Filtern und Abfragen von Defender for Cloud Apps-Aktivitäten
Dieser Artikel enthält Beschreibungen und Anweisungen für Aktivitätsfilter und -abfragen für Defender for Cloud Apps.
Aktivitätsfilter
Es folgt eine Liste der Aktivitätsfilter, die angewendet werden können. Die meisten Filter unterstützen mehrere Werte sowie die Klasse NOT, sodass Ihnen ein äußerst leistungsstarkes Tool für das Erstellen von Richtlinien zur Verfügung steht.
Aktivitäts-ID – Nur anhand ihrer ID nach bestimmten Aktivitäten suchen. Dieser Filter ist nützlich, wenn Sie eine Verbindung zwischen Microsoft Defender for Cloud Apps und Ihrem SIEM (mit SIEM-Agent) herstellen und Warnungen im Defender for Cloud Apps-Portal näher untersuchen möchten.
Aktivitätsobjekte: Nach den Objekten suchen, auf die die Aktivität ausgeführt wurde. Dieser Filter wird auf Dateien, Ordner, Benutzer oder App-Objekte angewendet.
Aktivitäts-Objekt-ID – Die ID des Objekts (Datei-, Ordner-, Benutzer- oder App-ID).
Artikel: Damit können Sie nach Name oder ID eines jeden Aktivitätsobjekts suchen (z. B. Benutzernamen, Dateien, Parameter, Websites). Beim Filter Aktivitätsobjektelement können Sie auswählen, ob Sie nach Elementen filtern möchten, für die folgende Bedingungen in Bezug auf ein bestimmtes Element gelten: Enthält, Gleich oder Beginnt mit.
Aktionstyp – Suchen Sie nach einer spezifischeren Aktion, die in einer App ausgeführt wird.
Aktivitätstyp: Suche nach App-Aktivität.
Hinweis
Apps werden dem Filter nur hinzugefügt, wenn für diese App Aktivitäten vorhanden sind.
Administrative Aktivität – Nur nach administrativen Aktivitäten suchen.
Hinweis
Defender for Cloud Apps kann Administrative Aktivitäten der Google Cloud Platform (GCP) nicht als administrative Aktivitäten markieren.
Warnungs-ID: Suche nach Warnungs-ID.
App – Nur in bestimmten Apps nach Aktivitäten suchen.
Angewendete Aktion: Suche nach angewendeter Governanceaktion (blockiert, Proxy umgehen, entschlüsselt, verschlüsselt, Verschlüsselungsfehler, keine Aktion).
Datum – Datum, an dem die Aktivität aufgetreten ist. Der Filter unterstützt Davor/Danach-Datumsangaben und Datumsbereiche.
Gerätetag – Suche nach Intune-konformen, in Microsoft Entra hybrid eingebundenen oder gültigen Clientzertifikaten.
Gerätetyp: Nur nach Aktivitäten suchen, die mit einem bestimmten Gerätetyp ausgeführt wurden. Suchen Sie z. B. alle Aktivitäten, die von mobilen Geräten, PCs oder Tablets ausgeführt wurden.
Dateien und Ordner – Nach Dateien und Ordnern suchen, auf denen die Aktivität ausgeführt wurde.
- Datei-ID – Ermöglicht die Suche nach der Datei-ID, für die die Aktivität ausgeführt wurde.
- Name – Filtert nach dem Namen der Dateien oder Ordner. Sie können auswählen, ob der Name mit Ihrem Suchwert endet, diesem entspricht oder mit ihm beginnt.
- Bestimmte Dateien oder Ordner – Ermöglicht Ihnen, bestimmte Dateien oder Ordner ein- oder auszuschließen. Wenn Sie Dateien oder Ordner auswählen, können Sie die Liste nach App, Besitzer oder Dateinamensteil filtern.
IP-Adresse: Die unformatierte IP-Adresse, Kategorie oder der unformatierte Tag, über die bzw. das die Aktivität ausgeführt wurde.
- Unformatierte IP-Adresse: Mit der unformatierten IP-Adresse können Sie nach Aktivitäten suchen, die für oder von unformatierten IP-Adressen durchgeführt werden. Die unformatierte IP-Adresse kann mit einer bestimmten Sequenz übereinstimmen, nicht übereinstimmen, mit dieser beginnen oder nicht mit dieser beginnen.
- IP-Kategorie: Die Kategorie der IP-Adresse, von der die Aktivität ausgeführt wurde, z. B. alle von einem administrativen IP-Adressbereich ausgeführten Aktivitäten. Die Kategorien müssen so konfiguriert werden, dass sie die relevanten IP-Adressen enthalten. Einige IPs werden möglicherweise standardmäßig kategorisiert. Beispielsweise gibt es IP-Adressen, die von Microsoft Threat Intelligence-Quellen als riskant kategorisiert werden. Informationen zum Konfigurieren der IP-Kategorien finden Sie unter Strukturieren der Daten gemäß Ihren Anforderungen.
