Tevékenységek szűrői és lekérdezései

  • Cikk

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft Defender XDR, amely a Microsoft Defender-csomag összes jelét korrelálja, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft Defender XDR-ben.

Ez a cikk leírásokat és utasításokat tartalmaz Felhőhöz készült Defender Alkalmazások tevékenységszűrőihez és lekérdezéseihez.

Tevékenységszűrők

Az alábbi lista az alkalmazható tevékenységszűrőket tartalmazza. A legtöbb szűrő több értéket is támogat, és NEM biztosít hatékony eszközt a szabályzatok létrehozásához.

  • Tevékenységazonosító – A konkrét tevékenységekre kereshet rá vele az azonosítójuk alapján. Ez a szűrő akkor hasznos, ha Felhőhöz készült Microsoft Defender-alkalmazásokat csatlakoztat a SIEM-hez (a SIEM-ügynök használatával), és további riasztásokat szeretne kivizsgálni az Felhőhöz készült Defender Apps portálon.

  • Tevékenységobjektumok – Keresse meg azokat az objektumokat, amelyen a tevékenység történt. Ez a szűrő fájlokra, mappákra, felhasználókra vagy alkalmazásobjektumokra vonatkozik.

    • Tevékenységobjektum azonosítója – az objektum azonosítója (fájl, mappa, felhasználó vagy alkalmazásazonosító).

    • Elem – Lehetővé teszi, hogy bármilyen tevékenységobjektum (például felhasználónevek, fájlok, paraméterek, webhelyek) neve vagy azonosítója alapján keressen. A Tevékenységobjektum elemszűrője esetében kiválaszthatja, hogy az adott elemhez tartozó, egyenlő vagy kezdő elemekre szűrjön-e.

  • Művelet típusa – Konkrétabb műveletet keres egy alkalmazásban.

  • Tevékenységtípus – Keresés az alkalmazás tevékenysége alapján.

    Megjegyzés:

    Az alkalmazások csak akkor lesznek hozzáadva a szűrőhöz, ha az adott alkalmazáshoz tevékenység tartozik.

  • Rendszergazdai tevékenység – A rendszer csak a rendszergazdai tevékenységekre keres rá.

    Megjegyzés:

    Felhőhöz készült Defender Alkalmazások nem jelölhetik meg rendszergazdai tevékenységként a Google Cloud Platform (GCP) felügyeleti tevékenységeit.

  • Riasztás azonosítója – Keresés a riasztás azonosítója alapján.

  • Alkalmazás – A rendszer csak adott alkalmazásokon belüli tevékenységekre keres rá.

  • Alkalmazott tevékenység – Keresés az alkalmazott irányítási tevékenység alapján: blokkolás, proxy megkerülése, titkosítás, sikertelen titkosítás, nincs tevékenység.

  • Dátum – A tevékenység dátuma. A szűrő támogatja a dátumok előtti és utáni dátumokat és a dátumtartományokat.

  • Eszközcímke – Keresés az Intune-kompatibilis, a Microsoft Entra hibrid csatlakoztatott vagy érvényes ügyféltanúsítvány alapján.

  • Eszköztípus – Csak az adott eszköztípussal végzett tevékenységek keresése. Keressen például minden tevékenységet mobileszközről, pc-ről vagy táblagépről.

  • Fájlok és mappák – Olyan fájlok és mappák keresése, amelyen a tevékenységet végrehajtották.

    • Fájlazonosító – Lehetővé teszi a keresést azon fájlazonosító alapján, amelyen a tevékenységet végrehajtották.
    • Név – Szűrők a fájlok vagy mappák nevére. Kiválaszthatja, hogy a név a keresési értékével végződik-e, egyenlő-e vagy kezdődik-e.
    • Adott fájlok vagy mappák – Adott fájlokat vagy mappákat is belefoglalhat vagy kizárhat. A fájlok vagy mappák kiválasztásakor alkalmazás, tulajdonos vagy részleges fájlnévalapján szűrheti a listát.

  • IP-cím – Az a nyers IP-cím, kategória vagy címke, amelyből a tevékenységet végrehajtották.

