Filtrare ed eseguire query Defender per il cloud attività delle app
Questo articolo fornisce descrizioni e istruzioni per i filtri e le query delle attività delle app di Defender per il cloud.
Filtri attività
Di seguito è riportato un elenco dei filtri di attività che è possibile applicare. La maggior parte dei filtri supporta più valori e NON per offrire uno strumento potente per la creazione di criteri.
ID attività: consente di cercare solo attività specifiche in base ai relativi ID. Questo filtro è utile quando si connettono app Microsoft Defender per il cloud al sistema SIEM (usando l'agente SIEM) e si vogliono analizzare ulteriormente gli avvisi all'interno del portale delle app di Defender per il cloud.
Oggetti attività: consente di cercare gli oggetti su cui è stata eseguita l'attività. Questo filtro si applica a file, cartelle, utenti o oggetti app.
ID dell'oggetto attività: ID dell'oggetto (file, cartella, utente o app).
Item: consente di eseguire ricerche in base al nome o all'ID di qualsiasi oggetto attività, ad esempio nomi utente, file, parametri, siti. Per il filtro Elemento oggetto Attività, è possibile selezionare se filtrare per gli elementi che contengono, uguale o iniziano con l'elemento specifico.
Tipo di azione: cercare un'azione più specifica eseguita in un'app.
Tipo di attività: consente di cercare l'attività dell'app.
Nota
Le app vengono aggiunte al filtro solo se è presente un'attività per tale app.
Attività amministrative: consente di cercare solo le attività amministrative.
Nota
Defender per il cloud Apps non può contrassegnare le attività amministrative di Google Cloud Platform (GCP) come attività amministrative.
ID avviso: consente di cercare in base all'ID avviso.
App: consente di cercare solo attività all'interno di app specifiche.
Azione applicata: consente di cercare in base all'azione di governance applicata (Bloccata, Ignora proxy, Decrittografata, Crittografata, Crittografia non riuscita, Nessuna azione).
Data: data di esecuzione dell'attività. Il filtro supporta sia l'indicazione della data precedente/successiva, sia intervalli di date.
Tag del dispositivo: ricerca per certificato client conforme a Intune, Aggiunto a Microsoft Entra ibrido o Certificato client valido.
Tipo di dispositivo: consente di cercare solo le attività che sono state eseguite usando un tipo di dispositivo specifico. Ad esempio, è possibile cercare tutte le attività eseguite da dispositivi mobili, PC o tablet.
File e cartelle: consente di cercare file e cartelle in cui l'attività è stata eseguita.
- ID file: consente di eseguire la ricerca per ID del file con cui è stata eseguita l'attività.
- Nome: consente di filtrare i nomi di file e cartelle. È possibile selezionare se il nome termina con, è uguale a, o inizia con il valore di ricerca.
- File o cartelle specifici: è possibile includere o escludere file o cartelle specifici. È possibile filtrare l'elenco in base a App, Proprietario o Nomefile parziale quando si selezionano file o cartelle.
Indirizzo IP: indirizzo IP non elaborato, categoria o tag da cui è stata eseguita l'attività.
- Indirizzo IP non elaborato: consente di cercare le attività eseguite su o da indirizzi IP non elaborati. Gli indirizzi IP non elaborato possono essere uguali o diversi, iniziare o non iniziare con una determinata sequenza.
- Categoria IP: categoria dell'indirizzo IP da cui è stata eseguita l'attività, ad esempio tutte le attività dell'intervallo di indirizzi IP amministrativi. Le categorie devono essere configurate per includere gli indirizzi IP pertinenti. Alcuni indirizzi IP possono essere classificati per impostazione predefinita. Ad esempio, ci sono indirizzi IP considerati dalle origini di Intelligence per le minacce Microsoft classificati come rischiosi. Per informazioni su come configurare le categorie IP, vedere Organizzare i dati in base alle esigenze.
- Tag IP: tag dell'indirizzo IP da cui è stata eseguita l'attività, ad esempio tutte le attività da indirizzi IP proxy anonimi. Defender per il cloud App crea un set di tag IP predefiniti che non sono configurabili. È anche possibile configurare i tag IP. Per altre informazioni sulla configurazione dei tag IP, vedere Organizzare i dati in base alle esigenze.
I tag IP predefiniti includono quanto segue:
- App Microsoft (14 tag)
- Proxy anonimo
- Botnet (viene indicato che l'attività è stata eseguita da una botnet con un collegamento ad altre informazioni sulla botnet specifica)
- IP di analisi Darknet
- Server di C&C malware
- Analizzatore connettività remota
- Provider satellitari
- Smart proxy e proxy di accesso (esclusi di proposito)
- Nodi di uscita Tor
- Zscaler
Attività con rappresentazione: consente di cercare solo le attività eseguite per conto di un altro utente.
Istanza: l'istanza dell'app in cui l'attività è stata o non è stata eseguita.
Località: paese/area geografica da cui è stata eseguita l'attività.
Criteri corrispondenti: cercare le attività che corrispondono a un criterio specifico impostato nel portale.
ISP registrato: provider di servizi Internet da cui è stata eseguita l'attività.
Origine: consente di cercare in base all'origine da cui è stata rilevata l'attività. L'origine può essere una delle seguenti:
- Connettore app: log provenienti direttamente dal connettore API dell'app.
- Connettore app analisi: Defender per il cloud arricchimenti delle app in base alle informazioni analizzate dal connettore API.
Utente: l'utente che ha eseguito l'attività, che può essere filtrato in base a dominio, gruppo, nome oppure organizzazione. Per filtrare le attività senza un utente specifico, è possibile usare l'operatore 'is not set'.
