Freigeben über


Untersuchen von Aktivitäten

Microsoft Defender for Cloud Apps verschafft Ihnen Einblick in alle Aktivitäten aus Ihren verbundenen Apps. Nachdem Sie mithilfe des App-Connectors eine Verbindung zwischen Defender for Cloud Apps und einer App hergestellt haben, scannt Defender for Cloud Apps alle Aktivitäten, die durchgeführt wurden, wobei die rückwirkende Scanzeit je nach App abweicht, und wird anschließend ständig mit neuen Aktivitäten aktualisiert.

Hinweis

Eine vollständige Liste der von Defender for Cloud Apps überwachten Microsoft 365-Aktivitäten finden Sie unter Durchsuchen des Überwachungsprotokolls im Compliance Center

Um Ihnen die Suche nach bestimmten Aktivitäten zu erleichtern, kann das Aktivitätsprotokoll gefiltert werden. Sie erstellen Richtlinien auf Grundlage der Aktivitäten und definieren anschließend, worüber Sie Benachrichtigungen erhalten, und worauf Sie reagieren möchten. Sie können nach Aktivitäten suchen, die auf bestimmte Dateien ausgeführt wurden. Der Typ der Aktivitäten und die Informationen, die wir für jede Aktivität erhalten, hängt von der App und der Art von Daten ab, die die App bereitstellen kann.

Sie können beispielsweise das Aktivitätsprotokoll verwenden, um wie folgt Benutzer in Ihrer Organisation zu suchen, die veraltete Betriebssysteme oder Browser verwenden: Nachdem Sie eine Verbindung zwischen einer App und Defender for Cloud Apps hergestellt haben, verwenden Sie auf der Seite Aktivitätsprotokoll den erweiterten Filter, und wählen Sie User agent tag (Benutzer-Agent-Markierung) aus. Wählen Sie anschließend Outdated browser (Veralteter Browser) oder Outdated operating system (Veraltetes Betriebssystem) aus.

Beispiel für Aktivität „Outdated Browser“ (Veralteter Browser).

Über den Standardfilter stehen Ihnen hervorragende Tools für den Einstieg in das Filtern von Aktivitäten zur Verfügung.

Standard-Aktivitätsprotokollfilter.

Um den Standardfilter zu verfeinern und spezifischere Aktivitäten anzuzeigen, wählen Sie Erweiterte Filter aus.

Erweiterter Aktivitätsprotokollfilter.

Hinweis

  • Allen Aktivitätsrichtlinien, die den älteren Filter „Benutzer“ verwenden, wird das Legacy-Tag hinzugefügt. Dieser Filter wird weiterhin wie gewohnt funktionieren. Wenn Sie das Legacy-Tag entfernen möchten, können Sie den Filter entfernen und mit dem neuen Filter Benutzername wieder hinzufügen.

  • In einigen seltenen Fällen kann die Anzahl der im Aktivitätsprotokoll dargestellten Ereignisse eine etwas höhere Zahl als die reelle Anzahl von Ereignissen zeigen, die für den Filter gelten und präsentiert werden.

Detailansicht für Aktivitäten

Arbeiten mit der Detailansicht für Aktivitäten

Sie können mehr Informationen zu jeder Aktivität anzeigen, indem Sie im Aktivitätsprotokoll auf die Aktivität selbst klicken. Dadurch öffnet sich der Aktivitäts-Drawer, der die folgenden zusätzlichen Aktionen und Einblicke für jede Aktivität bereitstellt:

  • Übereinstimmende Richtlinien: Klicken Sie auf die übereinstimmenden Richtlinien, um eine Liste mit Richtlinien anzuzeigen, zu denen die Aktivität passt.

  • Rohdaten anzeigen: Klicken Sie auf Rohdaten anzeigen, um sich die tatsächlichen Daten anzeigen zu lassen, die von der App empfangen wurden.