- IP-Tag – Das Tag der IP-Adresse, von der aus die Aktivität ausgeführt wurde, z. B. alle Aktivitäten, die von anonymen Proxy-IP-Adressen aus ausgeführt wurden. Defender for Cloud Apps erstellt eine Reihe integrierter IP-Tags, die nicht konfiguriert werden können. Darüber hinaus können Sie eigene IP-Tags konfigurieren. Weitere Informationen zum Konfigurieren eigener IP-Tags finden Sie unter Strukturieren der Daten gemäß Ihren Anforderungen.
Integrierte IP Kategorien sind z. B. unter anderem:
- Microsoft-Apps (14 von ihnen)
- Anonyme Proxys
- Botnet (es wird angezeigt, dass die Aktivität von einem Botnet ausgeführt wurde, und Sie erhalten einen Link mit weiteren Informationen zum jeweiligen Botnet)
- Darknet-IP-Überprüfung
- Malware C&C Server
- Remoteverbindungsuntersuchung
- Satellitenanbieter
- Smartproxy und Zugriffsproxy (absichtlich ausgelassen)
- Tor-Endknoten
- Zscaler
Aktivität mit Identitätswechsel – Nur nach Aktivitäten suchen, die im Namen eines anderen Benutzers ausgeführt wurden.
Instanz – die App-Instanz, für die die Aktivität ausgeführt oder nicht ausgeführt wurde.
Standort – Das Land/die Region, von dem/r aus die Aktivität ausgeführt wurde.
Übereinstimmende Richtlinie – Suchen nach Aktivitäten, die mit einer bestimmten Richtlinie übereinstimmen, die im Portal festgelegt wurde.
Registrierter ISP – Der ISP, von dem aus die Aktivität ausgeführt wurde.
Quelle: Suche nach der Quelle, von der die Aktivität erkannt wurde. Als Quelle kommen alle folgenden infrage:
- App-Connector – Protokolle, die direkt vom API-Connector der App stammen.
- App-Connector-Analyse – Sicherheit für Defender for Cloud Apps-Erweiterungen auf Grundlage der Informationsüberprüfung durch den API-Connector.
Benutzer: Der Benutzer, der die Aktivität ausgeführt hat, wobei nach Domäne, Gruppe, Name oder Organisation gefiltert werden kann. Um Aktivitäten ohne bestimmten Benutzer zu filtern, können Sie den Operator „Nicht festgelegt“ verwenden.
- Benutzerdomäne: Suche nach einer bestimmten Benutzerdomäne.
- Benutzerorganisation – Die Organisationseinheit des Benutzers, der die Aktivität ausgeführt hat, z. B. alle von EMEA_Marketingbenutzern ausgeführten Aktivitäten. Dies ist nur für verbundene Google Workspace-Instanzen mit Organisationseinheiten relevant.
- Benutzergruppe: Bestimmte Benutzergruppen, die Sie von verbundenen Apps importieren können, z. B. Microsoft 365-Administratoren.
- Benutzername: Suche nach einem bestimmten Benutzernamen. Um eine Liste von Benutzern in einer bestimmten Benutzergruppe anzeigen zu können, klicken Sie in der Detailansicht für Aktivität auf den Namen der Benutzergruppe. Durch Klicken gelangen Sie zu der Seite „Konten“, auf der alle Benutzer in der Gruppe aufgeführt sind. Von dort aus können Sie ein Drilldown auf die Details der Konten bestimmter Benutzer in der Gruppe ausführen.
- Die Filter Benutzergruppe und Benutzername können mithilfe des Filters As (Als) weiter gefiltert werden und wählen die Rolle des Benutzers aus, der folgendermaßen aussehen kann:
- Nur Aktivitätsobjekt – Dies bedeutet, dass der ausgewählte Benutzer oder die ausgewählte Benutzergruppe nicht die entsprechende Aktivität ausgeführt haben sonder das Objekt der Aktivität waren.
- Nur Akteur – Dies bedeutet, dass der Benutzer oder die Benutzergruppe die Aktivität ausgeführt hat.
- Jede Rolle – Dies bedeutet, dass der Benutzer oder die Benutzergruppe in der Aktivität involviert war, entweder als Person, die die Aktivität ausgeführt hat oder als Objekt der Aktivität.
Benutzer-Agent – Der Benutzer-Agent, von dem aus die Aktivität ausgeführt wurde.
Benutzer-Agent-Tag – Integriertes Benutzer-Agent-Tag, z. B. alle Aktivitäten, die über veraltete Betriebssysteme oder veraltete Browser ausgeführt wurden.
Aktivitätsabfragen
Sie können jetzt benutzerdefinierte Abfragen erstellen und diese für die spätere Verwendung speichern, um die Überprüfung einfacher zu gestalten.
- Verwenden Sie auf der Seite Aktivitätsprotokoll die obenstehend beschriebenen Filter, um nach Bedarf einen Drilldown in Ihren Apps auszuführen.
Nachdem Sie die Abfrage erstellt haben, klicken Sie auf die Schaltfläche Speichern unter in der oberen rechten Ecke der Filter.
Benennen Sie im Popupfenster Abfrage speichern Ihre Abfrage.
