Udostępnij za pośrednictwem


Badanie działań

Microsoft Defender dla Chmury Apps zapewnia wgląd we wszystkie działania z połączonych aplikacji. Po połączeniu aplikacji Defender dla Chmury z aplikacją przy użyciu Łącznik aplikacji aplikacja Defender dla Chmury skanuje wszystkie działania, które wystąpiły — okres skanowania wstecznego różni się w zależności od aplikacji — a następnie jest stale aktualizowany przy użyciu nowych działań.

Uwaga

Aby uzyskać pełną listę działań platformy Microsoft 365 monitorowanych przez aplikacje Defender dla Chmury, zobacz Przeszukiwanie dziennika inspekcji w centrum zgodności.

Dziennik działań można filtrować, aby umożliwić znajdowanie określonych działań. Zasady są tworzone na podstawie działań, a następnie definiujesz, co chcesz otrzymywać alerty i wykonywać na ich podstawie działania. Możesz wyszukać działania wykonywane na niektórych plikach. Typ działań i informacje uzyskiwane dla każdego działania zależą od aplikacji oraz rodzaju danych, jakie może dostarczyć aplikacja.

Możesz na przykład użyć dziennika aktywności, aby znaleźć użytkowników w organizacji korzystających z systemów operacyjnych lub przeglądarek, które są nieaktualne, w następujący sposób: po połączeniu aplikacji z usługą Defender dla Chmury Aplikacje na stronie Dziennik aktywności użyj filtru zaawansowanego i wybierz tag agenta użytkownika. Następnie wybierz pozycję Nieaktualna przeglądarka lub Nieaktualny system operacyjny.

Przykład nieaktualnej przeglądarki działania.

Podstawowy filtr udostępnia doskonałe narzędzia do rozpoczęcia filtrowania działań.

podstawowy filtr dziennika aktywności.

Możesz rozwinąć podstawowy filtr, wybierając pozycję Filtry zaawansowane, aby przejść do szczegółów bardziej szczegółowych działań.

zaawansowany filtr dziennika aktywności.

Uwaga

  • Tag Starsza jest dodawany do wszystkich zasad działań korzystających ze starszego filtru "użytkownika". Ten filtr będzie nadal działać jak zwykle. Jeśli chcesz usunąć tag Starsza wersja, możesz usunąć filtr i dodać filtr ponownie przy użyciu nowego filtru Nazwa użytkownika.

  • W niektórych rzadkich przypadkach liczba zdarzeń przedstawionych w dzienniku aktywności może wskazywać nieco większą liczbę niż rzeczywista liczba zdarzeń, które dotyczą filtru i prezentowania.

Szuflada działania

Praca z szufladą działań

Aby wyświetlić więcej informacji na temat każdego działania, wybierz pozycję Działanie w dzienniku aktywności. Spowoduje to otwarcie szuflady działania, która udostępnia następujące dodatkowe akcje i szczegółowe informacje dla każdego działania:

  • Dopasowane zasady: wybierz link Dopasowane zasady , aby wyświetlić listę zasad, które są zgodne z tym działaniem.

  • Wyświetl dane pierwotne: wybierz pozycję Wyświetl nieprzetworzone dane , aby wyświetlić rzeczywiste dane odebrane z aplikacji.

  • