Delen via


Activiteiten Defender voor Cloud Apps filteren en er query's op uitvoeren

Dit artikel bevat beschrijvingen en instructies voor Defender voor Cloud Apps-activiteitsfilters en -query's.

Activiteitfilters

Hieronder volgt een lijst met de activiteitfilters die kunnen worden toegepast. De meeste filters ondersteunen meerdere waarden en NIET om u een krachtig hulpprogramma te bieden voor het maken van beleid.

  • Activiteit-id - Zoek alleen naar specifieke activiteiten op basis van de id. Dit filter is handig wanneer u Microsoft Defender voor Cloud Apps verbindt met uw SIEM (met behulp van de SIEM-agent) en u waarschuwingen verder wilt onderzoeken in de Defender voor Cloud Apps-portal.

  • Activiteitsobjecten: zoek naar de objecten waarop de activiteit is uitgevoerd. Dit filter is van toepassing op bestanden, mappen, gebruikers of app-objecten.

    • Activiteitsobject-id: de id van het object (bestand, map, gebruiker of app-id).

    • Item: hiermee kunt u zoeken op de naam of id van een activiteitsobject (bijvoorbeeld gebruikersnamen, bestanden, parameters, sites). Voor het objectfilter Activiteit kunt u selecteren of u wilt filteren op items die het specifieke item bevatten, gelijk zijn of beginnen.

  • Actietype: zoek naar een specifiekere actie die in een app wordt uitgevoerd.

  • Activiteitstype - zoek naar de app-activiteit.

    Notitie

    Apps worden alleen toegevoegd aan het filter als er activiteit is voor die app.

  • Beheeractiviteit – zoek alleen naar beheeractiviteiten.

    Notitie

    Defender voor Cloud Apps kunnen GCP-beheeractiviteiten (Google Cloud Platform) niet markeren als beheeractiviteiten.

  • Waarschuwings-id - zoek naar waarschuwings-id.

  • App – zoek alleen naar activiteiten binnen specifieke apps.

  • Toegepaste actie - zoek naar toegepaste beheeractie: Geblokkeerd, Proxy overslaan, Ontsleuteld, Versleuteld, Versleutelen is mislukt, Geen actie.

  • Datum – de datum waarop de activiteit is uitgevoerd. Filter ondersteunt vóór/na datums en een datumbereik.

  • Apparaattag: zoeken op Intune-compatibel, hybride Microsoft Entra-gekoppeld of geldig clientcertificaat.

  • Apparaattype: zoek alleen naar activiteiten die zijn uitgevoerd met behulp van een specifiek apparaattype. Zoek bijvoorbeeld alle activiteiten van mobiele apparaten, pc's of tablets.

  • Bestanden en mappen - Zoeken naar bestanden en mappen waarop de activiteit is uitgevoerd.

    • Bestands-id: hiermee kunt u zoeken op de bestands-id waarop de activiteit is uitgevoerd.
    • Naam: filters op de naam van bestanden of mappen. U kunt selecteren of de naam eindigt op, gelijk is aan of begint met uw zoekwaarde.
    • Specifieke bestanden of mappen: u kunt specifieke bestanden of mappen opnemen of uitsluiten. U kunt de lijst filteren op app, eigenaar of gedeeltelijke bestandsnaamwanneer u bestanden of mappen selecteert.
  • IP-adres: het onbewerkte IP-adres, de categorie of de tag van waaruit de activiteit is uitgevoerd.

    • Onbewerkt IP-adres: hiermee kunt u zoeken naar activiteiten die zijn uitgevoerd op of door onbewerkte IP-adressen. De onbewerkte IP-adressen kunnen gelijk zijn aan, niet gelijk zijn aan, beginnen met of niet beginnen met een bepaalde reeks.
    • IP-categorie: de categorie van het IP-adres van waaruit de activiteit is uitgevoerd, bijvoorbeeld alle activiteiten uit het bereik van het IP-adres voor beheer. De categorieën moeten worden geconfigureerd om de relevante IP-adressen op te nemen. Sommige IP-adressen kunnen standaard worden gecategoriseerd. Er zijn bijvoorbeeld IP-adressen die worden beschouwd door bronnen voor bedreigingsinformatie van Microsoft, worden gecategoriseerd als riskant. Zie De gegevens volgens uw behoeften ordenen voor informatie over het configureren van IP-categorieën.
    • IP-tag - de tag van het IP-adres waarop de activiteit is uitgevoerd, bijvoorbeeld alle activiteiten van IP-adressen met een anonieme proxy. Defender voor Cloud Apps maakt een set ingebouwde IP-tags die niet kunnen worden geconfigureerd. Daarnaast kunt u uw IP-tags configureren. Zie De gegevens organiseren op basis van uw behoeften voor meer informatie over het configureren van uw IP-tags. De ingebouwde IP-tags omvatten het volgende:
      • Microsoft-apps (14 hiervan)
      • Anonieme proxy
      • Botnet (u ziet dat de activiteit is uitgevoerd door een botnet met een koppeling voor meer informatie over het specifieke botnet)
      • Darknet scanning IP (IP voor darknet scannen)
      • C & C-server van malware
      • Remote Connectivity Analyzer
      • Satelliet-providers
      • Slimme proxy en toegangsproxy (met opzet weggelaten)
      • Tor-eindknooppunten
      • Zscaler
  • Geïmiteerde activiteit – zoek alleen naar activiteiten die zijn uitgevoerd uit naam van een andere gebruiker.

