Udostępnij przez

Badanie działań

Microsoft Defender for Cloud Apps zapewnia wgląd we wszystkie działania z połączonych aplikacji. Po nawiązaniu połączenia Defender for Cloud Apps z aplikacją przy użyciu łącznika aplikacji Defender for Cloud Apps skanuje wszystkie działania, które wystąpiły — okres skanowania wstecznego różni się w zależności od aplikacji — a następnie jest stale aktualizowany o nowe działania.

Uwaga

Typy działań (takie jak FileCreated, FileCreatedOnNetworkShare, ArchiveCreatedlub FileDeleted) i skojarzone z nimi dane pochodzą bezpośrednio z interfejsu API innej firmy połączonej aplikacji (na przykład Salesforce lub ServiceNow).

Microsoft Defender for Cloud Apps wyświetla te nazwy i typy działań dokładnie tak, jak odebrano i nie definiuje ani nie modyfikuje ich. Aby zrozumieć znaczenie działania, zapoznaj się z odpowiednią dokumentacją interfejsu API innych firm.

Typy akcji dla zdarzeń i działań są określane przez usługę źródłową, niezależnie od tego, czy jest to usługa pierwszej firmy, czy usługi innej firmy. Microsoft Defender for Cloud Apps (MDA) obsługuje szeroką gamę typów akcji i nie jest ograniczona do określonych typów. Aby uzyskać pełną listę działań platformy Microsoft 365 monitorowanych przez Defender for Cloud Apps, zobacz Przeszukiwanie dziennika inspekcji w portalu Usługi Microsoft Purview.

Dziennik aktywności można filtrować, aby umożliwić znajdowanie określonych działań. Tworzysz zasady na podstawie działań, a następnie definiujesz, o czym chcesz otrzymywać alerty i na których chcesz działać. Możesz wyszukać działania wykonywane dla niektórych plików. Typ działań i informacje, które otrzymujemy dla każdego działania, zależą od aplikacji i rodzaju danych, które aplikacja może dostarczyć.

Na przykład możesz użyć dziennika aktywności, aby znaleźć w organizacji użytkowników korzystających z nieaktuanych systemów operacyjnych lub przeglądarek: po połączeniu aplikacji z Defender for Cloud Apps na stronie dziennika aktywności użyj filtru zaawansowanego i wybierz pozycję Tag agenta użytkownika. Następnie wybierz pozycję Nieaktualna przeglądarka lub Nieaktualny system operacyjny.

Zrzut ekranu przedstawiający dziennik aktywności z nieaktualnym przykładem przeglądarki.

Podstawowy filtr udostępnia doskonałe narzędzia do rozpoczęcia filtrowania działań.

Zrzut ekranu przedstawiający podstawowy filtr dziennika aktywności.

Filtr podstawowy można rozwinąć, wybierając pozycję Filtry zaawansowane , aby przejść do bardziej szczegółowych działań.

Zrzut ekranu przedstawiający zaawansowany filtr dziennika aktywności.

Uwaga

  • Tag Starsza wersja jest dodawany do wszystkich zasad działania, które używają starszego filtru "użytkownik". Ten filtr nadal działa jak zwykle. Jeśli chcesz usunąć tag Starsza wersja, możesz usunąć filtr i ponownie dodać filtr przy użyciu nowego filtru Nazwa użytkownika .
  • W niektórych rzadkich przypadkach liczba zdarzeń przedstawionych w dzienniku aktywności może pokazywać nieco większą liczbę niż rzeczywista liczba zdarzeń, które mają zastosowanie do filtru i są prezentowane.

Szuflada Działanie

Praca z szufladą Działania

Więcej informacji o poszczególnych działaniach można wyświetlić, wybierając pozycję Działanie w dzienniku aktywności. Spowoduje to otwarcie szuflady Działania, która udostępnia następujące dodatkowe akcje i szczegółowe informacje dla każdego działania:

  • Dopasowane zasady: wybierz link Dopasowane zasady , aby wyświetlić listę zasad dopasowanych do tego działania.

  • Wyświetlanie danych pierwotnych: wybierz pozycję Wyświetl dane pierwotne , aby wyświetlić rzeczywiste dane odebrane z aplikacji.

  • Użytkownik: wybierz użytkownika, aby wyświetlić stronę użytkownika, który wykonał działanie.

  • Typ urządzenia: wybierz pozycję Typ urządzenia , aby wyświetlić nieprzetworzone dane agenta użytkownika.

  • Lokalizacja: wybierz lokalizację, aby wyświetlić lokalizację w Mapy Bing.

  • Kategoria i tagi adresów IP: wybierz tag IP, aby wyświetlić listę tagów IP znalezionych w tym działaniu. Następnie można filtrować według wszystkich działań pasujących do tego tagu.

Pola w szufladzie Działania zawierają kontekstowe linki do dodatkowych działań i przechodzenia do szczegółów, które można wykonać bezpośrednio z szuflady. Jeśli na przykład przesuniesz kursor obok kategorii adresów IP, możesz użyć ikony dodaj do filtru , aby filtrować. Aby natychmiast dodać adres IP do filtru bieżącej strony. Możesz również użyć ikony ustawień ikony koła zębatego, która pojawia się bezpośrednio na stronie ustawień niezbędnej do zmodyfikowania konfiguracji jednego z pól, takich jak grupy użytkowników.

