Defender for Cloud Apps アクティビティのフィルター処理とクエリ
この記事では、Defender for Cloud Apps のアクティビティのフィルターとクエリについて説明し、操作手順を示します。
アクティビティ フィルター
以下に示すのは、適用できるアクティビティ フィルターの一覧です。 ポリシー作成時の強力なツールを提供するために、ほとんどのフィルターでは NOT をはじめとする複数値をサポートしています。
アクティビティ ID - ID を使用して特定のアクティビティのみを検索します。 このフィルターは、(SIEM エージェントを使用して) Defender for Cloud Apps を SIEM に接続する場合や、Microsoft Defender for Cloud Apps ポータル内でアラートをさらに詳細に調査する場合に便利です。
アクティビティ オブジェクト - アクティビティが行われたオブジェクトを検索します。 このフィルターは、ファイル、フォルダー、ユーザーまたはアプリのオブジェクトに適用されます。
アクティビティのオブジェクト ID - オブジェクトの ID (ファイル、フォルダー、ユーザー、またはアプリの ID)。
アイテム - アクティビティ オブジェクトの名前または ID で検索できます (例: ユーザー名、ファイル、パラメーター、サイト)。 [アクティビティ オブジェクト項目] フィルターでは、特定の項目について [次の値を含む]、[等しい]、または [次の値で始まる] を選択して項目をフィルターできます。
アクション タイプ - アプリで実行されるより具体的なアクションを検索します。
アクティビティのタイプ - アプリ アクティビティを検索します。
Note
アプリがフィルターに追加されるのは、そのアプリに対するアクティビティが存在する場合のみです。
管理アクティビティ - 管理アクティビティのみを検索します。
Note
Defender for Cloud Apps では、Google Cloud Platform (GCP) 管理アクティビティを管理アクティビティとしてマークすることはできません。
アラート ID: アラート ID で検索します。
アプリ - 特定のアプリ内のアクティビティのみを検索します。
適用されたアクション - 適用されているガバナンス アクション ([ブロック]、[プロキシのバイパス]、[暗号化解除されました]、[暗号化]、[暗号化できませんでした]、[アクションなし]) で検索します。
日付 - アクティビティが発生した日付。 フィルターでは指定した日以前/以降、および日付の範囲を設定できます。
デバイス タグ - Intune 準拠、Microsoft Entra ハイブリッド参加済み、または有効なクライアント証明書で検索します。
デバイスのタイプ - 特定のタイプのデバイスを使用して行われたアクティビティのみを検索します。 たとえば、モバイル デバイス、PC、またはタブレットからのすべてのアクティビティを検索します。
ファイルとフォルダー - アクティビティが実行されたファイルとフォルダーを検索します。
- ファイル ID - アクティビティが実行されたファイル ID で検索を行うことができます。
- 名前 - ファイルまたはフォルダーの名前に対してフィルター処理を行います。 名前と検索値の関係を [ends with]\(次の値で終わる\)、[が次と等しい]、または [starts with]\(が次で始まる\) から選択できます。
- 特定のファイルまたはフォルダー - 特定のファイルまたはフォルダーを含める、または除外することができます。 ファイルまたはフォルダーを選択するとき、アプリ、所有者、または部分的なファイル名でリストをフィルター処理することができます。
IP アドレス - アクティビティの実行元の生 IP アドレス、カテゴリ、またはタグ。
- 生 IP アドレス - 生 IP アドレス上で、または生 IP アドレスによって実行されたアクティビティを検索することができます。 特定のシーケンスに等しい/等しくない生 IP アドレス、または特定のシーケンスで始まる/始まらない生 IP アドレスを指定できます。
