Attività

  • Articolo

Microsoft Defender per il cloud App offre visibilità su tutte le attività delle app connesse. Dopo aver connesso Defender per il cloud App a un'app usando il Connettore app, Defender per il cloud App analizza tutte le attività che si sono verificate, il periodo di analisi retroattivo è diverso per ogni app e quindi viene aggiornato costantemente con nuove attività.

Nota

Per un elenco completo delle attività di Microsoft 365 monitorate da Defender per il cloud Apps, vedere Cercare il log di controllo nel Centro conformità.

È possibile filtrare il registro attività per trovare attività specifiche. I criteri vengono creati in base alle attività e quindi si definiscono le attività per cui si vogliono ricevere avvisi e su cui si vogliono eseguire operazioni. È possibile cercare le attività eseguite su determinati file. Il tipo di attività e le informazioni ricevute per ogni attività dipendono dall'app e dal tipo di dati che questa può fornire.

Ad esempio, è possibile usare il log attività per trovare gli utenti dell'organizzazione che usano sistemi operativi o browser non aggiornati, come indicato di seguito: Dopo aver connesso un'app a Defender per il cloud App nella pagina Log attività, usare il filtro avanzato e selezionare Tag agente utente. Selezionare quindi Outdated browser (Browser non aggiornato) oppure Outdated operating system (Sistema operativo non aggiornato).

Activity outdated browser example.

Il filtro di base offre ottimi strumenti per iniziare a filtrare le attività.

basic activity log filter.

È possibile espandere il filtro di base selezionando Filtri avanzati per eseguire il drill-down in attività più specifiche.

advanced activity log filter.

Nota

  • Il tag Legacy viene aggiunto a tutti i criteri di attività che usano il filtro "utente" precedente. Questo filtro funzionerà come di consueto. Se si vuole rimuovere il tag Legacy, è possibile rimuovere il filtro e aggiungerlo nuovamente usando il nuovo filtro Nome utente.

  • In alcuni casi rari, il conteggio degli eventi presentati nel log attività può mostrare un numero leggermente superiore al numero reale di eventi che si applicano per il filtro e che vengono presentati.

Pannello Attività

Utilizzo del pannello Attività

È possibile visualizzare altre informazioni su ogni attività selezionando l'attività stessa nel log attività. Viene visualizzato il pannello attività che offre le azioni e i dettagli aggiuntivi seguenti per ogni attività:

  • Criteri corrispondenti: selezionare il collegamento Criteri corrispondenti per visualizzare un elenco dei criteri corrispondenti a questa attività.

  • Visualizzare i dati non elaborati: selezionare Visualizza dati non elaborati per visualizzare i dati effettivi ricevuti dall'app.

  • Utente: selezionare l'utente per visualizzare la pagina utente per l'utente che ha eseguito l'attività.

  • Tipo di dispositivo: selezionare Tipo di dispositivo per visualizzare i dati dell'agente utente non elaborati.

  • Località: selezionare il percorso per visualizzare la posizione in Bing Mappe.

  • Categoria e tag di indirizzi IP: selezionare il tag IP per visualizzare l'elenco dei tag IP trovati in questa attività. È quindi possibile filtrare in base a tutte le attività corrispondenti a questo tag.

I campi nel pannello Attività forniscono collegamenti contestuali ad attività aggiuntive e drill-down che è possibile eseguire direttamente dal pannello. Ad esempio, se si sposta il cursore accanto alla categoria di indirizzi IP, è possibile usare l'icona add to filter. aggiungi per filtrare per aggiungere immediatamente l'indirizzo IP al filtro della pagina corrente. È anche possibile usare l'icona a settings icon forma di ingranaggio delle impostazioni visualizzata per arrivare direttamente alla pagina delle impostazioni necessaria per modificare la configurazione di uno dei campi, ad esempio Gruppi di utenti.

È anche possibile usare le icone nella parte superiore della scheda per:

  • Visualizzare le attività dello stesso tipo
  • Visualizzare tutte le attività dello stesso utente
  • Visualizza le attività dallo stesso indirizzo IP
  • Visualizzare le attività dalla posizione geografica esatta
  • Visualizzare le attività dello stesso periodo (48 ore)

activity drawer.

Per un elenco delle azioni di governance disponibili, vedere Azioni di governance sui file.

Informazioni sull'utente

L'esperienza di indagine include informazioni dettagliate sull'autore dell'azione. Con un solo clic è possibile ottenere una panoramica completa dell'utente, tra cui la posizione da cui si è connessi, il numero di avvisi aperti a cui sono coinvolti e le relative informazioni sui metadati.