  • Benutzer: Klicken Sie auf den Benutzer, um die Benutzerseite für den Benutzer anzuzeigen, der die Aktivität ausgeführt hat.

  • Gerätetyp: Klicken Sie auf den Gerätetyp, um die Rohdaten zum Benutzer-Agent anzuzeigen.

  • Speicherort: Klicken Sie auf den Speicherort, um diesen in Bing Karten anzuzeigen.

  • Kategorie und Tags der IP-Adresse: Klicken Sie auf das IP-Tag, um die Liste der IP-Tags anzuzeigen, die für diese Aktivität gefunden wurden. Sie können dann nach allen Aktivitäten filtern, die diesem Tag entsprechen.

Die Felder im Aktivitätsdrawer bieten kontextbezogene Links zu zusätzlichen Aktivitäten und Drilldowns, die Sie möglicherweise direkt in dem Drawer ausführen möchten. Wenn Sie z. B. den Cursor neben die Kategorie der IP-Adresse bewegen, können Sie das Symbol Zu Filtersymbol hinzufügenZu Filter hinzufügen. verwenden, um die IP-Adresse sofort zum Filter der aktuellen Seite hinzuzufügen. Sie können auch das eingeblendete Zahnrad-Symbol Einstellungen verwenden, um direkt auf die Einstellungsseite zu gelangen. Dort können Sie die Konfiguration eines der Felder ändern, wie z. B. Benutzergruppen.

Sie können auch die Symbole am oberen Rand der Registerkarte für folgende Aktivitäten verwenden:

  • Anzeigen von Aktivitäten desselben Typs
  • Anzeigen aller Aktivitäten desselben Benutzers
  • Anzeigen von Aktivitäten von derselben IP-Adresse
  • Anzeigen von Aktivitäten vom genauen geografischen Standort
  • Anzeigen von Aktivitäten im selben Zeitraum (48 Stunden)

Detailansicht für Aktivität.

Eine Liste der verfügbaren Governanceaktionen finden Sie unter Activity governance actions (Aktivitätsgovernanceaktionen).

Einblicke in Benutzer

Durch den Untersuchungsvorgang können Sie jetzt aktuelle Einblicke in den aktiven Benutzer erhalten. Mit nur einem Klick können Sie sich einen umfassenden Überblick über den Benutzer verschaffen: Von wo aus hat er eine Verbindung herstellt, ist er in offenen Warnungen involviert, und wie lauten seine Metadateninformationen?

So erhalten Sie Einblick in die Informationen des Benutzers:

  1. Klicken Sie im Aktivitätsprotokoll auf die Aktivität.

  2. Wählen Sie anschließend den Benutzer Tab aus.
    Die Registerkarte Benutzer mit der Detailansicht für Aktivitäten wird geöffnet und gibt Ihnen Einblicke in die folgenden Benutzerinformationen:

    • Ausstehende Warnungen: Die Zahl an ausstehenden Warnungen, in die der Benutzer involviert ist.
    • Matches: Die Zahl von Übereinstimmungen der Richtlinie mit Dateien des Benutzers.
    • Aktivitäten: Die Zahl von Aktivitäten, die vom Benutzer in den letzten 30 Tagen ausgeführt wurden.
    • Länder: Die Zahl von Ländern, aus denen der Benutzer in den letzten 30 Tagen verbunden war.
    • ISPs: Die Zahl von ISPs, aus denen der Benutzer in den letzten 30 Tagen verbunden war.
    • IP-Adressen: Die Zahl von IP-Adressen, mit denen der Benutzer in den letzten 30 Tagen verbunden war.

Benutzererkenntnisse in Defender for Cloud-Apps.