  • Exemplaar: het app-exemplaar waar de activiteit was of niet is uitgevoerd.

  • Locatie: het land/de regio van waaruit de activiteit is uitgevoerd.

  • Overeenkomend beleid: zoek naar activiteiten die overeenkomen met een specifiek beleid dat is ingesteld in de portal.

  • Geregistreerde ISP – de internetprovider van waaruit de activiteit is uitgevoerd.

  • Bron: zoeken op de bron waar de activiteit is gedetecteerd. De bron kan een van de volgende zijn:

    • App-connector: logboeken die rechtstreeks afkomstig zijn van de API-connector van de app.
    • App-connector analyse: Defender voor Cloud Apps-verrijkingen op basis van informatie die door de API-connector is gescand.
  • Gebruiker: de gebruiker die de activiteit heeft uitgevoerd, die kan worden gefilterd op domein, groep, naam of organisatie. Als u activiteiten zonder specifieke gebruiker wilt filteren, kunt u de operator 'is niet ingesteld' gebruiken.

    • Gebruikersdomein - zoek naar een specifiek gebruikersdomein.
    • Organisatie van de gebruiker – de organisatie-eenheid van de gebruiker die de activiteit heeft uitgevoerd, bijvoorbeeld alle activiteiten die worden uitgevoerd door Marketing_gebruikers in EMEA. Dit is alleen relevant voor verbonden Google Workspace-exemplaren met behulp van organisatie-eenheden.
    • Gebruikersgroep: specifieke gebruikersgroepen die u kunt importeren uit verbonden apps, bijvoorbeeld Microsoft 365-beheerders.
    • Gebruikersnaam - zoek naar een specifieke gebruikersnaam. Als u een lijst met gebruikers in een specifieke gebruikersgroep wilt zien, selecteert u in de activiteitenlade de naam van de gebruikersgroep. Als u klikt, gaat u naar de pagina Accounts, waarin alle gebruikers in de groep worden vermeld. Hier kunt u inzoomen op de details van de accounts van specifieke gebruikers in de groep.
    • De filters gebruikersgroep en gebruikersnaam kunnen verder worden gefilterd met behulp van het as-filter en het selecteren van de rol van de gebruiker. Dit kan een van de volgende zijn:
      • Alleen activiteitsobject- wat betekent dat de geselecteerde gebruiker of gebruikersgroep de betreffende activiteit niet heeft uitgevoerd; ze waren het object van de activiteit.
      • Alleen actor, wat betekent dat de gebruiker of gebruikersgroep de activiteit heeft uitgevoerd.
      • Elke rol: dit betekent dat de gebruiker of gebruikersgroep betrokken was bij de activiteit, hetzij als de persoon die de activiteit heeft uitgevoerd of als het object van de activiteit.
  • Gebruikersagent – de gebruikersagent van waaruit de activiteit is uitgevoerd.

  • Tag van gebruikersagent: ingebouwde tag van gebruikersagent, bijvoorbeeld alle activiteiten van verouderde besturingssystemen of verouderde browsers.

Activiteitsquery's

Om onderzoek nog eenvoudiger te maken, kunt u nu aangepaste query's maken en opslaan voor later gebruik.

  1. Gebruik op de pagina Activiteitenlogboek de filters zoals hierboven beschreven om waar nodig in te zoomen op uw apps.

Gebruik filters om query's te maken.

  1. Nadat u klaar bent met het bouwen van uw query, selecteert u de knop Opslaan als .

  2. Geef uw query een naam in het pop-upvenster Opslaan.

    nieuwe query.

  3. Als u deze query later opnieuw wilt gebruiken, schuift u onder Query's omlaag naar Opgeslagen query's en selecteert u uw query.

    open query.

