的原始 IP 地址、类别或标记。
- 原始 IP 地址 - 允许按原始 IP 地址搜索已执行的活动。 原始 IP 可以等于或不等于特定序列、可以以特定序列开头或不以特定序列开头。
- IP 类别 – 执行活动的 IP 地址的类别,例如,来自管理 IP 地址范围的所有活动。 需要将类别配置为包含相关的 IP 地址。 默认情况下,某些 IP 可能会进行分类。 例如,Microsoft 威胁情报源考虑的 IP 地址被归类为有风险。 若要了解如何配置 IP 类别,请参阅根据需要组织数据。
- IP 标记 - 执行活动的 IP 地址的标记,例如,来自匿名代理 IP 地址的所有活动。 Defender for Cloud Apps 将创建一组不可配置的内置 IP 标记。 此外,还可以配置 IP 标记。 有关如何配置 IP 标记的详细信息,请参阅根据需要组织数据。
内置 IP 标记包括:
- Microsoft 应用(其中 14 个)
- 匿名代理
- 僵尸网络(将会看到活动是由僵尸网络执行,可以单击随附的链接,详细了解特定僵尸网络)
- Darknet 扫描 IP
- 恶意软件 C&C 服务器
- 远程连接分析器
- 卫星提供商
- 智能代理和访问代理(故意省略)
- Tor 退出节点
- Zscaler
模拟的活动 – 仅搜索以其他用户的名义执行的活动。
实例 - 活动已执行或未执行的应用实例。
位置 – 执行活动的国家/地区。
匹配的策略 – 搜索与门户中设置的某个特定策略匹配的活动。
注册的 ISP – 执行活动的 ISP。
源 - 按检测到源的活动进行搜索。 源可采用以下任何选项:
- 应用连接器 - 直接来自应用 API 连接器的日志。
- 应用连接器分析 - 根据 API 连接器扫描到的信息改进了 Defender for Cloud Apps。
用户 - 执行活动的用户,可以按域、组、名称或组织进行筛选。 为了筛选无特定用户的活动,可以使用“未设置”运算符。
- 用户域 - 搜索特定的用户域。
- 用户组织 – 执行活动的用户的组织单位,例如,由 EMEA 市场营销用户执行的所有活动。 这仅适用于使用组织单位的已连接 Google Workspace 实例。
- 用户组 - 可以从已连接应用导入的特定用户组,如 Microsoft 365 管理员。
- 用户名 - 搜索特定的用户名。 若要查看某个特定用户组中的用户列表,请在“活动抽屉”中选择用户组的名称。 单击将转到“帐户”页面,其中列出了该组中的所有用户。 在这里,可以深入了解组中特定用户的帐户详细信息。
- 通过使用“角色”筛选器并选择用户角色,可进一步筛选“用户组”和“用户名”筛选器,角色可以是以下之一:
- 仅活动对象 - 表示所选用户或用户组不执行有疑问的活动,它们属于活动对象。
- 仅参与者 - 表示用户或用户组执行活动。
- 任何角色 - 表示用户或用户组已参与到活动中,可以是执行活动的人员或为活动的对象。
用户代理 – 执行活动的用户代理。
用户代理标记 – 内置用户代理标记,例如,来自过期操作系统或过时浏览器的所有活动。
活动查询
为了使调查更简单,现在可以创建自定义查询并将其保存以供将来使用。
- 在“活动日志”页上,根据需要使用上述筛选器深入了解应用。
完成查询构建后,选择“另存为”按钮。
在“保存查询”弹出窗口中,为查询命名。
要在将来再次使用此查询,请在“查询”下,向下滚动到“保存的查询”,然后选择查询。
Defender for Cloud Apps 还提供“建议查询”。 “建议查询”推荐用于筛选活动的调查途径。 可以编辑这些查询并将其另存为自定义查询。 以下是可选的建议查询:
管理员活动 - 筛选所有活动,只显示涉及管理员的活动。
下载活动 - 筛选所有活动,只显示下载活动,包括将用户列表下载为 .csv 文件、下载共享内容和下载文件夹。
失败的登录 - 筛选所有活动,只显示失败的登录和通过 SSO 的失败登录
文件和文件夹活动 - 筛选所有活动,只显示那些涉及文件和文件夹的活动。 筛选包括上传、下载和访问文件夹,以及创建、删除、上传、下载、隔离、访问文件,和传输内容。
模拟活动 - 筛选所有活动,只显示模拟活动。
密码更改和重置请求 - 筛选所有活动,只显示涉及密码重置、更改密码和强制用户在下次登录时更改密码的活动。
共享活动 - 筛选所有活动,只显示涉及共享文件夹和文件的活动,包括创建公司链接、创建匿名链接和授予读取/写入权限。
成功登录 - 筛选所有活动,只显示涉及成功登录的活动,包括模拟操作、模拟登录、单一登录以及从新设备登录。
此外,可以使用建议查询作为新查询的基础。 首先,选择一个建议查询。 然后,根据需要进行更改,最后选择“另存为”,创建新的“已保存查询”。
查询近六个月的活动
若要调查超过 30 天的活动,可以导航到“活动日志”,然后在屏幕右上角选择“调查近 6 个月”:
在此处,可以像通常使用活动日志一样定义筛选器,但有以下两个区别:
日期筛选器是必填的,限制为不超过一周范围。 这意味着,虽然可以查询长达六个月的活动,但一次只能查询一周的活动。
仅支持以下字段查询 30 天以上的内容:
- 活动 ID
- 活动类型
- 操作类型
- 应用程序
- IP 地址
- 位置
- 用户名
例如:
导出近六个月的活动(预览版)
可以通过单击左上角的“导出”按钮,可以导出长达六个月的所有活动
导出数据时,可以选择最多六个月的日期范围,并能够排除专用活动。
导出的文件限制为 100,000 条记录,并将采用 CSV 格式。
可以在已导出的报告下访问结果文件。 用户可以在 Microsoft 365 Defender 门户中导航到报告 -> 云应用,以查看导出过程的状态并访问过去的导出。
包含专用活动的报告将在报告页面中使用“眼睛”图标进行标记。