    • Nyers IP-cím – Lehetővé teszi a nyers IP-címeken vagy a nyers IP-címeken végrehajtott tevékenységek keresését. A nyers IP-címek egyenlők, nem egyenlők, kezdődnek, vagy nem egy adott sorozattal kezdődnek.
    • IP-kategória – Annak az IP-címnek a kategóriája, amelyből a tevékenységet végrehajtották, például az összes tevékenység a felügyeleti IP-címtartományból. A kategóriákat úgy kell konfigurálni, hogy tartalmazzák a megfelelő IP-címeket. Egyes IP-címek alapértelmezés szerint kategorizálhatók. Vannak például olyan IP-címek, amelyeket a Microsoft fenyegetésfelderítési forrásai kockázatosnak tartanak. Az IP-kategóriák konfigurálásáról további információt az Adatok rendezése igény szerint című témakörben talál.
    • IP-címke – Annak az IP-címnek a címkéje, ahonnan a tevékenységet elvégezték, például a névtelen proxy IP-címekről érkező tevékenységek. Felhőhöz készült Defender alkalmazások olyan beépített IP-címkéket hoznak létre, amelyek nem konfigurálhatók. Emellett konfigurálhatja az IP-címkéket is. Az IP-címkék konfigurálásával kapcsolatos további információkért tekintse meg az adatok igény szerinti rendszerezését ismertető témakört. A beépített IP-címkék a következők:
      • Microsoft-alkalmazások (összesen 14)
      • Névtelen proxy
      • Botnet (látni fogja, hogy a tevékenységet egy botnet hajtotta végre egy hivatkozással, hogy többet tudjon meg az adott botnetről)
      • Darknet vizsgálati IP
      • Kártevő C C-kiszolgáló&
      • Távkapcsolat-elemző
      • Műholdas szolgáltatók
      • Intelligens proxy és hozzáférési proxy (szándékosan kihagyva)
      • Tor kilépési csomópontok
      • Zscaler

  • Megszemélyesített tevékenység – A rendszer csak azokra a tevékenységekre keres rá, amelyeket más felhasználó nevében végeztek.

  • Példány – Az az alkalmazáspéldány, ahol a tevékenységet végrehajtották vagy nem hajtották végre.

  • Hely – Az az ország/régió, ahonnan a tevékenységet végrehajtották.

  • Egyeztetett szabályzat – Olyan tevékenységek keresése, amelyek megfeleltek a portálon beállított adott szabályzatnak.

  • Regisztrált internetszolgáltató – Az az internetszolgáltató, amelyen keresztül a tevékenységet elvégezték.

  • Forrás – Keresés azon forrás alapján, amelyből a tevékenységet észlelte a rendszer. A forrás az alábbiak bármelyike lehet:

    • Alkalmazás-összekötő – közvetlenül az alkalmazás API-összekötőjének naplói.
    • Alkalmazás-összekötő elemzés – Felhőhöz készült Defender alkalmazások bővítése az API-összekötő által beolvasott információk alapján.

  • Felhasználó – A tevékenységet végrehajtó felhasználó, amely tartományra, csoportra, névre vagy szervezetre szűrhető. A tevékenységek adott felhasználó nélküli szűréséhez használhatja a "nincs beállítva" operátort.

    • Felhasználói tartomány – Keresés megadott felhasználói tartomány szerint.
    • Felhasználó munkahelye – Annak a felhasználónak a szervezeti egysége, aki a tevékenységet végezte, például az EMEA régióban tevékenykedő marketingfelhasználók által végzett tevékenységek. Ez csak a szervezeti egységeket használó csatlakoztatott Google Workspace-példányok esetében releváns.
    • Felhasználói csoport – Adott felhasználói csoportok, amelyeket a csatlakoztatott alkalmazásokból importálhat, például Microsoft 365-rendszergazdák.
    • Felhasználónév – Keresés megadott felhasználónév alapján. Egy adott felhasználói csoport felhasználóinak listájának megtekintéséhez a Tevékenység fiókban válassza ki a felhasználói csoport nevét. A kattintással megjelenik a Fiókok lap, amely a csoport összes felhasználóját listázza. Innen részletezheti a csoport egyes felhasználóinak fiókjait.
    • A Felhasználói csoport és a Felhasználónév szűrő további szűréséhez használja a Mint szűrőt, és válassza ki a felhasználó szerepkörét, amely az alábbiak bármelyike lehet:
      • Csak tevékenységobjektum – ez azt jelenti, hogy a kiválasztott felhasználó vagy felhasználói csoport nem hajtotta végre a kérdéses tevékenységet; ezek voltak a tevékenység tárgyai.
      • Csak színész – ez azt jelenti, hogy a felhasználó vagy a felhasználói csoport végrehajtotta a tevékenységet.
      • Bármilyen szerepkör – Azt jelenti, hogy a felhasználó vagy a felhasználói csoport részt vett a tevékenységben, akár a tevékenységet végrehajtó személyként, akár a tevékenység objektumaként.

  • Felhasználói ügynök – Az a felhasználói ügynök, amelyből a tevékenységet elvégezték.