Einblicke in IP-Adressen

Da die IP-Adressinformationen für fast alle Untersuchungen von entscheidender Bedeutung sind, können Sie detaillierte Informationen zu IP-Adressen im Aktivitäts-Drawer anzeigen. Innerhalb einer bestimmten Aktivität können Sie auf die Registerkarte „IP-Adresse“ klicken, um konsolidierte Daten zur IP-Adresse (z. B. die Anzahl der offenen Benachrichtigungen für die spezifische IP-Adresse, ein Trenddiagramm für die letzten Aktivitäten und eine Standortzuordnung) anzuzeigen. Dies ermöglicht einfaches Verfeinern der Informationen, wenn Sie beispielsweise Warnungen zu unmöglichen Ortswechseln untersuchen. Sie können außerdem einfach nachvollziehen, wo die IP-Adresse verwendet wurde, und ob sie bei verdächtigen Aktivitäten involviert war. Sie können auch Aktionen direkt im Drawer für den IP-Adressbereich ausführen, der es Ihnen ermöglicht, eine IP-Adresse als riskante, VPN- oder Unternehmens-IP zu markieren, um zukünftige Untersuchungen und Richtlinienerstellungen zu vereinfachen.

So zeigen Sie Einblicke in IP-Adressen an:

  1. Klicken Sie im Aktivitätsprotokoll auf die Aktivität.

  2. Wählen Sie dann die Registerkarte IP-Adresse aus.

    Die Registerkarte IP-Adresse des Aktivitätsdrawers wird geöffnet und bietet die folgenden Informationen zur IP-Adresse:

    • Ausstehende Warnungen: Die Anzahl an ausstehenden Warnungen, in die die IP-Adresse involviert ist.

    • Aktivitäten: Die Anzahl von Aktivitäten, die von der IP-Adresse innerhalb der letzten 30 Tage ausgeführt wurden.

    • IP-Standort: Die geografischen Standorte, von denen aus die IP-Adresse innerhalb der letzten 30 Tage eine Verbindung hergestellt hat.

    • Aktivitäten: Die Anzahl von Aktivitäten, die von dieser IP-Adresse innerhalb der letzten 30 Tage ausgeführt wurden.

    • Administratoraktivitäten: Die Anzahl von Verwaltungsaktivitäten, die von dieser IP-Adresse innerhalb der letzten 30 Tage ausgeführt wurden. Sie können die folgenden Aktionen für IP-Adressen ausführen:

      • Markieren als Unternehmens-IP und Hinzufügen zur Zulassungsliste
      • Markieren als VPN-IP-Adresse und Hinzufügen zur Zulassungsliste
      • Markieren als riskante IP-Adresse und Hinzufügen zur Sperrliste

IP-Adressenerkenntnisse in Defender for Cloud-Apps.

Hinweis

  • Interne IPv4- oder IPv6-IP-Adressen, die von den mit der API verbundenen Cloudanwendungen überwacht werden, können interne Dienstekommunikation innerhalb des Netzwerks der Cloudanwendung angeben und sollten nicht mit internen IPs aus dem Quellnetzwerk verwechselt werden, von dem das Gerät verbunden ist, da die Cloudanwendung nicht den internen IPs der Geräte verfügbar gemacht wird.
  • Um zu vermeiden, dass die Warnung Unmöglicher Ortswechsel ausgelöst wird, wenn sich Mitarbeiter von ihrem Heimstandort aus über das Unternehmens-VPN verbinden, wird empfohlen, die IP-Adresse als VPN zu kennzeichnen.

Exportieren von Aktivitäten

Sie können alle Benutzeraktivitäten in eine CSV-Datei exportieren.

Klicken Sie im Activity log (Aktivitätsprotokoll) oben links auf die Schaltfläche Export (Exportieren).

Schaltfläche „Exportieren“.

Hinweis

Dieser Artikel enthält Schritte zum Löschen von persönlichen Daten vom Gerät oder aus dem Dienst und kann zur Unterstützung Ihrer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) verwendet werden. Allgemeine Informationen zur DSGVO finden Sie unter GDPR section of the Service Trust portal (DSGVO-Bereich des Service Trust Portals).

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.