篩選和查詢 Defender for Cloud Apps 活動

本文提供 Defender for Cloud Apps 活動篩選和查詢的說明和指示。

活動篩選

以下是可套用的活動篩選清單。 大部分的篩選都支援多個值以及 NOT ，為您提供強大的原則建立工具。

• 活動標識碼 - 僅依其標識碼搜尋特定活動。 當您使用 SIEM 代理程式) 將 Microsoft Defender for Cloud Apps 連線到 SIEM (，而且您想要進一步調查 Defender for Cloud Apps 入口網站中的警示時，此篩選器會很有用。

• 活動物件 – 搜尋活動執行所在的物件。 此篩選條件適用於檔案、資料夾、使用者或應用程式物件。

  • 活動物件識別碼 - (檔案、資料夾、使用者或應用程式識別碼) 的物件識別碼。

  • 專案 - 可讓您依任何活動對象的名稱或標識符進行搜尋 (例如，使用者名稱、檔案、參數、網站) 。 針對 [活動物件專案 ] 篩選，您可以選取是否要篩選 包含、 等於或以特定項目 開頭 的專案。

• 動作類型 - 搜尋在應用程式中執行的更特定動作。

• 活動類型 - 搜尋應用程式活動。

  注意事項

  只有在該應用程式有活動時，才會將應用程式新增至篩選。

• 系統管理活動 – 僅搜尋系統管理活動。

  注意事項

  Defender for Cloud Apps 無法將Google Cloud Platform (GCP) 系統管理活動標示為系統管理活動。

• 警示標識碼 - 依警示標識符搜尋。

• 應用程式 – 僅搜尋特定應用程式內的活動。

• 套用的動作 - 依套用的治理動作搜尋：Blocked、Bypass Proxy、Decrypted、Encrypted、Encryption failed、No action。

• Date – 活動發生的日期。 篩選器支援日期之前/之後和日期範圍。

• 裝置標籤 - 依 Intune 兼容、Microsoft Entra 混合式聯結或有效用戶端憑證進行搜尋。

• 裝置類型 - 僅搜尋使用特定裝置類型完成的活動。 例如，從行動裝置、電腦或平板電腦搜尋所有活動。

• 檔案和資料夾 - 搜尋活動執行所在的檔案和資料夾。

  • 檔案識別碼 - 可讓您依活動執行所在的檔案識別碼進行搜尋。
  • 名稱 - 篩選檔案或資料夾的名稱。 您可以選取名稱 的結尾是 、 等於還是以您的搜尋值 開頭 。
  • 特定檔案或資料夾 - 您可以包含或排除特定檔案或資料夾。 您可以在選取檔案或資料夾時，依 應用程式、 擁有者或部分 檔案名篩選清單。

• IP 位址 – 執行活動的原始 IP 位址、類別或標籤。

  • 原始IP位址 - 可讓您搜尋原始IP位址或原始IP位址所執行的活動。 原始IP可以等於、不等於、開頭為 ，或不是以特定序列開頭。
  • IP 類別 - 執行活動的 IP 位址類別，例如來自系統管理 IP 位址範圍的所有活動。 類別必須設定為包含相關的IP位址。 某些IP預設可能會分類。 例如，Microsoft威脅情報來源會視為有風險的IP位址。 若要瞭解如何設定IP類別，請參閱 根據您的需求組織數據。
  • IP 標籤 - 執行活動之 IP 位址的標籤，例如匿名 Proxy IP 位址中的所有活動。 Defender for Cloud Apps 建立一組無法設定的內建IP標記。 此外，您可以設定IP標籤。 如需設定 IP 標籤的詳細資訊，請參閱 根據您的需求組織數據。 內建IP標籤包含下列專案：
    • Microsoft應用程式 (其中 14 個)
    • 匿名 Proxy
    • Botnet (您會看到活動是由具有連結的 Botnet 所執行，以深入瞭解特定的 Botnet)
    • 深色網掃描IP
    • 惡意代碼 C&C 伺服器
    • 遠端連線分析程式
    • 衛星提供者
    • 智慧型 Proxy 和存取 Proxy (因為目的而遺漏)
    • Tor 結束節點
    • Zscaler

• 模擬活動 – 僅搜尋以其他使用者的名稱執行的活動。

• 實例 - 活動已執行或未執行的應用程式實例。

• 位置 – 執行活動的國家/地區。

• 相符的原則 – 搜尋符合入口網站中所設定之特定原則的活動。

• 已註冊的 ISP – 執行活動的來源 ISP。

• 來源 - 依偵測到活動的來源進行搜尋。 來源可以是下列任一項：

  • 應用程式連接器 - 直接來自應用程式 API 連接器的記錄。
  • 應用程式連接器分析 - 根據 API 連接器掃描的資訊來 Defender for Cloud Apps 擴充。