- Dominio utente: consente di cercare un dominio utente specifico.
- Organizzazione utente: unità organizzativa dell'utente che ha eseguito l'attività, ad esempio tutte le attività eseguite dagli utenti EMEA_marketing. Questo è rilevante solo per le istanze di Google Workspace connesse che usano le unità organizzative.
- Gruppo di utenti: gruppi di utenti specifici che è possibile importare da app connesse, ad esempio amministratori di Microsoft 365.
- Nome utente: consente di cercare un nome utente specifico. Per visualizzare un elenco di utenti in un gruppo di utenti specifico, nel pannello Attività selezionare il nome del gruppo di utenti. Facendo clic si passerà alla pagina Account, in cui sono elencati tutti gli utenti del gruppo. È quindi possibile eseguire il drill-down per visualizzare i dettagli degli account di utenti specifici del gruppo.
- I filtri User group e User name possono essere ulteriormente filtrati usando il filtro As e selezionando il ruolo dell'utente, che può essere uno dei seguenti:
- Solo oggetto attività: significa che l'utente o il gruppo di utenti selezionato non ha eseguito l'attività in questione; erano l'oggetto dell'attività.
- Solo attore: è stato l'utente o il gruppo utenti a eseguire l'attività.
- Qualsiasi ruolo: significa che l'utente o il gruppo di utenti è stato coinvolto nell'attività, come persona che ha eseguito l'attività o come oggetto dell'attività.
Agente utente: agente utente dell'attività eseguita.
Tag agente utente: tag dell'agente utente predefinito, ad esempio tutte le attività di sistemi operativi obsoleti o browser obsoleti.
Query attività
Per rendere anche più semplice l'analisi, è ora possibile creare e salvare query personalizzate da usare successivamente.
- Nella pagina Log attività usare i filtri come descritto in precedenza per eseguire il drill-down nelle app secondo necessità.
Dopo aver completato la compilazione della query, selezionare il pulsante Salva con nome .
Nella finestra popup Salva query denominare la query.
Per usare di nuovo questa query in futuro, in Query scorrere verso il basso fino a Query salvate e selezionare la query da usare.
app Defender per il cloud offre ancheQuery suggerite. Le query suggerite propongono percorsi di analisi consigliati per filtrare le attività. È possibile modificare queste query e salvarle come query personalizzate. Di seguito vengono elencate alcune query suggerite facoltative:
Attività di amministrazione: filtra tutte le attività per visualizzare solo le attività che coinvolgono gli amministratori.
Attività di download: filtra tutte le attività per visualizzare solo le attività di download, incluso il download dell'elenco utenti come file .csv, il download di contenuto condiviso e il download di una cartella.
Accesso non riuscito: filtra tutte le attività per visualizzare solo accessi non riusciti e accessi non riusciti tramite SSO
Attività di file e cartelle: filtra tutte le attività in modo da visualizzare solo quelle che coinvolgono file e cartelle. Il filtro include caricamento, download e accesso alle cartelle, insieme alla creazione, eliminazione, caricamento, download, quarantena e accesso ai file e al trasferimento del contenuto.
Impersonation activities (Attività di rappresentazione): consente di filtrare tutte le attività, visualizzando solo le attività di rappresentazione.
Modifiche e richieste di reimpostazione della password: filtra tutte le attività per visualizzare solo le attività che comportano la reimpostazione della password, la modifica della password e forzare un utente a modificare la password al successivo accesso.
Attività di condivisione: filtra tutte le attività per visualizzare solo le attività che implicano la condivisione di cartelle e file, inclusa la creazione di un collegamento aziendale, la creazione di un collegamento anonimo e la concessione di autorizzazioni di lettura/scrittura.
Accesso riuscito: filtra tutte le attività in modo da visualizzare solo le attività che comportano accessi riusciti, tra cui l'azione di rappresentazione, la rappresentazione dell'accesso, gli accessi Single Sign-O e l'accesso da un nuovo dispositivo.
È anche possibile usare le query suggerite come punto di partenza per una nuova query. Selezionare prima una delle query suggerite, Apportare quindi le modifiche in base alle esigenze e infine selezionare Salva con nome per creare una nuova query salvata.
Attività di query sei mesi indietro
Per analizzare le attività precedenti a 30 giorni, è possibile passare al log attività e selezionare Analizza 6 mesi indietro nell'angolo in alto a destra dello schermo:
Da qui è possibile definire i filtri come avviee normalmente con il log attività, con le differenze seguenti:
Il filtro data è obbligatorio ed è limitato a un intervallo di settimane. Ciò significa che, mentre è possibile eseguire query sulle attività per un massimo di sei mesi, è possibile farlo solo per un periodo di una settimana alla volta.
L'esecuzione di query su più di 30 giorni è supportata solo per i campi seguenti:
- ID attività
- Tipo di impegno
- Tipo di azione
- Applicazione
- Indirizzo IP
- Ufficio
- Nome utente
Ad esempio:
Attività di esportazione sei mesi indietro (anteprima)
È possibile esportare tutte le attività da un massimo di sei mesi facendo clic sul pulsante Esporta nell'angolo superiore sinistro
Quando si esportano dati, è possibile scegliere un intervallo di date fino a sei mesi e avere la possibilità di escludere le attività private.
Il file esportato è limitato a 100.000 record e sarà in formato CSV.
Il file di risultato sarà accessibile nei report esportati. Gli utenti possono passare a Report -> App cloud nel portale di Microsoft 365 Defender per visualizzare lo stato del processo di esportazione e accedere alle esportazioni precedenti.
I report che includono attività private verranno contrassegnati con un'icona a forma di occhio nella pagina dei report.