Defender voor Cloud Apps biedt u ookVoorgestelde query's. Voorgestelde query's bieden u aanbevolen onderzoeksopties waarmee uw activiteiten worden gefilterd. U kunt deze query's bewerken en opslaan als aangepaste query's. Hier volgen optionele voorgestelde query's:

  • Beheeractiviteiten: hiermee filtert u al uw activiteiten om alleen die activiteiten weer te geven die betrekking hebben op beheerders.

  • Downloadactiviteiten: hiermee filtert u al uw activiteiten om alleen die activiteiten weer te geven die activiteiten waren gedownload, waaronder het downloaden van een gebruikerslijst als een .csv-bestand, het downloaden van gedeelde inhoud en het downloaden van een map.

  • Mislukte aanmelding: filtert al uw activiteiten om alleen mislukte aanmeldingen en mislukte aanmeldingen weer te geven via eenmalige aanmelding

  • Activiteiten voor bestanden en mappen: hiermee filtert u al uw activiteiten om alleen bestanden en mappen weer te geven. Het filter omvat het uploaden, downloaden en openen van mappen, samen met het maken, verwijderen, uploaden, downloaden, quarantieren en openen van bestanden en het overdragen van inhoud.

  • Imitatieactiviteiten: hiermee filtert u al uw activiteiten om alleen imitatieactiviteiten weer te geven.

  • Wachtwoordwijzigingen en aanvragen voor opnieuw instellen: hiermee filtert u al uw activiteiten om alleen die activiteiten weer te geven waarvoor het opnieuw instellen van wachtwoorden nodig is, het wachtwoord te wijzigen en af te dwingen dat een gebruiker het wachtwoord bij de volgende aanmelding wijzigt.

  • Activiteiten delen: hiermee filtert u al uw activiteiten om alleen die activiteiten weer te geven die betrekking hebben op het delen van mappen en bestanden, zoals het maken van een bedrijfskoppeling, het maken van een anonieme koppeling en het verlenen van lees-/schrijfmachtigingen.

  • Geslaagde aanmelding: hiermee filtert u al uw activiteiten om alleen die activiteiten weer te geven waarvoor geslaagde aanmeldingen zijn vereist, waaronder een actie imiteren, aanmelden imiteren, eenmalige aanmelding en aanmelding vanaf een nieuw apparaat.

queryactiviteiten.

Daarnaast kunt u de voorgestelde query's gebruiken als uitgangspunt voor een nieuwe query. Selecteer eerst een van de voorgestelde query's. Breng vervolgens indien nodig wijzigingen aan en selecteer ten slotte Opslaan als om een nieuwe opgeslagen query te maken.

Queryactiviteiten zes maanden terug

Als u activiteiten wilt onderzoeken die ouder zijn dan 30 dagen, gaat u naar het activiteitenlogboek en selecteert u Onderzoeken 6 maanden terug in de rechterbovenhoek van het scherm:

Selecteer onderzoek 6 maanden terug.

Hier kunt u de filters definiëren zoals normaal gesproken wordt gedaan met het activiteitenlogboek, met de volgende verschillen:

  • Het datumfilter is verplicht en is beperkt tot een periode van één week. Dit betekent dat u activiteiten tot zes maanden terug kunt opvragen, maar dat u dit slechts één week tegelijk kunt doen.

  • Query's uitvoeren op meer dan 30 dagen terug wordt alleen ondersteund voor de volgende velden:

    • Activiteits-id
    • Type activiteit
    • Actietype
    • Toepassing
    • IP-adres
    • Locatie
    • User name

Voorbeeld:

Filter na het selecteren van onderzoek 6 maanden terug.

Exportactiviteiten zes maanden terug (preview)

U kunt alle activiteiten van maximaal zes maanden exporteren door te klikken op de knop Exporteren in de linkerbovenhoek
Klik op het exportpictogram om records te exporteren.

Wanneer u gegevens exporteert, kunt u een datumbereik van maximaal zes maanden kiezen en privéactiviteiten uitsluiten.
Het geëxporteerde bestand is beperkt tot 100.000 records en heeft een CSV-indeling.

Het resultaatbestand is toegankelijk onder de geëxporteerde rapporten. Gebruikers kunnen navigeren naar rapporten -> Cloud-apps in de Microsoft 365 Defender-portal om de status van het exportproces weer te geven en toegang te krijgen tot eerdere exports.
Rapporten met privéactiviteiten worden gemarkeerd met een oogpictogram op de rapportpagina.

oogpictogram

Volgende stappen