- IP カテゴリ - アクティビティの実行元の IP アドレスのカテゴリ。管理者の IP アドレス範囲から実行されたすべてのアクティビティなどを指定できます。 カテゴリは、関連する IP アドレスを含むように構成する必要があります。 既定では、一部の IP は分類される場合があります。 たとえば、Microsoft の脅威インテリジェンス ソースによって考慮される IP アドレスは、リスクの高いアドレスとして分類されます。 IP カテゴリの構成方法については、「ニーズに応じたデータの管理」を参照してください。
- IP タグ - 匿名のプロキシ IP アドレスから実行されたすべてのアクティビティなどの、アクティビティの実行元の IP アドレスのタグ。 Defender for Cloud Apps は、構成できない一連の組み込み IP タグを作成します。 さらに、IP タグを構成することもできます。 IP タグの構成の詳細については、「ニーズに応じたデータの管理」を参照してください。
組み込みの IP タグには、次のものが含まれます。
- Microsoft アプリ (このうち 14 個)
- 匿名プロキシ
- ボットネット (アクティビティがボットネットで実行された場合、リンクから特定のボットネットの詳細を確認できます)
- IP をスキャンするダークネット
- マルウェア C&C サーバー
- リモート接続アナライザー
- サテライト プロバイダー
- スマート プロキシとアクセス プロキシ (意図的に除外)
- Tor 出口ノード
- Zscaler
偽装されたアクティビティ - 別のユーザーの名前で実行されたアクティビティのみを検索します。
インスタンス - アクティビティが実行された、または実行されなかったアプリのインスタンス。
場所 - アクティビティの実行元の国または地域。
一致したポリシー - ポータルで設定されている特定のポリシーに一致したアクティビティを検索します。
登録された ISP - アクティビティの実行元の ISP。
ソース - アクティビティが検出されたソースで検索します。 ソースは、次のいずれかの値にすることができます。
- アプリ コネクター - アプリの API コネクタから直接届くログ。
- アプリ コネクタ分析 - API コネクタによる情報スキャンに基づく Defender for Cloud Apps 拡張。
ユーザー - アクティビティを実行したユーザー。ドメイン、グループ、名前、または組織でフィルターできます。 [が設定されていない] 演算子を使用すると、特定のユーザーが存在しないアクティビティをフィルター処理できます。
- ユーザー ドメイン - 特定のユーザー ドメインを検索します。
- ユーザー組織 - EMEA マーケティング ユーザーが実行したすべてのアクティビティなどの、アクティビティを実行したユーザーの組織単位。 これは、組織単位を使用する接続された Google Workspace インスタンスにのみ関連します。
- ユーザー グループ - Microsoft 365 管理者など、接続されているアプリからインポートできる特定のユーザー グループ。
- ユーザー名 - 特定のユーザー名を検索します。 特定のユーザー グループ内のユーザーの一覧を表示するには、[アクティビティ ドロアー] で、ユーザー グループの名前を選択します。 クリックすることで、グループ内のすべてのユーザーが一覧表示された [アカウント] ページに移動します。 そこから、グループ内の特定ユーザーのアカウントの詳細を調べていくことができます。
- [ユーザー グループ] と [ユーザー名] のフィルターは、[条件] フィルターを使用し、次のいずれかのユーザーのロールを選択することで、さらにフィルターすることができます。
- アクティビティ オブジェクトのみ - 対象のアクティビティを実行しておらず、アクティビティのオブジェクトである選択されたユーザーまたはユーザー グループ。
- アクターのみ - アクティビティを実行したユーザーまたはユーザー グループ。
- すべてのロール - アクティビティを実行した者として、またはアクティビティのオブジェクトとしてアクティビティに関係している、ユーザーまたはユーザー グループ。
ユーザー エージェント - アクティビティの実行元のユーザー エージェント。
ユーザー エージェントのタグ - 古いオペレーティング システムや古いブラウザーから実行されたすべてのアクティビティなどの、組み込み済みのユーザー エージェント タグ。
アクティビティのクエリ
調査をさらに簡単にするために、カスタム クエリを作成し、それを後で使用するために保存できるようになりました。
- [アクティビティ ログ] ページで、前述のフィルターを利用し、必要に応じてアプリにドリルダウンします。
