Tevékenységek

Cikk
10/20/2023

Felhőhöz készült Microsoft Defender Alkalmazások funkcióval áttekintheti a csatlakoztatott alkalmazások összes tevékenységét. Miután csatlakoztatta Felhőhöz készült Defender-alkalmazásokat egy alkalmazáshoz a Alkalmazás-összekötő használatával, a Felhőhöz készült Defender Apps megvizsgálja az összes történt tevékenységet – a visszamenőleges vizsgálati időszak alkalmazásonként eltér -, majd folyamatosan frissül az új tevékenységekkel.

Feljegyzés

Az Felhőhöz készült Defender Apps által figyelt Microsoft 365-tevékenységek teljes listájáért lásd: Keresés a naplózási naplóban a megfelelőségi központban.

A tevékenységnaplót szűrni lehet, így van lehetőség konkrét tevékenységek keresésére. A tevékenységek alapján szabályzatokat hozhat létre, majd meghatározhatja, hogy miről szeretne riasztást kapni, és hogyan kell eljárnia. Kereshet bizonyos fájlokon végrehajtott tevékenységek között. A tevékenységek típusa és az egyes tevékenységekkel kapcsolatban kapott információk az adott alkalmazástól és az általa kínált adatoktól függenek.

A Tevékenységnaplóval például megkeresheti a szervezet azon felhasználóit, akik elavult operációs rendszereket vagy böngészőket használnak: Miután csatlakoztatta az alkalmazást Felhőhöz készült Defender-alkalmazásokhoz a Tevékenységnapló lapon, használja a speciális szűrőt, és válassza a Felhasználói ügynök címkét. Ezután válassza az Outdated browser (Elavult böngésző) vagy az Outdated operating system (Elavult operációs rendszer) lehetőséget.

Activity outdated browser example.

Az alapszintű szűrő nagyszerű eszközöket biztosít a tevékenységek szűrésének megkezdéséhez.

basic activity log filter.

Az alapszintű szűrő kibontásához válassza a Speciális szűrők lehetőséget , hogy részletesebb tevékenységekre bontsa azokat.

advanced activity log filter.

Feljegyzés

Az örökölt címke hozzáadódik minden olyan tevékenységszabályzathoz, amely a régebbi "felhasználó" szűrőt használja. Ez a szűrő továbbra is a szokásos módon fog működni. Ha el szeretné távolítani az örökölt címkét, eltávolíthatja a szűrőt, és újból hozzáadhatja a szűrőt az új felhasználónév szűrővel.
Bizonyos ritka esetekben a tevékenységnaplóban bemutatott események száma valamivel magasabb lehet, mint a szűrőre vonatkozó és megjelenített események valós száma.

A Tevékenység fiók

A Tevékenység navigációs menü használata

Az egyes tevékenységekről további információkat is megtekinthet, ha magát a tevékenységet választja ki a Tevékenységnaplóban. Ekkor megnyílik a Tevékenység fiók, amely az alábbi további műveleteket és elemzéseket biztosítja az egyes tevékenységekhez:

Egyeztetett szabályzatok: A megfeleltetett szabályzatok hivatkozásra kattintva megtekintheti azoknak a szabályzatoknak a listáját, amelyek megfeleltek a tevékenységnek.
Nyers adatok megtekintése: Válassza a Nyers adatok megtekintése lehetőséget az alkalmazástól kapott tényleges adatok megtekintéséhez.
Felhasználó: Válassza ki a felhasználót a tevékenységet végrehajtó felhasználó felhasználói oldalának megtekintéséhez.
Eszköz típusa: Válassza az Eszköztípus lehetőséget a nyers felhasználói ügynök adatainak megtekintéséhez.
Hely: Válassza ki a helyet a Bing Térképek.
IP-címkategória és címkék: Válassza ki az IP-címkét a tevékenységben található IP-címkék listájának megtekintéséhez. Ezt követően már lehet szűrni az ennek a címkének megfelelő összes tevékenységre.

A Tevékenység fiók mezői környezetfüggő hivatkozásokat biztosítanak a fiókból közvetlenül végrehajtandó további tevékenységekhez és részletezésekhez. Ha például a kurzort az IP-címkategória mellett helyezi el, a Hozzáadás szűrő ikonnal azonnal hozzáadhatja az IP-címet az aktuális lap szűrőjéhez. Használhatja a felugró beállítások fogaskerék ikont is, hogy közvetlenül a beállítások lapjára érkezzen, amely az egyik mező konfigurációjának módosításához szükséges, például a felhasználói csoportokhoz.

