共用方式為

調查活動

Microsoft Defender for Cloud Apps 可讓您查看連線應用程式中的所有活動。 使用應用程式連接器將 Defender for Cloud Apps 連線到應用程式之後,Defender for Cloud Apps 會掃描所有發生的活動 (回溯掃描期間會因應用程式而異) ,然後會持續更新為新的活動。

注意事項

活動類型 ((例如 FileCreatedFileCreatedOnNetworkShareArchiveCreated或) FileDeleted ) 及其相關聯的資料直接來自連線應用程式的協力廠商 API (例如 Salesforce 或 ServiceNow) 。

Microsoft Defender for Cloud Apps 會完全顯示這些活動名稱和類型,且不會定義或修改它們。 若要瞭解活動的意義,請參閱相關的協力廠商API檔案。

事件和活動的動作類型由來源服務決定,無論是第一方服務還是第三方服務。 Microsoft Defender for Cloud Apps (MDA) 支援多種動作類型,且不限於特定動作類型。 如需 Defender for Cloud Apps 所監視的 Microsoft 365 活動的完整清單,請參閱 在 Microsoft Purview 入口網站中搜尋稽核記錄

您可以篩選活動 記錄 檔,讓您尋找特定活動。 您可以根據活動建立原則,然後定義要收到警示並採取行動的內容。 您可以搜尋對特定檔案執行的活動。 活動類型以及我們為每項活動獲得的信息取決於應用程序以及應用程序可以提供的數據類型。

例如,您可以使用活動記錄來尋找組織中使用過期作業系統或瀏覽器的使用者,如下所示:在 [活動記錄] 頁面中將應用程式連線到適用於 Defender for Cloud Apps 之後,請使用進階篩選,然後選取 [使用者代理程式標籤]。 然後選擇 過時的瀏覽器過時的作業系統

螢幕擷取畫面,顯示活動記錄檔,其中包含過時的瀏覽器範例。

基本過濾器提供了開始過濾活動的絕佳工具。

顯示基本活動記錄篩選器的螢幕擷取畫面。

您可以選取 進 階篩選器 以 向下切入至更具體的活動,以展開基本篩選器。

顯示進階活動記錄篩選器的螢幕擷取畫面。

注意事項

  • 舊版標籤會新增至使用舊版「使用者」篩選的任何活動原則。 此過濾器繼續照常工作。 如果您想要移除舊版標籤,您可以移除篩選器,然後使用新的 使用者名稱 篩選器再次新增篩選器。
  • 在極少數情況下,活動記錄檔中顯示的事件計數可能會顯示略高於套用至篩選條件並呈現的事件實際數目。

活動抽屜

使用活動抽屜

您可以在「活動記錄」中選取「活動」本身,以檢視每個活動的詳細資訊。 這會開啟 [活動] 抽屜,為每個活動提供下列其他動作和深入分析:

  • 相符的原則:選取 [ 相符的原則] 連結,以查看此活動相符的原則清單。

  • 檢視原始資料: 選取 檢視原始資料 以查看從應用程式接收的實際資料。

  • 使用者:選取使用者以檢視執行活動之使用者的使用者頁面。

  • 裝置類型:選取 [裝置類型 ] 以檢視原始使用者代理程式資料。

  • 位置:選取位置以在 Bing 地圖服務中檢視位置。

  • IP位址類別和標籤:選取IP標籤以檢視在此活動中找到的IP標籤清單。 然後,您可以依符合此標籤的所有活動進行篩選。

活動抽取器中的欄位提供您可能想要直接從抽屜執行的其他活動和向下切入的內容連結。 例如,如果您將游標移至 IP 位址類別旁邊,則可以使用 新增至篩選器 圖示 新增至篩選器。 立即將 IP 位址新增至目前頁面的篩選器。 您也可以使用彈出的設定齒輪圖示設定 圖示 ,直接到達修改其中一個欄位(例如 使用者群組)配置所需的設定頁面。

您也可以使用索引標籤頂端的圖示來:

  • 檢視相同類型的活動
  • 查看同一用戶的所有活動
  • 檢視來自相同 IP 位址的活動
  • 從確切地理位置查看活動
  • 查看 48 小時 (同一期間的活動)

顯示活動抽屜的螢幕擷取畫面。

如需可用治理動作的清單,請參閱 活動控管動作

用戶洞察

調查體驗包括有關代理使用者的見解。 只需單擊一下,您就可以全面了解用戶,包括他們從哪個位置連接、他們參與的打開警報數量以及他們的元數據信息。

若要檢視使用者深入分析:

  1. 「活動記錄」中選取「活動」本身。

  2. 然後選取 使用者 索引標籤。
    選取它會開啟 活動抽屜 使用者 索引標籤 提供下列使用者相關深入解析:

    • 開啟警示:涉及使用者的開啟警示數目。
    • 相符專案:使用者所擁有檔案的原則相符數目。
    • 活動:使用者在過去 30 天內執行的活動數。
    • 國家/地區:使用者在過去 30 天內連線的國家/地區數量。
    • ISP:使用者在過去 30 天內連線的 ISP 數目。
    • IP 位址:使用者在過去 30 天內連線的 IP 位址數目。

螢幕擷取畫面,顯示適用於雲端的 Defender 應用程式的使用者深入解析、使用者活動和頻繁警示位置。

IP 位址深入解析

由於 IP 位址資訊對於幾乎所有調查都至關重要,因此您可以在活動抽取器中檢視 IP 位址的詳細資訊。 在特定活動中,您可以選取 IP 位址索引標籤,以檢視有關 IP 位址的合併資料,包括特定 IP 位址的開啟警示數目、最近活動的趨勢圖,以及位置地圖。 例如,這可以在調查不可能的旅行警報時輕鬆向下切入。 此外,您還可以輕鬆了解 IP 位址的使用地點以及它是否涉及可疑活動。 您也可以直接在 IP 位址抽屜中執行動作,讓您將 IP 位址標記為有風險、VPN 或公司,以簡化未來的調查和原則建立。

若要檢視 IP 位址深入解析:

  1. 「活動記錄」中選取「活動」本身。

  2. 然後選取 IP 位址 索引標籤。

    這會開啟 活動抽屜 IP 位址 索引標籤,其中提供下列 IP 位址的深入解析:

    • 開啟警示:涉及 IP 位址的開啟警示數目。

    • 活動:IP 位址在過去 30 天內執行的活動數。

    • IP 位置:IP 位址在過去 30 天內連線的地理位置。

    • 活動:過去 30 天內從此 IP 位址執行的活動數。

    • 管理員活動:過去 30 天內從此 IP 位址執行的管理活動數目。 您可以執行下列 IP 位址動作:

      • 設定為公司 IP 並新增至允許清單
      • 設定為 VPN IP 位址並新增至允許清單
      • 設定為有風險的 IP 並新增至封鎖清單

顯示過去 30 天內 IP 位址活動的螢幕擷取畫面。

注意事項

  • 與 API 連線的雲端應用程式稽核的內部 IPv4 或 IPv6 IP 位址,可能會指出雲端應用程式網路內的內部服務通訊,而且不應與裝置連線來源網路的內部 IP 混淆,因為雲端應用程式不會公開給裝置的內部 IP。
  • 為避免員工透過公司 VPN 從家鄉連線時發出 不可能的旅行 警示,建議將 IP 位址標記為 VPN

匯出活動

您可以將所有使用者活動匯出至 CSV 檔案。

活動記錄中,選取左上角的 匯出 按鈕。

顯示活動記錄中匯出按鈕的螢幕擷取畫面。

注意事項

本文提供如何從裝置或服務中刪除個人資料的步驟,並可用來支援您在 GDPR 下的義務。 如果您要尋找 GDPR 的一般資訊,請參閱 服務信任入口網站的 GDPR 區段

後續步驟

保護組織的最佳做法

如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證

  • Last updated on