アクティビティを調査する
Microsoft Defender for Cloud Apps では、接続されているアプリのすべてのアクティビティを表示できます。 Defender for Cloud Apps をアプリのコネクタを使用してアプリに接続した後、Defender for Cloud Apps では発生したすべてのアクティビティがスキャンされます。事後でのスキャンにかかる時間はアプリによって異なります。その後は、継続的に新しいアクティビティで更新されます。
Note
Defender for Cloud Apps によって監視されている Microsoft 365 のアクティビティの完全な一覧については、「コンプライアンス センターで監査ログを検索する」を参照してください。
アクティブ ログをフィルターして、特定のアクティビティを見つけることができます。 アクティビティに基づくポリシーを作成し、警告対象とアクションを定義します。 特定のファイルで実行されるアクティビティを検索できます。 アクティビティのタイプとアクティビティごとに得られる情報は、アプリと、アプリから提供されるデータのタイプによって異なります。
たとえば、[アクティビティ] ログを使用すると、組織内で最新ではないオペレーティング システムやブラウザーを使用しているユーザーを見つけることができます。これを行うには、Defender for Cloud Apps にアプリを接続した後、[アクティビティ ログ] ページで高度なフィルターを使用して [ユーザー エージェント タグ] を選択します。 次に、[Outdated browser] (古いブラウザー) または [Outdated operating system] (古いオペレーティング システム) を選択します。
アクティビティのフィルター処理を開始するには、まず基本的なフィルターを使うと便利です。
[高度なフィルター] を選択して、基本的なフィルターを拡張することで、より具体的なアクティビティに絞り込むことができます。
Note
レガシ タグは、古い "ユーザー" フィルターを使用するアクティビティ ポリシーに追加されます。 このフィルターは、引き続き通常どおり機能します。 レガシ タグを削除する場合は、フィルターを削除し、新しい [ユーザー名] フィルターを使用して、フィルターを再度追加できます。
まれに、アクティビティ ログに表示されるイベントの数が、フィルターが適用されて表示される実際のイベント数よりもわずかに多くなることがあります。
アクティビティ ドロワー
アクティビティ ドロワーの使用
アクティビティ ログで各アクティビティを選択すると、そのアクティビティの詳細を表示できます。 アクティビティ ドロワーが開き、各アクティビティに対して以下の追加アクションと詳しい分析情報を利用できます。
一致するポリシー: [一致するポリシー] リンクを選択すると、そのアクティビティが合致するポリシーの一覧が表示されます。
生データの表示: [生データの表示] を選択すると、アプリから受信した実際のデータが表示されます。
ユーザー: [ユーザー] を選択すると、そのアクティビティを実行したユーザーのユーザー ページが表示されます。
デバイスのタイプ: [デバイスのタイプ] を選択すると、生のユーザー エージェント データが表示されます。
場所: [場所] を選択すると、Bing マップで場所が表示されます。
IP アドレス カテゴリとタグ: IP タグを選択すると、そのアクティビティで見つかった IP タグの一覧を表示されます。 このタグに一致するすべてのアクティビティでフィルター処理することができます。
アクティビティ ドロワーのフィールドでは、その他のアクティビティへのコンテキスト リンクが提供されており、ドリルダウンしてドロワーから直接実行することができます。 たとえば、IP アドレス カテゴリの横にカーソルを移動すると、
フィルターに追加アイコンを使用して、現在のページのフィルターに IP アドレスを即時に追加することができます。 ポップアップされる設定の歯車アイコン
を使用して、[ユーザー グループ] などのフィールドの 1 つの構成を変更するために必要な設定ページに直接アクセスすることもできます。
タブ上部のアイコンを使用して、次の操作を実行することも可能です。
- 同一タイプのアクティビティを表示する
- 同一ユーザーのすべてのアクティビティを表示する
- 同一 IP アドレスのアクティビティを表示する
- 同一地域の場所のアクティビティを表示する
- 同一期間 (48 時間) のアクティビティを表示する
