סינון פעילויות יישומי ענן של Defender שאילתה

מאמר זה מספק תיאורים והוראות עבור יישומי ענן של Defender פעילות ושאילתות.

מסנני פעילות

להלן רשימה של מסנני הפעילות שניתן להחיל. רוב המסננים תומכים בערכים מרובים וב- NOT כדי לספק לך כלי רב-עוצמה ליצירת מדיניות.

• מזהה פעילות - חפש רק פעילויות ספציפיות לפי המזהה שלהן. מסנן זה שימושי כאשר אתה יישומי ענן של Microsoft Defender ל- SIEM (באמצעות סוכן SIEM) וברצונך להמשיך ולחקור התראות באמצעות יישומי ענן של Defender.

• אובייקטי פעילות – חפש את האובייקטים שעבורם בוצעה הפעילות. מסנן זה חל על קבצים, תיקיות, משתמשים או אובייקטי יישום.

  • מזהה אובייקט פעילות - המזהה של האובייקט (קובץ, תיקיה, משתמש או מזהה יישום).

  • פריט - מאפשר לך לחפש לפי השם או המזהה של אובייקט פעילות כלשהו (לדוגמה, שמות משתמשים, קבצים, פרמטרים, אתרים). עבור המסנן פריט אובייקט פעילות , באפשרותך לבחור אם לסנן פריטים המכילים,שווים או מתחיל בפריט הספציפי.

  הערה

  מסנן פריט אובייקט הפעילות של מדיניות הפעילות תומך באופרטור שווה בלבד.

• סוג פעולה - חפש פעולה ספציפית יותר שבוצעה ביישום.

• סוג פעילות - חפש את פעילות האפליקציה.

  הערה

  אפליקציות נוספות למסנן רק אם יש פעילות עבור יישום זה.

• פעילות מנהלית – חפש רק פעילויות ניהוליות.

  הערה

  יישומי ענן של Defender את כל פעילויות ה- GCP כפעילויות ניהוליות.

• מזהה התראה - חיפוש לפי מזהה התראה.

• אפליקציה – חפש רק פעילויות בתוך אפליקציות ספציפיות.

• פעולה שהוחלה - פעולת חיפוש על-ידי פיקוח שהוחלה: חסום, עקוף Proxy, פענוח, מוצפן, הצפנה נכשלה, ללא פעולה.

• Date – התאריך שבו התרחשה הפעילות. מסנן תומך בתאריכים לפני/אחרי ובטווח תאריכים.

• תגית מכשיר - חפש לפי Intune תואם, Microsoft Entra משולב מחובר אואישור לקוח חוקי.

• סוג מכשיר - חפש רק פעילויות שבוצעו באמצעות סוג מכשיר ספציפי. לדוגמה, חפש את כל הפעילויות ממכשירים ניידים, מחשבי PC או מחשבי Tablet.

• קבצים ותיקיות - חפש קבצים ותיקיות שעבורם בוצעה הפעילות.

  • מזהה קובץ - מאפשר לך לחפש לפי מזהה הקובץ שבו בוצעה הפעילות.
  • Name - מסננים לפי שמות הקבצים או התיקיות. באפשרותך לבחור אם השם מסתיים בערךהחיפוש שלך, שווה לו או מתחיל בו.
  • קבצים או תיקיות ספציפיים - באפשרותך לכלול או לא לכלול תיקיות או קבצים ספציפיים. באפשרותך לסנן את הרשימה לפי יישום, בעלים או שם קובץחלקי בעת בחירת קבצים או תיקיות.

• כתובת IP – כתובת ה- IP הגולמית, הקטגוריה או התגית שממנה בוצעה הפעילות.

  • כתובת IP גולמית - מאפשרת לך לחפש פעילויות שבוצעו בכתובות IP גולמיות או אותן. ה- IPs הגולמיות יכולות להיות שוות, לא שוות, להתחיל רצף מסוים או לא להתחיל רצף מסוים.
  • קטגוריית IP - הקטגוריה של כתובת ה- IP שממנה בוצעה הפעילות, לדוגמה, כל הפעילויות מטווח כתובות ה- IP הניהוליות. יש לקבוע את התצורה של הקטגוריות כך שיכלולו את כתובות ה- IP הרלוונטיות. ייתכן שחלק מה- IPs יהיו מחולקים לקטגוריות כברירת מחדל. לדוגמה, קיימות כתובות IP שנחשבות על-ידי מקורות בינת איומים של Microsoft לסווג ככתובות מסכנה. כדי ללמוד כיצד לקבוע את התצורה של קטגוריות ה- IP, ראה ארגון הנתונים בהתאם לצרכים שלך.
  • תג IP - התג של כתובת ה- IP שממנה בוצעה הפעילות, לדוגמה, כל הפעילויות מכתובות IP אנונימיות של Proxy. יישומי ענן של Defender יוצר ערכה של תגי IP מוכללים שלא ניתן לקבוע את תצורתם. בנוסף, באפשרותך להגדיר את תגי ה- IP שלך. לקבלת מידע נוסף אודות קביעת התצורה של תגי ה- IP שלך, ראה ארגון הנתונים בהתאם לצרכים שלך. תגיות ה- IP המוכללות כוללות את האפשרויות הבאות:
    • אפליקציות של Microsoft (14 מהן)
    • Proxy אנונימי
    • Botnet (תראה שהפעילות בוצעה על-ידי Botnet עם קישור לקבלת מידע נוסף על הבוט נט הספציפי)
    • סריקת IP של רשת כהה
    • Malware C&C server
    • מנתח קישוריות מרחוק (Remote Connectivity Analyzer)
    • ספקי לוויין
    • Proxy חכם וגישה ל- Proxy (נשאר מחוץ למטרה)
    • צמתי יציאה של Tor
    • לוח מקשים של Zscaler