Możesz również użyć ikon w górnej części karty, aby:

  • Wyświetlanie działań tego samego typu
  • Wyświetlanie wszystkich działań tego samego użytkownika
  • Wyświetlanie działań z tego samego adresu IP
  • Wyświetlanie działań z dokładnej lokalizacji geograficznej
  • Wyświetlanie działań z tego samego okresu (48 godzin)

Zrzut ekranu przedstawiający szufladę działań.

Aby uzyskać listę dostępnych akcji ładu, zobacz Akcje ładu działania.

Szczegółowe informacje o użytkownikach

Środowisko badania obejmuje szczegółowe informacje o działającym użytkowniku. Jednym kliknięciem możesz uzyskać kompleksowe omówienie użytkownika, w tym lokalizację, z której się połączył, liczbę otwartych alertów, z którymi się bierze, oraz informacje o metadanych.

Aby wyświetlić szczegółowe informacje o użytkowniku:

  1. Wybierz samo działanie w dzienniku aktywności.

  2. Następnie wybierz kartę Użytkownik .
    Wybranie jej powoduje otwarcie karty Użytkownik szuflady Działania zawiera następujące szczegółowe informacje o użytkowniku:

    • Otwórz alerty: liczba otwartych alertów, które dotyczą użytkownika.
    • Dopasowania: liczba dopasowań zasad dla plików należących do użytkownika.
    • Działania: liczba działań wykonywanych przez użytkownika w ciągu ostatnich 30 dni.
    • Kraje: liczba krajów, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.
    • Dostawcy usług internetowych: liczba dostawców usług internetowych, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.
    • Adresy IP: liczba adresów IP, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.

Zrzut ekranu przedstawiający szczegółowe informacje o użytkownikach, działania użytkowników i częste lokalizacje alertów dla aplikacji usługi Defender for Cloud.

Szczegółowe informacje o adresach IP

Ponieważ informacje o adresach IP są kluczowe dla prawie wszystkich badań, możesz wyświetlić szczegółowe informacje o adresach IP w szufladzie Działania. W ramach określonego działania możesz wybrać kartę Adres IP, aby wyświetlić skonsolidowane dane dotyczące adresu IP, w tym liczbę otwartych alertów dla określonego adresu IP, wykres trendu ostatnich działań i mapę lokalizacji. Umożliwia to łatwe przechodzenie do szczegółów podczas badania alertów o niemożliwych podróżach, na przykład. Ponadto można łatwo zrozumieć, gdzie był używany adres IP i czy był on zaangażowany w podejrzane działania. Możesz również wykonywać akcje bezpośrednio w szufladzie adresów IP, które umożliwiają tagowanie adresu IP jako ryzykownego, sieci VPN lub firmy w celu ułatwienia przyszłego badania i tworzenia zasad.

Aby wyświetlić szczegółowe informacje o adresach IP:

  1. Wybierz samo działanie w dzienniku aktywności.

  2. Następnie wybierz kartę Adres IP .

    Spowoduje to otwarcie karty Adres IP szuflady działania, która zawiera następujące szczegółowe informacje o adresie IP:

    • Otwórz alerty: liczba otwartych alertów, które obejmowały adres IP.

    • Działania: liczba działań wykonywanych przez adres IP w ciągu ostatnich 30 dni.

    • Lokalizacja IP: lokalizacje geograficzne, z których adres IP był połączony w ciągu ostatnich 30 dni.

    • Działania: liczba działań wykonanych z tego adresu IP w ciągu ostatnich 30 dni.

    • Administracja działań: liczba działań administracyjnych wykonanych z tego adresu IP w ciągu ostatnich 30 dni. Możesz wykonać następujące akcje dotyczące adresów IP:

      • Ustaw jako firmowy adres IP i dodaj do listy dozwolonych
      • Ustaw jako adres IP sieci VPN i dodaj do listy dozwolonych
      • Ustaw jako ryzykowny adres IP i dodaj do listy zablokowanych

Zrzut ekranu przedstawiający działania adresów IP z ostatnich 30 dni.

Uwaga

  • Wewnętrzne adresy IP IPv4 lub IPv6 poddawane inspekcji przez aplikacje w chmurze połączone z interfejsem API mogą wskazywać komunikację usług wewnętrznych w sieci aplikacji w chmurze i nie powinny być mylone z wewnętrznymi adresami IP z sieci źródłowej połączonej z urządzeniem, ponieważ aplikacja w chmurze nie jest uwidoczniona na wewnętrznych adresach IP urządzeń.
  • Aby uniknąć zgłaszania alertów o niemożliwych podróżach , gdy pracownicy łączą się ze swoich lokalizacji domowych za pośrednictwem firmowej sieci VPN, zaleca się tagowanie adresu IP jako sieci VPN.

Eksportowanie działań

Wszystkie działania użytkownika można wyeksportować do pliku CSV.

W dzienniku aktywności wybierz przycisk Eksportuj w lewym górnym rogu.

Zrzut ekranu przedstawiający przycisk eksportu w dzienniku aktywności.

Uwaga

Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania twoich zobowiązań wynikających z RODO. Jeśli szukasz ogólnych informacji na temat RODO, zobacz sekcję RODO w portalu zaufania usług.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.

  • Last updated on