앱 활동을 클라우드용 Defender 필터링 및 쿼리
이 문서에서는 클라우드용 Defender 앱 활동 필터 및 쿼리에 대한 설명과 지침을 제공합니다.
활동 필터
다음은 적용할 수 있는 활동 필터 목록입니다. 대부분의 필터는 정책 생성을 위한 강력한 도구를 제공하지 않을 뿐만 아니라 여러 값을 지원합니다.
활동 ID - 해당 ID로 특정 활동만 검색합니다. 이 필터는 클라우드용 Microsoft Defender 앱을 SIEM에 연결하고(SIEM 에이전트 사용) 클라우드용 Defender 앱 포털 내에서 경고를 추가로 조사하려는 경우에 유용합니다.
활동 개체 - 활동이 수행된 대상 개체를 검색합니다. 이 필터는 파일, 폴더, 사용자 또는 앱 개체에 적용됩니다.
활동 개체 ID - 개체의 ID(파일, 폴더, 사용자 또는 앱 ID)입니다.
항목 - 활동 개체의 이름 또는 ID(예: 사용자 이름, 파일, 매개 변수, 사이트)로 검색할 수 있습니다. 활동 개체 항목 필터의 경우 특정 항목으로 포함, 등 또는 시작 항목에 대해 필터링할지 여부를 선택할 수 있습니다.
작업 유형 - 앱에서 수행된 보다 구체적인 작업을 검색합니다.
활동 유형 - 응용 프로그램 활동을 검색합니다.
참고 항목
앱은 해당 앱에 대한 활동이 있는 경우에만 필터에 추가됩니다.
관리 활동 – 관리 활동만 검색합니다.
참고 항목
클라우드용 Defender 앱은 GCP(Google Cloud Platform) 관리 활동을 관리 활동으로 표시할 수 없습니다.
경고 ID - 경고 ID를 기준으로 검색합니다.
앱 - 특정 앱 내의 활동만 검색합니다.
적용된 작업 - 적용된 거버넌스 작업에 따라 차단, 프록시 우회, 해독, 암호화, 암호화 실패, 작업 없음을 기준으로 검색합니다.
날짜 - 활동이 발생한 날짜입니다. 필터는 이전/이후 날짜와 날짜 범위를 지원합니다.
디바이스 태그 - Intune 준수, Microsoft Entra 하이브리드 조인 또는 유효한 클라이언트 인증서로 검색합니다.
디바이스 유형 - 특정 디바이스 유형을 사용하여 수행된 활동만 검색합니다. 예를 들어, 모바일 디바이스, PC 또는 태블릿의 모든 활동을 검색합니다.
파일 및 폴더 - 활동을 수행한 파일 및 폴더를 검색합니다.
- 파일 ID - 활동을 수행한 파일 ID로 검색할 수 있습니다.
- 이름 - 파일 또는 폴더의 이름을 필터링합니다. 이름에서 검색 값이 끝 문자, 같음 또는 시작 문자인지 여부를 선택할 수 있습니다.
- 특정 파일 또는 폴더 - 특정 파일 또는 폴더를 포함하거나 제외할 수 있습니다. 파일 또는 폴더를 선택할 때 앱, 소유자 또는 부분 파일 이름으로목록을 필터링할 수 있습니다.
IP 주소 - 활동을 수행한 원시 IP 주소, 범주 또는 태그입니다.
- 원시 IP 주소 - 원시 IP 주소에서 또는 원시 IP 주소에 의해 수행된 활동을 검색할 수 있습니다. 원시 IP는 특정 시퀀스와 같거나 같지 않거나 특정 시퀀스로 시작하거나 시작하지 않을 수 있습니다.
- IP 범주 - 작업이 수행된 IP 주소의 범주입니다(예: 관리 IP 주소 범위의 모든 활동). 관련 IP 주소를 포함하도록 범주를 구성해야 합니다. 일부 IP는 기본적으로 분류될 수 있습니다. 예를 들어 Microsoft 위협 인텔리전스 원본에서 고려하는 IP 주소가 위험으로 분류됩니다. IP 범주를 구성하는 방법을 알아보려면 요구에 따라 데이터 구성을 참조하세요.