• פעילות מתחזה - חפש רק פעילויות שבוצעו בשם של משתמש אחר.

• Instance - מופע היישום שבו בוצעה הפעילות או לא בוצעה.

• Location - המדינה/האזור שממנה בוצעה הפעילות.

• מדיניות תואמת - חפש פעילויות התואמות למדיניות ספציפית המוגדרת בפורטל.

• ISP רשום - ספק שירותי האינטרנט ממנו בוצעה הפעילות.

• Source - חפש לפי המקור שממנה זוהתה הפעילות. המקור יכול להיות כל אחת מהאפשרויות הבאות:

  • מחבר יישום - יומני רישום שמגיעים ישירות ממחבר ה- API של היישום.
  • ניתוח מחבר יישום - יישומי ענן של Defender חדשים בהתבסס על מידע שנסרק על-ידי מחבר ה- API.

• User - המשתמש שביצע את הפעילות, שניתן לסנן לתחום, לקבוצה, לשם או לארגון. כדי לסנן פעילויות ללא משתמש ספציפי, באפשרותך להשתמש באופרטור 'אינו מוגדר'.

  • תחום משתמש - חיפוש תחום משתמש ספציפי.
  • ארגון משתמשים - היחידה הארגונית של המשתמש שביצע את הפעילות, לדוגמה, כל הפעילויות שבוצעו על-ידי EMEA_marketing המשתמשים. הדבר רלוונטי רק למופעים מחוברים של Google Workspace באמצעות יחידות ארגוניות.
  • קבוצת משתמשים - קבוצות משתמשים ספציפיות שבאפשרותך לייבא מיישומים מחוברים, לדוגמה, מנהלי מערכת של Microsoft 365.
  • שם משתמש - חפש שם משתמש ספציפי. כדי לראות רשימה של משתמשים בקבוצת משתמשים ספציפית, במגירה פעילות, בחר את השם של קבוצת המשתמשים. לחיצה מעבירה אותך לדף חשבונות, המפרט את כל המשתמשים בקבוצה. משם, באפשרותך לבצע הסתעפות לפרטי החשבונות של משתמשים ספציפיים בקבוצה.
  • ניתן לסנן עוד יותר את המסננים 'קבוצת משתמש' ו'שם משתמש' באמצעות המסנן בתור ובחירה בתפקיד המשתמש, שעשוי להיות כל אחת מהאפשרויות הבאות:
    • אובייקט פעילות בלבד - כלומר המשתמש או קבוצת המשתמשים שנבחרו לא ביצעו את הפעילות הרלוונטית; הם היו האובייקט של הפעילות.
    • מעורר בלבד - כלומר המשתמש או קבוצת המשתמשים ביצעו את הפעילות.
    • כל תפקיד - כלומר המשתמש או קבוצת המשתמשים היה מעורב בפעילות, כאדם שביצע את הפעילות או אובייקט של הפעילות.

• סוכן משתמש - סוכן המשתמש של מתוך הפעילות בוצע.

• תג סוכן משתמש - תגית סוכן משתמש מוכללת, לדוגמה, כל הפעילויות ממערכות הפעלה מיושנים או דפדפנים מיושנים.

שאילתות פעילות

כדי להפוך את החקירה לפשוטה אף יותר, כעת באפשרותך ליצור שאילתות מותאמות אישית ולשמור אותן לשימוש עתידי.

1. בדף יומן הפעילות , השתמש במסננים כמתואר לעיל כדי לבצע הסתעפות לתוך האפליקציות שלך לפי הצורך.

   

2. לאחר שתסיים לבנות את השאילתה, בחר בלחצן שמור בשם.

3. בחלון המוקפץ שמור שאילתה, תן שם לשאילתה שלך.

   

4. כדי להשתמש שוב בשאילתה זו בעתיד, תחת שאילתות, גלול מטה אל שאילתות שנשמרו ובחר את השאילתה.

   

יישומי ענן של Defender גם מספק לך שאילתות מוצעות. שאילתות מוצעות מספקות לך אפשרויות חקירה מומלצות שמסנן את הפעילויות שלך. באפשרותך לערוך שאילתות אלה ולשמור אותן כשאילתות מותאמות אישית. להלן שאילתות מוצעות אופציונליות:

• מרכז הניהול פעילות - סינון כל הפעילויות שלך כדי להציג רק את הפעילויות הכוללות מנהלי מערכת.

