Activiteiten onderzoeken

Microsoft Defender voor Cloud Apps geeft u inzicht in alle activiteiten van uw verbonden apps. Nadat u Defender voor Cloud Apps hebt verbonden met een app met behulp van de App-connector, scant Defender voor Cloud Apps alle activiteiten die zijn uitgevoerd. De retroactieve scanperiode verschilt per app en wordt vervolgens voortdurend bijgewerkt met nieuwe activiteiten.

Notitie

Zie Het auditlogboek doorzoeken in het compliancecentrum voor een volledige lijst met Microsoft 365-activiteiten die worden bewaakt door Defender voor Cloud-apps.

U kunt het activiteitenlogboek filteren om te zoeken naar specifieke activiteiten. U maakt beleidsregels op basis van de activiteiten en definieert vervolgens waarover u een waarschuwing wilt ontvangen en actie wilt ondernemen. U kunt zoeken naar activiteiten die worden uitgevoerd op bepaalde bestanden. Het type activiteiten en de informatie die we voor elke activiteit ophalen, hangen af van de app en van het soort gegevens dat de app kan leveren.

U kunt bijvoorbeeld het activiteitenlogboek gebruiken om gebruikers in uw organisatie te vinden die besturingssystemen of browsers gebruiken die verouderd zijn: Nadat u een app hebt verbonden met Defender voor Cloud Apps op de pagina Activiteitenlogboek, gebruikt u het geavanceerde filter en selecteert u de tag Gebruikersagent. Selecteer vervolgens Verouderde browser of Verouderd besturingssysteem.

Het basisfilter biedt uitstekende hulpmiddelen om uw activiteiten te filteren.

U kunt het basisfilter uitbreiden door Geavanceerde filters te selecteren om in te zoomen op specifiekere activiteiten.

Notitie

• De verouderde tag wordt toegevoegd aan activiteitenbeleid dat gebruikmaakt van het oudere filter 'gebruiker'. Dit filter blijft werken zoals gebruikelijk. Als u de verouderde tag wilt verwijderen, kunt u het filter verwijderen en het filter opnieuw toevoegen met behulp van het nieuwe filter Gebruikersnaam .

• In sommige zeldzame gevallen kan het aantal gebeurtenissen in het activiteitenlogboek iets hoger zijn dan het werkelijke aantal gebeurtenissen dat van toepassing is op het filter en wordt weergegeven.

De activiteitenlade

De activiteitslade gebruiken

U kunt meer informatie over elke activiteit bekijken door de activiteit zelf te selecteren in het activiteitenlogboek. Hiermee opent u de activiteitenlade die de volgende aanvullende acties en inzichten biedt voor elke activiteit:

• Overeenkomende beleidsregels: selecteer de koppeling Overeenkomende beleidsregels om een lijst met beleidsregels weer te geven die overeenkomen met deze activiteit.

• Onbewerkte gegevens weergeven: selecteer Onbewerkte gegevens weergeven om de werkelijke gegevens te zien die zijn ontvangen van de app.

• Gebruiker: Selecteer de gebruiker om de gebruikerspagina weer te geven voor de gebruiker die de activiteit heeft uitgevoerd.

• Apparaattype: selecteer Apparaattype om de onbewerkte gebruikersagentgegevens weer te geven.

• Locatie: Selecteer de locatie om de locatie in Bing Kaarten weer te geven.

• IP-adrescategorie en -tags: selecteer de IP-tag om de lijst met IP-tags weer te geven die in deze activiteit zijn gevonden. U kunt vervolgens filteren op alle activiteiten die overeenkomen met deze tag.

De velden in de activiteitenlade bieden contextuele koppelingen naar aanvullende activiteiten en inzoomen die u rechtstreeks vanuit de lade wilt uitvoeren. Als u bijvoorbeeld de cursor naast de categorie IP-adres verplaatst, kunt u het pictogram Toevoegen aan het filter gebruiken om het IP-adres onmiddellijk toe te voegen aan het filter van de huidige pagina. U kunt ook het tandwielpictogram instellingen gebruiken dat verschijnt om rechtstreeks op de instellingenpagina te komen die nodig is om de configuratie van een van de velden, zoals gebruikersgroepen, te wijzigen.

U kunt ook de pictogrammen boven aan het tabblad gebruiken om:

• Activiteiten van hetzelfde type weergeven
• Alle activiteiten van dezelfde gebruiker weergeven
• Activiteiten van hetzelfde IP-adres weergeven
• Activiteiten weergeven vanaf de exacte geografische locatie
• Activiteiten uit dezelfde periode weergeven (48 uur)

Zie Governance-acties voor activiteiten voor een lijst met beschikbare governance-acties.