- IP 태그 - 활동을 수행한 IP 주소의 태그입니다(예: 익명 프록시 IP 주소의 모든 활동). 클라우드용 Defender 앱은 구성할 수 없는 기본 제공 IP 태그 집합을 만듭니다. 또한 IP 태그를 구성할 수 있습니다. IP 태그를 구성하는 방법에 대한 자세한 내용은 필요에 따라 데이터 구성을 참조하세요.
기본 제공 IP 태그에는 다음이 포함됩니다.
- Microsoft 앱(그중 14개)
- 익명 프록시
- 봇넷(특정 봇넷에 대한 세부 정보 링크를 통해 활동이 봇넷에 의해 수행되었는지 확인하게 됩니다.)
- Darknet 검색 IP
- 맬웨어 C&C 서버
- 원격 연결 분석기
- 위성 공급자
- 스마트 프록시 및 액세스 프록시(고의로 제외)
- Tor 종료 노드
- Zscaler
가장된 활동 - 다른 사용자의 이름으로 수행된 활동만 검색합니다.
인스턴스 - 활동이 수행되었거나 수행되지 않은 앱 인스턴스입니다.
위치 – 활동이 수행된 국가/지역입니다.
일치 정책 – 포털에서 설정된 특정 정책과 일치하는 활동을 검색합니다.
등록된 ISP – 활동을 수행한 ISP입니다.
원본 - 활동이 검색된 원본을 기준으로 검색합니다. 원본은 다음 중 어느 것일 수 있습니다.
- 앱 커넥터 - 앱의 API 커넥터에서 직접 들어오는 로그입니다.
- 앱 커넥터 분석 - API 커넥터에서 검색한 정보를 기반으로 앱 보강을 클라우드용 Defender.
사용자 – 활동을 수행한 사용자입니다. 도메인, 그룹, 이름 또는 조직을 기준으로 필터링할 수 있습니다. 특정 사용자가 없는 활동을 필터링하려면 'is not set' 연산자를 사용할 수 있습니다.
- 사용자 도메인 - 특정 사용자 도메인을 검색합니다.
- 사용자 조직 – 활동을 수행한 사용자의 조직 구성 단위(예: EMEA_marketing 사용자가 수행한 모든 활동). 이는 조직 단위를 사용하는 연결된 Google Workspace 인스턴스에만 관련됩니다.
- 사용자 그룹 – 연결된 앱에서 가져올 수 있는 특정 사용자 그룹(예: Microsoft 365 관리자).
- 사용자 이름 - 특정 사용자 이름을 검색합니다. 특정 사용자 그룹의 사용자 목록을 보려면 활동 서랍에서 사용자 그룹의 이름을 선택합니다. 클릭하면 그룹의 모든 사용자를 나열하는 계정 페이지로 이동됩니다. 여기에서 그룹의 특정 사용자에 대한 계정 정보로 다운할 수 있습니다.
- 사용자 그룹 및 사용자 이름 필터는 As 필터를 사용하고 사용자의 역할을 선택하여 추가로 필터링할 수 있습니다. 이 필터는 다음 중 어느 것이든 가능합니다.
- 활동 개체만 - 선택한 사용자 또는 사용자 그룹이 해당 활동을 수행하지 않았음을 의미합니다. 활동의 개체였습니다.
- 행위자만 - 사용자 또는 사용자 그룹이 활동을 수행했음을 나타냅니다.
- 모든 역할 - 사용자 또는 사용자 그룹이 활동을 수행한 사람 또는 활동의 개체로 활동에 참여했음을 의미합니다.
사용자 에이전트 – 활동을 수행한 사용자 에이전트입니다.
사용자 에이전트 태그 – 기본 제공 사용자 에이전트 태그(예: 오래된 운영 체제 또는 오래된 브라우저의 모든 활동).
활동 쿼리
조사를 간소화하기 위해 사용자 지정 쿼리를 만들어서 나중에 사용할 수 있도록 저장할 수 있습니다.
- 활동 로그 페이지에서 위의 설명대로 필터를 사용하여 필요에 따라 앱을 드릴다운합니다.
쿼리 작성을 완료한 후 다른 이름으로 저장 단추를 선택합니다.