A lap tetején található ikonok a következőket is lehetővé tehetik:

Azonos típusú tevékenységek megtekintése
Ugyanazon felhasználó összes tevékenységének megtekintése
Tevékenységek megtekintése ugyanabból az IP-címből
Tevékenységek megtekintése a pontos földrajzi helyről
Tevékenységek megtekintése ugyanabból az időszakból (48 óra)

activity drawer.

Az elérhető cégirányítási műveletek listája a Tevékenységre vonatkozó cégirányítási műveletek című szakaszban található.

Felhasználói elemzések

A vizsgálati élmény az eljáró felhasználóval kapcsolatos megállapításokat tartalmaz. Egyetlen kattintással átfogó áttekintést kaphat a felhasználóról, többek között arról, hogy melyik helyről csatlakoztak, hány nyitott riasztással rendelkezik, valamint a metaadataikat.

Felhasználói elemzések megtekintése:

Válassza ki magát a tevékenységet a tevékenységnaplóban.
Ezután válassza a Felhasználó lapot.
A kijelöléssel megnyílik a Tevékenységfiók Felhasználó lapja, amely a következő megállapításokat nyújtja a felhasználóról:
- Nyitott riasztások: A felhasználót érintő nyitott riasztások száma.
- Egyezések: A felhasználó tulajdonában lévő fájlok házirend-egyezéseinek száma.
- Tevékenységek: A felhasználó által az elmúlt 30 napban végrehajtott tevékenységek száma.
- Országok: Azon országok száma, amelyekről a felhasználó az elmúlt 30 napban csatlakozott.
- Internetszolgáltatók: Azon internetszolgáltatók száma, ahonnan a felhasználó az elmúlt 30 napban csatlakozott.
- IP-címek: A felhasználó által az elmúlt 30 napban csatlakoztatott IP-címek száma.

user insights in Defender for Cloud Apps.

IP-címelemzések

Mivel az IP-címadatok szinte minden vizsgálathoz kulcsfontosságúak, a tevékenységfiókban részletes információkat tekinthet meg az IP-címekről. Egy adott tevékenységen belül az IP-cím fülre kattintva megtekintheti az IP-cím összesített adatait, beleértve az adott IP-címhez tartozó nyitott riasztások számát, a legutóbbi tevékenységek trendgráfját és a helytérképet. Ez lehetővé teszi például a lehetetlen utazási riasztások vizsgálatának egyszerű lehatolását. Emellett könnyen megértheti, hogy hol használták az IP-címet, és hogy részt vett-e gyanús tevékenységekben. Közvetlenül az IP-címfiókban is végrehajthat műveleteket, amelyek lehetővé teszik, hogy kockázatosként, VPN-ként vagy vállalatiként címkézzen fel egy IP-címet, hogy megkönnyítse a későbbi vizsgálatokat és szabályzatok létrehozását.

IP-címelemzések megtekintése:

Válassza ki magát a tevékenységet a tevékenységnaplóban.
Ezután válassza az IP-cím fület.

Ekkor megnyílik a Tevékenységfiók IP-cím lapja, amely a következő megállapításokat nyújtja az IP-címről:
- Nyitott riasztások: Az IP-címet tartalmazó nyitott riasztások száma.
- Tevékenységek: Az IP-cím által az elmúlt 30 napban végrehajtott tevékenységek száma.
- IP-cím: Azok a földrajzi helyek, amelyekről az IP-cím az elmúlt 30 napban kapcsolódott.
- Tevékenységek: Az ip-címről az elmúlt 30 napban végrehajtott tevékenységek száma.
- Rendszergazda tevékenységek: Az ip-címről az elmúlt 30 napban végrehajtott felügyeleti tevékenységek száma. A következő IP-címműveleteket hajthatja végre:
  - Állítsa be vállalati IP-címként, és adja hozzá az engedélyezési listához
  - Állítsa be VPN IP-címként, és adja hozzá az engedélyezési listához
  - Állítsa be kockázatos IP-címként, és adja hozzá a tiltólistához

IP address insights in Defender for Cloud Apps.

Feljegyzés

Az API-hoz csatlakoztatott felhőalkalmazások által naplózott belső IPv4 vagy IPv6 IP-címek a felhőalkalmazás hálózatán belüli belső szolgáltatások kommunikációját jelezhetik, és nem tévesztendő össze az eszköz forráshálózatáról származó belső IP-címekkel, mivel a felhőalkalmazás nem lesz kitéve az eszközök belső IP-címeinek.
A lehetetlen utazási riasztások elkerülése érdekében, ha az alkalmazottak a vállalati VPN-en keresztül csatlakoznak az otthoni helyükről, ajánlott VPN-ként megjelölni az IP-címet.