  • Felhasználói ügynök címke – Beépített felhasználói ügynök címke, például az elavult operációs rendszerekből vagy elavult böngészőkből származó összes tevékenység.

Tevékenység-lekérdezések

A vizsgálat még egyszerűbbé tétele érdekében mostantól létrehozhat egyéni lekérdezéseket, és mentheti őket későbbi használatra.

  1. A Tevékenységnapló lapon a fent leírt szűrőkkel szükség szerint részletezheti az alkalmazásait.

Use filters to make query.

  1. Miután befejezte a lekérdezés összeállítását, válassza a Mentés másként gombot.

  2. A Lekérdezés mentése előugró ablakban nevezze el a lekérdezést.

    new query.

  3. Ha a jövőben is használni szeretné ezt a lekérdezést, görgessen le a Mentett lekérdezések elemre, és válassza ki a lekérdezést.

    open query.

Felhőhöz készült Defender Alkalmazások Javasolt lekérdezések. A javasolt lekérdezések olyan ajánlott vizsgálati lehetőségeket biztosítanak, amelyek szűrik a tevékenységeit. Szerkesztheti ezeket a lekérdezéseket, és egyéni lekérdezésekként mentheti őket. A választható javasolt lekérdezések a következők:

  • Rendszergazda tevékenységek – az összes tevékenységet szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek rendszergazdákat érintenek.

  • Tevékenységek letöltése – szűri az összes tevékenységet, hogy csak azokat a tevékenységeket jelenítse meg, amelyek letöltési tevékenységek voltak, beleértve a felhasználói lista .csv fájlként való letöltését, a megosztott tartalom letöltését és egy mappa letöltését.

  • Sikertelen bejelentkezés – az összes tevékenység szűrése, hogy csak a sikertelen bejelentkezések és a sikertelen bejelentkezések jelenjenek meg egyszeri bejelentkezéssel

  • Fájl- és mappatevékenységek – szűri az összes tevékenységet, hogy csak a fájlokat és mappákat tartalmazó tevékenységeket jelenítse meg. A szűrő magában foglalja a mappák feltöltését, letöltését és elérését, valamint a fájlok létrehozását, törlését, feltöltését, letöltését, quarantinálását és elérését, valamint a tartalmak átvitelét.

  • Megszemélyesítési tevékenységek – az összes tevékenység szűrésével csak megszemélyesítési tevékenységeket jeleníthet meg.

  • Jelszómódosítások és kérések alaphelyzetbe állítása – az összes tevékenység szűrésével csak azokat a tevékenységeket jeleníti meg, amelyek jelszó-visszaállítást, jelszót módosítanak, és kényszerítik a felhasználót a jelszó módosítására a következő bejelentkezéskor.

  • Megosztási tevékenységek – szűri az összes tevékenységet, hogy csak azokat a tevékenységeket jelenítse meg, amelyek mappák és fájlok megosztásával járnak, beleértve a vállalati hivatkozás létrehozását, a névtelen hivatkozás létrehozását és az olvasási/írási engedélyek megadását.

  • Sikeres bejelentkezés – szűri az összes tevékenységet, hogy csak azokat a tevékenységeket jelenítse meg, amelyek sikeres bejelentkezéseket foglalnak magukban, beleértve a megszemélyesítési műveletet, a bejelentkezés megszemélyesítését, az egyszeri bejelentkezést és az új eszközről való bejelentkezést.

query activities.

Emellett a javasolt lekérdezéseket is használhatja kiindulási pontként egy új lekérdezéshez. Először válassza ki a javasolt lekérdezések egyikét. Ezután szükség szerint végezze el a módosításokat, és végül válassza a Mentés másként lehetőséget egy új mentett lekérdezés létrehozásához.

Lekérdezési tevékenységek hat hónappal a háta alatt

A 30 napnál régebbi tevékenységek vizsgálatához keresse meg a Tevékenységnaplót , és válassza a Vizsgálat 6 hónappal később lehetőséget a képernyő jobb felső sarkában:

Select investigate 6 months back.

Itt definiálhatja a szűrőket a tevékenységnaplóban megszokott módon, de két különbséggel:

  1. A dátumszűrő kötelező, és egy hétre van korlátozva.
  2. Emellett a következő fájlkezelők is támogatottak lesznek:
    • Tevékenységazonosító
    • Tevékenység típusa
    • Művelettípus
    • Application
    • IP address
    • Hely
    • Felhasználónév

Filter after selecting investigate 6 months back.

További lépések

Ajánlott eljárások a szervezet védelméhez