쿼리 저장 팝업에서 쿼리 이름을 지정합니다.
나중에 쿼리를 사용하려면 쿼리에서 저장된 쿼리까지 아래로 스크롤하여 쿼리를 선택합니다.
클라우드용 Defender 앱은 제안된 쿼리입니다. 제안된 쿼리는 활동을 필터링하는 권장 조사 환경을 제공합니다. 이러한 쿼리를 편집하고 사용자 지정 쿼리로 저장할 수 있습니다. 다음은 선택 가능한 제안된 쿼리입니다.
관리 활동 - 모든 활동을 필터링하여 관리자와 관련된 활동만 표시합니다.
활동 다운로드 - 사용자 목록을 .csv 파일로 다운로드, 공유 콘텐츠 다운로드 및 폴더 다운로드를 포함하여 다운로드한 활동만 표시하도록 모든 활동을 필터링합니다.
로그인 실패 - SSO를 통해 실패한 로그인 및 실패한 로그인만 표시하도록 모든 활동을 필터링합니다.
파일 및 폴더 활동 - 파일 및 폴더와 관련된 활동만 표시하도록 모든 활동을 필터링합니다. 필터에는 파일 만들기, 삭제, 업로드, 다운로드, 격리 및 파일 액세스 및 콘텐츠 전송과 함께 폴더 업로드, 다운로드 및 액세스가 포함됩니다.
가장 활동 - 가장 활동만 표시하도록 모든 활동을 필터링합니다.
암호 변경 및 다시 설정 요청 - 모든 활동을 필터링하여 암호 재설정과 관련된 활동만 표시하고, 암호를 변경하고, 사용자가 다음 로그인 시 암호를 변경하도록 합니다.
활동 공유 - 회사 링크 만들기, 익명 링크 만들기, 읽기/쓰기 권한 부여 등 폴더 및 파일 공유와 관련된 활동만 표시하도록 모든 활동을 필터링합니다.
성공적인 로그인 - 가장 작업, 가장 로그인, Single Sign-o 로그인 및 새 디바이스에서 로그인을 포함하여 성공적인 로그인을 포함하는 활동만 표시하도록 모든 활동을 필터링합니다.
또한 제안된 쿼리를 새 쿼리의 시작점으로 사용할 수 있습니다. 먼저 제안된 쿼리 중 하나를 선택합니다. 그런 다음 필요에 따라 변경하고 마지막으로 [저장]을 선택하여 새 저장된 쿼리를 만듭니다.
쿼리 작업 6개월 전
30일이 지난 활동을 조사하려면 활동 로그로 이동하고 화면의 오른쪽 위 모서리에서 6개월 조사를 다시 선택할 수 있습니다.
여기에서 다음과 같은 차이점으로 일반적으로 활동 로그를 사용하여 수행되는 필터를 정의할 수 있습니다.
날짜 필터는 필수이며 1주일 범위로 제한됩니다. 즉, 최대 6개월 동안 활동을 쿼리할 수 있지만 한 번에 1주일 동안만 쿼리할 수 있습니다.
다음 필드에만 30일 이상 다시 쿼리가 지원됩니다.
- 활동 ID
- 활동 유형입니다.
- 작업 유형
- 애플리케이션
- IP 주소
- 위치
- 사용자 이름
예시:
6개월 뒤로 활동 내보내기(미리 보기)
왼쪽 위 모서리에 있는 내보내기 단추를 클릭하여 최대 6개월의 모든 활동을 내보낼 수 있습니다.
데이터를 내보낼 때 최대 6개월의 날짜 범위를 선택하고 개인 활동을 제외할 수 있습니다.
내보낸 파일은 100,000개의 레코드로 제한되며 CSV 형식입니다.
내보낸 보고서에서 결과 파일에 액세스할 수 있습니다. 사용자는 Microsoft 365 Defender 포털의 보고서 -> Cloud Apps로 이동하여 내보내기 프로세스의 상태를 확인하고 과거 내보내기 액세스에 액세스할 수 있습니다.
비공개 활동이 포함된 보고서는 보고서 페이지에 눈 아이콘으로 표시됩니다.