Per visualizzare le informazioni dettagliate sull'utente:

  1. Selezionare l'attività stessa nel log attività.

  2. Selezionare quindi la scheda Utente .
    Se si seleziona, si apre la scheda Utente del pannello Attività, vengono fornite le informazioni dettagliate seguenti sull'utente:

    • Apri avvisi: numero di avvisi aperti che coinvolgono l'utente.
    • Corrispondenze: il numero di corrispondenze con criteri per i file di proprietà dell'utente.
    • Attività: il numero di attività eseguite dall'utente negli ultimi 30 giorni.
    • Paesi: il numero dei paesi da cui l'utente si è connesso negli ultimi 30 giorni.
    • ISP: numero di ISP da cui l'utente si è connesso negli ultimi 30 giorni.
    • Indirizzi IP: numero di indirizzi IP da cui l'utente è connesso negli ultimi 30 giorni.

user insights in Defender for Cloud Apps.

Informazioni dettagliate sugli indirizzi IP

Dato che le informazioni sugli indirizzi IP sono fondamentali per quasi tutte le indagini, è possibile visualizzare informazioni dettagliate sugli indirizzi IP nel pannello Attività. Dall'interno di un'attività specifica, è possibile selezionare la scheda Indirizzo IP per visualizzare i dati consolidati sull'indirizzo IP, incluso il numero di avvisi aperti per l'indirizzo IP specifico, un grafico di tendenza dell'attività recente e una mappa della posizione. In questo modo è possibile eseguire facilmente il drill-down durante l'analisi degli avvisi di spostamento impossibili, ad esempio. Inoltre, è possibile comprendere facilmente dove è stato usato l'indirizzo IP e se è stato coinvolto in attività sospette. È anche possibile eseguire azioni direttamente nel pannello Indirizzo IP, che consentono di contrassegnare un indirizzo IP come rischioso, VPN o aziendale per facilitare le indagini future e la creazione dei criteri.

Per visualizzare informazioni dettagliate sugli indirizzi IP:

  1. Selezionare l'attività stessa nel log attività.

  2. Selezionare quindi la scheda Indirizzo IP.

    Viene visualizzata la scheda Indirizzo IP del pannello attività che include le informazioni dettagliate sull'indirizzo IP seguenti:

    • Avvisi aperti: il numero di avvisi aperti che riguardano l'indirizzo IP.

    • Attività: il numero di attività eseguite dall'indirizzo IP negli ultimi 30 giorni.

    • Posizione IP: le posizioni geografiche da cui l'indirizzo IP è connesso negli ultimi 30 giorni.

    • Attività: numero di attività eseguite da questo indirizzo IP negli ultimi 30 giorni.

    • Amministrazione attività: numero di attività amministrative eseguite da questo indirizzo IP negli ultimi 30 giorni. È possibile eseguire le azioni seguenti per l'indirizzo IP:

      • Impostare come INDIRIZZO IP aziendale e aggiungere all'elenco elementi consentiti
      • Impostare come indirizzo IP VPN e aggiungere all'elenco elementi consentiti
      • Impostare come IP rischioso e aggiungere all'elenco di elementi bloccati

IP address insights in Defender for Cloud Apps.

Nota

  • Gli indirizzi IP IPv4 o IPv6 interni controllati dalle applicazioni cloud connesse con l'API possono indicare comunicazioni di servizi interni all'interno della rete dell'applicazione cloud e non devono essere confusi con gli INDIRIZZI IP interni dalla rete di origine da cui è connesso il dispositivo, perché l'applicazione cloud non è esposta agli INDIRIZZI IP interni dei dispositivi.
  • Per evitare di generare avvisi di spostamento impossibili quando i dipendenti si connettono dalla propria sede tramite la VPN aziendale, è consigliabile contrassegnare l'indirizzo IP come VPN.

Attività di esportazione

È possibile esportare tutte le attività degli utenti in un file CSV.

Nel log attività selezionare il pulsante Esporta nell'angolo superiore sinistro.

export button.

Nota

In questo articolo vengono illustrate le procedure per eliminare i dati personali dal dispositivo o dal servizio ed è possibile usare queste informazioni a supporto degli obblighi previsti dal Regolamento generale sulla protezione dei dati (GDPR). Se si stanno cercando informazioni generati su GDPR, vedere la sezione dedicata a GDPR del portale Service Trust.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.