Scrollen Sie unter Abfragen zu Gespeicherte Abfragen, und wählen Sie Ihre Abfrage aus, um sie zu einem späteren Zeitpunkt wiederzuverwenden.
Defender for Cloud Apps stellt ebenso die vorgeschlagenen Abfragen bereit. Über die vorgeschlagenen Abfragen erfahren Sie mehr über Möglichkeiten zum Filtern Ihrer Aktivitäten. Sie können diese Abfragen bearbeiten und als benutzerdefinierte Abfragen speichern. Im folgenden finden Sie optionale vorgeschlagene Abfragen:
Administratoraktivitäten: filtert Ihre gesamten Aktivitäten, sodass nur die Aktivitäten angezeigt werden, an denen Administratoren beteiligt sind.
Downloadaktivitäten: filtert Ihre gesamten Aktivitäten, sodass nur die Downloadaktivitäten angezeigt werden, einschließlich der Liste der Benutzer der Downloads als CSV-Datei. Außerdem werden freigegebene Inhalte und ein Ordner heruntergeladen.
Fehler bei der Anmeldung: filtert Ihre gesamten Aktivitäten, sodass nur fehlgeschlagene Anmeldungen über SSO angezeigt werden
Datei- und Ordneraktivitäten: filtert Ihre gesamten Aktivitäten, sodass nur die Aktivitäten angezeigt werden, an denen Dateien und Ordner beteiligt sind. Der Filter enthält den Upload, Download und den Zugriff auf Ordner, dazu noch das Erstellen, Löschen, Hochladen, Herunterladen, unter Quarantäne stellen und den Zugriff auf Dateien und die Übertragung von Inhalt.
Identitätsaktivitäten: filtert Ihre gesamten Aktivitäten, sodass nur Identitätsaktivitäten angezeigt werden.
Kennwortänderungen und Anforderungen zum Zurücksetzen: filtert Ihre gesamten Aktivitäten, sodass nur die Aktivitäten angezeigt werden, im Rahmen derer ein Kennwort zurückgesetzt, geändert oder ein Benutzer aufgefordert wurde, bei der nächsten Anmeldung sein Kennwort zu ändern.
Freigabeaktivitäten: filtert alle Aktivitäten, sodass nur die Aktivitäten angezeigt werden, bei denen Ordner und Dateien freigegeben werden. Dies umfasst auch das Erstellen eines Unternehmenslinks, eines anonymen Links und das Erteilen von Lese- und Schreibberechtigungen.
Erfolgreiche Anmeldung: filtert Ihre gesamten Aktivitäten, sodass nur die Aktivitäten angezeigt werden, die erfolgreiche Anmeldungen umfassen. Dies umfasst auch Aktionen oder Anmeldungen, bei denen die Identität gewechselt wird, Anmeldungen über einmaliges Anmelden und das Anmelden über neue Geräte.
Außerdem können Sie die vorgeschlagenen Abfragen als Startpunkt für eine neue Abfrage verwenden. Wählen Sie zunächst eine der vorgeschlagenen Abfragen aus. Nehmen Sie dann die erforderlichen Änderungen vor, und klicken Sie zuletzt auf Speichern unter, um eine neue gespeicherte Abfrage zu erstellen.
Abfrageaktivitäten sechs Monate zurück
Um Aktivitäten zu untersuchen, die älter als 30 Tage sind, können Sie zum Aktivitätsprotokoll navigieren und 6 Monate zurück in der oberen rechten Ecke des Bildschirms untersuchen:
Von dort aus können Sie die Filter wie gewohnt mit dem Aktivitätsprotokoll definieren, aber mit den folgenden Unterschieden:
Der Datumsfilter ist obligatorisch und auf einen Zeitraum von einer Woche beschränkt. Das bedeutet, dass Sie Aktivitäten zwar bis zu sechs Monate zurück abfragen können, jedoch jeweils nur für einen Zeitraum von einer Woche.
Das Abfragen von mehr als 30 Tagen zurück wird nur für die folgenden Felder unterstützt:
- Aktivitäts-ID
- Aktivitätstyp
- Aktionstyp
- Application
- IP-Adresse
- Location
- Benutzername
Zum Beispiel:
Exportieren der Aktivitäten der letzten sechs Monate (Vorschauversion)
Sie können alle Aktivitäten der letzten sechs Monate exportieren, indem Sie auf die Schaltfläche „Exportieren“ in der oberen linken Ecke klicken.
Beim Exportieren von Daten können Sie einen Datumsbereich von bis zu sechs Monaten auswählen und private Aktivitäten ausschließen.
Die exportierte Datei ist auf 100.000 Datensätze beschränkt und weist den CSV-Format auf.
Auf die Ergebnisdatei kann unter Exportierte Berichte zugegriffen werden. Benutzer können zu Berichte -> Cloud-Apps im Microsoft 365 Defender-Portal wechseln, um den Status des Exportvorgangs anzuzeigen und auf vergangene Exporte zuzugreifen.
Berichte, die private Aktivitäten enthalten, werden auf der Berichtsseite mit einem Augensymbol gekennzeichnet.