• 使用者 – 執行活動的使用者，可以篩選成網域、群組、名稱或組織。 若要篩選沒有特定用戶的活動，您可以使用 『is not set』 運算子。

  • 用戶網域 - 搜尋特定使用者網域。
  • 用戶組織 – 執行活動之用戶的組織單位，例如，由EMEA_marketing用戶執行的所有活動。 這僅與使用組織單位連線的Google Workspace實例有關。
  • 使用者群組 – 您可以從連線應用程式匯入的特定使用者群組，例如Microsoft 365 個系統管理員。
  • 用戶名稱 - 搜尋特定用戶名稱。 若要查看特定使用者群組中的使用者清單，請在 [ 活動] 選單中選取使用者群組的名稱。 按兩下會帶您前往 [帳戶] 頁面，其中會列出群組中的所有使用者。 您可以從該處向下切入至群組中特定使用者帳戶的詳細數據。
  • 您可以使用 [身分] 篩選器並選取使用者的角色，進一步篩選 [使用者群組] 和 [使用者名稱] 篩選，這可以是下列其中一項：
    • 僅限活動物件 - 表示選取的用戶或使用者群組未執行有問題的活動;它們是活動的物件。
    • 僅限動作專案 - 表示使用者或使用者群組已執行活動。
    • 任何角色 - 這表示使用者或使用者群組是以執行活動的人員或活動物件的身分參與活動。

• 使用者代理程式 – 已執行來自 與 活動之 的使用者代理程式。

• 使用者代理程式標籤 – 內建的使用者代理程式標籤，例如來自過時作業系統或過期瀏覽器的所有活動。

活動查詢

若要讓調查更簡單，您現在可以建立自定義查詢，並加以儲存以供稍後使用。

1. 在 [ 活動記錄] 頁面中，使用如上所述的篩選條件，視需要向下切入您的應用程式。

1. 完成查詢建置之後，請選取 [ 另存新 檔] 按鈕。

2. 在 [ 儲存查詢 ] 彈出視窗中，將您的查詢命名為 。

   

3. 若要在未來再次使用此查詢，請在 [ 查詢] 下，向下捲動至 [已 儲存的查詢 ]，然後選取您的查詢。

   

Defender for Cloud Apps 也會為您提供建議的查詢。 建議的查詢可為您提供可篩選活動的建議調查途徑。 您可以編輯這些查詢，並將其儲存為自定義查詢。 以下是選擇性的建議查詢：

• 管理員 活動 - 篩選所有活動，只顯示與系統管理員相關的活動。

• 下載活動 - 篩選所有活動，只顯示已下載活動的活動，包括將使用者清單下載為 .csv 檔案、下載共享內容，以及下載資料夾。

• 登入失敗 - 篩選您的所有活動，只顯示透過 SSO 登入失敗和登入失敗

• 檔案和資料夾活動 - 篩選所有活動，只顯示與檔案和資料夾有關的活動。 篩選包括上傳、下載和存取資料夾，以及建立、刪除、上傳、下載、隔離和存取檔案及傳輸內容。

• 模擬活動 - 篩選所有活動，只顯示模擬活動。

• 密碼變更和重設要求 - 篩選所有活動，只顯示涉及密碼重設、變更密碼，以及強制使用者在下次登入時變更密碼的活動。

• 共用活動 - 篩選您的所有活動，只顯示與共用資料夾和檔案相關的活動，包括建立公司連結、建立匿名連結，以及授與讀取/寫入許可權。

• 成功登入 - 篩選所有活動，只顯示涉及成功登入的活動，包括模擬動作、模擬登入、單一登錄登入，以及從新裝置登入。

此外，您可以使用建議的查詢作為新查詢的起點。 首先，選取其中一個建議的查詢。 然後，視需要進行變更，最後選取 [ 另存新檔] 以建立新的 [已儲存] 查詢。

六個月前的查詢活動

若要調查超過 30 天的活動，您可以瀏覽至 活動記錄 ，然後選取畫面右上角的 [ 調查 6 個月 ]：

您可以從該處定義篩選條件，就像使用 活動記錄一般一樣，但有下列差異：

• 日期篩選是強制性的，且限制為一周範圍。 這表示，雖然您可以查詢最多六個月的活動，但一次只能查詢一周。

• 只有下列欄位支援查詢 30 天以上：

  • 活動標識碼
  • 活動類型
  • 動作類型
  • 應用程式
  • IP 位址
  • 位置
  • 使用者名稱

例如：

匯出活動六個月後 (預覽)

按兩下左上角的 [匯出] 按鈕，即可匯出最多六個月的所有活動

匯出數據時，您可以選擇最多六個月的日期範圍，並能夠排除私人活動。
導出的檔案限制為 100,000 筆記錄，且為 CSV 格式。

結果檔案可在導出 的報表下存取。 用戶可以流覽至 Microsoft 365 Defender 入口網站中的 [報表 -> Cloud Apps ]，以檢視導出程式的狀態並存取過去的導出。
包含私人活動的報表將會在報表頁面中以眼睛圖示。

後續步驟

保護組織的最佳做法