使用できるガバナンス アクションのリストについては、「アクティビティ ガバナンス アクション」を参照してください。
ユーザーの洞察
調査機能には、アクション中のユーザーに関する分析情報が含まれます。 ユーザーが接続してきている場所、ユーザーに関連する未処理のアラートの件数とそのメタデータ情報など、ユーザーの包括的な概要をワンクリックで取得できます。
ユーザーの洞察を見るには:
[アクティビティ ログ] でアクティビティ自体を選択します。
続いて [ユーザー] タブを選択します。
選択するとアクティビティ ドロワーが開き、[ユーザー] タブに次のユーザー分析情報が示されます。- [アラートを開く]: ユーザーが関係している未処理のアラートの数。
- [一致する]: ユーザーが所有するファイルに対するポリシーの一致数。
- [アクティビティ]: 過去 30 日以内にユーザーによって実行されたアクティビティの数。
- [国]: 過去 30 日以内にユーザーが接続された国の数。
- [ISP]: 過去 30 日以内にユーザーが接続された ISP の数。
- [IP アドレス]: 過去 30 日以内にユーザーが接続された IP アドレスの数。
IP アドレスの洞察
IP アドレスの情報はほぼすべての調査にとって非常に重要であるため、アクティビティ ドロワーでは IP アドレスについての詳細情報を見ることができます。 特定のアクティビティで [IP アドレス] タブを選択すると、その特定の IP アドレスのオープン アラート、最近のアクティブティの傾向のグラフ、および場所のマップなどのデータをまとめて表示できます。 これにより、あり得ない移動に関するアラートを調査するときなどに、簡単にドリルダウンが有効になります。 加えて、IP アドレスがどこで使用されたのか、さらにそれが不審なアクティビティに関係していたかを容易に把握できます。 また、IP アドレス ドロワーでアクションを直接実行し、IP アドレスに危険、VPN、または企業のタグを付けて、後で簡単に調査やポリシー作成を行えるようにすることもできます。
IP アドレスの洞察を表示するには:
[アクティビティ ログ] でアクティビティ自体を選択します。
続いて [IP アドレス] タブを選択します。
アクティビティ ドロワーの [IP アドレス] タブが開き、IP アドレスに関する次の情報が表示されます。
[アラートを開く]: IP アドレスが関係している未処理のアラートの数。
[アクティビティ]: 過去 30 日以内に IP アドレスによって実行されたアクティビティの数。
[IP の場所]: 過去 30 日以内に IP アドレスで接続があった地理的な場所。
[アクティビティ]: 過去 30 日以内にその IP アドレスから実行されたアクティビティの数。
[管理者のアクティビティ]: 過去 30 日以内にその IP アドレスから実行された管理アクティビティの数。 次の IP アドレス操作を実行できます。
- 企業 IP として設定し、許可リストに追加する
- VPN IP アドレスとして設定し、許可リストに追加する
- 危険な IP としてタグを付けて、ブロック リストに追加する
Note
- API に接続されているクラウド アプリケーションによって監査される内部 IPv4 または IPv6 IP アドレスは、クラウド アプリケーションのネットワーク内の内部サービス通信を示す可能性があり、クラウド アプリケーションがデバイスの内部 IP に公開されないため、デバイスが接続されているソース ネットワークからの内部 IP と混同しないでください。
- 従業員が企業 VPN を介して自宅の場所から接続するときにあり得ない移動アラートが発生しないようにするには、IP アドレスに VPN としてタグを付けることをお勧めします。
アクティビティのエクスポート
ユーザー アクティビティはすべて CSV ファイルにエクスポートできます。
[アクティビティ ログ] で、右上隅の [エクスポート] ボタンを選択します。
![[エクスポート] ボタン。](media/export-button.png)
Note
この記事では、個人データをデバイスやサービスから削除するための手順を示します。この記事は、GDPR 下でのユーザーの義務をサポートするために使用できます。 GDPR に関する一般的な情報については、 Service Trust Portal の GDPR セクションをご覧ください。
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。