Gebruikersinzichten

De onderzoekservaring bevat inzichten over de actieve gebruiker. Met één klik krijgt u een uitgebreid overzicht van de gebruiker, met inbegrip van de locatie van waaruit ze zijn verbonden, hoeveel geopende waarschuwingen ze hebben en hun metagegevensinformatie.

Gebruikersinzichten weergeven:

1. Selecteer de activiteit zelf in het activiteitenlogboek.

2. Selecteer vervolgens het tabblad Gebruiker .
   Als u deze optie selecteert, wordt het tabblad Gebruiker activiteitslade geopend met de volgende inzichten over de gebruiker:

   • Waarschuwingen openen: het aantal geopende waarschuwingen waarbij de gebruiker betrokken is.
   • Overeenkomsten: Het aantal beleidsovereenkomsten voor bestanden die eigendom zijn van de gebruiker.
   • Activiteiten: Het aantal activiteiten dat de gebruiker in de afgelopen 30 dagen heeft uitgevoerd.
   • Landen: Het aantal landen dat de gebruiker in de afgelopen 30 dagen heeft verbonden.
   • ISP's: het aantal ISP's dat de gebruiker in de afgelopen 30 dagen heeft verbonden.
   • IP-adressen: het aantal IP-adressen dat de gebruiker in de afgelopen 30 dagen heeft verbonden.

Inzichten in IP-adressen

Omdat IP-adresgegevens van cruciaal belang zijn voor bijna alle onderzoeken, kunt u gedetailleerde informatie over IP-adressen weergeven in de activiteitenlade. Vanuit een specifieke activiteit kunt u het tabblad IP-adres selecteren om geconsolideerde gegevens over het IP-adres weer te geven, inclusief het aantal geopende waarschuwingen voor het specifieke IP-adres, een trendgrafiek van recente activiteit en een locatieoverzicht. Hierdoor kunt u eenvoudig inzoomen bij het onderzoeken van onmogelijke reiswaarschuwingen, bijvoorbeeld. Daarnaast kunt u gemakkelijk begrijpen waar het IP-adres is gebruikt en of het betrokken was bij verdachte activiteiten. U kunt ook acties rechtstreeks uitvoeren in de IP-adreslade waarmee u een IP-adres kunt taggen als riskant, VPN of bedrijf om toekomstig onderzoek en het maken van beleid te vereenvoudigen.

Ip-adresinzichten weergeven:

1. Selecteer de activiteit zelf in het activiteitenlogboek.

2. Selecteer vervolgens het tabblad IP-adres .

   Hiermee opent u het tabblad IP-adres van de activiteitslade, die de volgende inzichten biedt over het IP-adres:

   • Waarschuwingen openen: het aantal geopende waarschuwingen dat betrekking heeft op het IP-adres.

   • Activiteiten: Het aantal activiteiten dat in de afgelopen 30 dagen door het IP-adres is uitgevoerd.

   • IP-locatie: de geografische locaties waaruit het IP-adres in de afgelopen 30 dagen is verbonden.

   • Activiteiten: het aantal activiteiten dat in de afgelopen 30 dagen vanaf dit IP-adres is uitgevoerd.

   • Beheeractiviteiten: het aantal beheeractiviteiten dat in de afgelopen 30 dagen vanaf dit IP-adres wordt uitgevoerd. U kunt de volgende IP-adresacties uitvoeren:

     • Instellen als zakelijk IP-adres en toevoegen aan acceptatielijst
     • Instellen als een VPN-IP-adres en toevoegen aan acceptatielijst
     • Instellen als een riskant IP-adres en toevoegen aan de blokkeringslijst

Notitie

• Interne IPv4- of IPv6-IP-adressen die worden gecontroleerd door de cloudtoepassingen die zijn verbonden met de API, kunnen duiden op interne servicescommunicatie binnen het netwerk van de cloudtoepassing en moeten niet worden verward met interne IP-adressen van het bronnetwerk van waaruit het apparaat is verbonden, omdat de cloudtoepassing niet wordt blootgesteld aan de interne IP-adressen van de apparaten.
• Om te voorkomen dat er onmogelijke reiswaarschuwingen worden gegenereerd wanneer werknemers verbinding maken vanaf hun thuislocaties via de zakelijke VPN, is het raadzaam om het IP-adres als VPN te taggen.

Activiteiten exporteren

U kunt alle gebruikersactiviteiten exporteren naar een CSV-bestand.

Selecteer in het activiteitenlogboek de knop Exporteren in de linkerbovenhoek.

Notitie

Dit artikel bevat stappen voor als u persoonlijke gegevens van het apparaat of de service wilt verwijderen. Bovendien kunt u het gebruiken om uw verplichtingen met betrekking tot de AVG na te komen. Zie het gedeelte AVG van de Service Trust Portal als u op zoek bent naar algemene informatie over de AVG.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.