クエリの作成が完了したら、[名前を付けて保存] ボタンを選択します。
[クエリの保存] ポップアップでクエリに名前を付けます。
このクエリを今後もう一度使用するには、[クエリ] の下で、下方向にスクロールして [保存されたクエリ] を表示し、クエリを選択します。
Defender for Cloud Apps にはクエリ候補の機能もあります。 クエリ候補によって、アクティビティをフィルター処理する調査方法が推奨されます。 これらのクエリを編集し、カスタム クエリとして保存することができます。 次に、省略可能なクエリの候補を示します。
管理者アクティビティ - すべてのアクティビティにフィルター処理を適用し、管理者が関与したアクティビティのみを表示します。
ダウンロード アクティビティ - すべてのアクティビティにフィルター処理を適用し、.csv ファイルでのユーザー リストのダウンロード、共有コンテンツのダウンロード、フォルダーのダウンロードなど、ダウンロードが含まれるアクティビティであったもののみを表示します。
失敗したログイン - すべてのアクティビティにフィルター処理を適用し、失敗したサインインや、SSO 経由で失敗したサインインのみを表示します。
ファイルとフォルダーのアクティビティ - すべてのアクティビティにフィルター処理を適用し、ファイルとフォルダーが関係するもののみを表示します。 フィルター処理には、フォルダーのアップロード、ダウンロード、フォルダーへのアクセスや、ファイルの作成、削除、アップロード、ダウンロード、検疫、ファイルへのアクセス、コンテンツの転送が含まれます。
権限借用アクティビティ - すべてのアクティビティにフィルター処理を適用し、権限借用アクティビティのみを表示します。
パスワードの変更とリセットの要求 - すべてのアクティビティにフィルター処理を適用し、パスワードのリセット、パスワードの変更、次回のサインイン時のパスワード変更の強制に関連するアクティビティのみを表示します。
共有アクティビティ - すべてのアクティビティにフィルター処理を適用し、会社リンクの作成、匿名リンクの作成、読み取り/書き込みアクセス許可の付与など、フォルダーやファイルの共有に関するアクティビティのみを表示します。
成功したログイン - すべてのアクティビティにフィルター処理を適用し、権限借用アクション、権限借用サインイン、シングル サインオンによるサインイン、新しいデバイスからのサインインなど、成功したサインインに関係するアクティビティのみを表示します。
また、新しいクエリの開始点としてクエリ候補を利用できます。 まず、クエリ候補の 1 つを選択します。 次に、必要に応じて変更を加え、最後に [名前を付けて保存] を選択して、新しい 保存済みクエリ を作成します。
6 か月前のクエリ アクティビティ
30 日より前のアクティビティを調査するには、[アクティビティ ログ] に移動し、画面の右上隅にある [6 か月前の調査] を選択します。
そこから通常、アクティビティ ログで行う同じ方法でフィルターを定義できますが、次の点が異なります。
日付フィルターは必須であり、対象範囲は 1 週間に制限されます。 つまり、最大 6 か月前のアクティビティに対してクエリを実行できますが、一度のクエリで対象にできるのは 1 週間分のアクティビティのみです。
30 日以上前に対するクエリは、次のフィールドでのみサポートされています。
- 活動 ID
- 活動のタイプ
- アクションのタイプ
- アプリケーション
- IP アドレス (IP address)
- 場所
- ユーザー名
次に例を示します。
過去 6 か月のアクティビティのエクスポート (プレビュー)
左上隅にある [エクスポート] ボタンをクリックすると、最大で 6 か月間のすべてのアクティビティをエクスポートできます。
データをエクスポートする場合は、最大 6 か月間の日付範囲を選択でき、プライベート アクティビティを除外することもできます。
エクスポート先ファイルは 100,000 レコードに制限され、CSV 形式になります。
結果ファイルには、[エクスポートされたレポート] からアクセスできます。 ユーザーは、Microsoft 365 Defender ポータルの [レポート] -> クラウド アプリ に移動して、エクスポート プロセスの状態を確認し、過去のエクスポートにアクセスできます。
プライベート アクティビティを含むレポートは、レポート ページに目のアイコン付きで表示されます。