• פעילויות הורדה - סינון כל הפעילויות שלך כדי להציג רק את הפעילויות שהורידו פעילויות, כולל הורדת רשימת משתמשים כקובץ .csv, הורדת תוכן משותף והורדת תיקיה.

• הכניסה נכשלה - סינון כל הפעילויות להצגת כניסה נכשלה בלבד הכניסה והיכנסות שנכשלו באמצעות SSO

• פעילויות קבצים ותיקיות - סינון כל הפעילויות שלך כדי להציג רק את הפעילויות הכוללות קבצים ותיקיות. המסנן כולל העלאה, הורדה וגישה לתיקיות, יחד עם יצירה, מחיקה, העלאה, הורדה, quarantining וגישה לקבצים והעברת תוכן.

• פעילויות התחזות - סינון כל הפעילויות שלך כדי להציג פעילויות התחזות בלבד.

• שינויי סיסמאות ובקשות לאיפוס - סינון כל הפעילויות שלך כדי להציג רק את הפעילויות הכוללות איפוס סיסמה, שינוי סיסמה ואלץ משתמש לשנות את הסיסמה בכניסה הבאה.

• פעילויות שיתוף - סינון כל הפעילויות שלך כדי להציג רק את הפעילויות הכוללות שיתוף תיקיות וקבצים, כולל יצירת קישור חברה, יצירת קישור אנונימי והענקת הרשאות קריאה/כתיבה.

• כניסה מוצלחת - סינון כל הפעילויות שלך כדי להציג רק את הפעילויות הכוללות כניסה מוצלחת, כולל פעולת התחזות, התחזות לכניסה, כניסה יחידה הכניסה והיכנס ממכשיר חדש.

  

בנוסף, באפשרותך להשתמש בשאילתות המוצעות כנקודת התחלה עבור שאילתה חדשה. תחילה, בחר אחת השאילתות המוצעות. לאחר מכן, בצע שינויים לפי הצורך ולבסוף בחר שמור בשם כדי ליצור שאילתה שמורה חדשה.

ביצוע שאילתות לפני שישה חודשים

כדי לחקור פעילויות שגילן עולה על 30 יום, באפשרותך לנווט ליומן הפעילות ולבחור באפשרות בדוק 6 חודשים אחורה בפינה השמאלית העליונה של המסך:

משם באפשרותך להגדיר את המסננים כפי ש מתבצע בדרך כלל ביומן הפעילות, עם ההבדלים הבאים:

• מסנן התאריכים הכרחי והוא מוגבל לתדירות של שבוע אחד. משמעות הדבר היא כי למרות שניתן לבצע שאילתה על פעילויות במשך עד שישה חודשים אחורה, ניתן לעשות זאת רק למשך שבוע אחד בכל פעם.

• שאילתה של יותר מ- 30 יום אחורה נתמכת עבור השדות הבאים בלבד:

  • מזהה פעילות
  • סוג פעילות
  • סוג פעולה
  • יישום
  • כתובת IP
  • מקום
  • שם משתמש

לדוגמה:

ייצוא פעילויות לפני שישה חודשים (תצוגה מקדימה)

באפשרותך לייצא את כל הפעילויות מששת החודשים האחרונים על-ידי לחיצה על לחצן יצא בפינה הימנית העליונה של דף יומן הפעילות.

הערה

הרשאות נדרשות עבור יכולות ייצוא: כדי להשתמש בתכונות הייצוא, יש להקצות למשתמשים אחד מהתפקידים הבאים:

• תפקידי מנהל מערכת מוכללים יישומי ענן של Defender- יש להעניק תפקידים אלה באמצעות יישומי ענן של Microsoft Defender הרשאות ותפקידים:
  • מידע מרכז הניהול
  • אפשרויות כלליות של גילוי מרכז הניהול
  • אופרטור אבטחה
  • בדיקת מרכז הניהול
  • קורא אבטחה
• מזהה Microsoft Entra תפקידים- יש להקצות תפקידים אלה מזהה Microsoft Entra תפקידים מוכללים:
  • מנהל מערכת כללי
  • מנהל אבטחה
  • אבטחת יישומי ענן מנהל מערכת
  • קורא כללי

בעת ייצוא נתונים:

• באפשרותך לבחור טווח תאריכים של עד שישה חודשים.
• באפשרותך לבחור לא לכלול פעילויות פרטיות.
• הקובץ המיוצא מוגבל ל- 100,000 רשומות ונמסר בתבנית CSV.

לאחר השלמת הייצוא, הקובץ זמין תחת דוחות מיוצאים.

כדי לגשת לקבצים מיוצאים לבדוק את מצב הייצוא, נווט אל דוחות -> יישומי ענן בפורטל Microsoft 365 Defender כדי להציג את המצב של תהליך הייצוא ולגשת לפעולות ייצוא קודמות.

דוחות הכוללים פעילויות פרטיות מסומנים באמצעות סמל עין בדף הדוחות.

השלבים הבאים

שיטות עבודה מומלצות להגנה על הארגון שלך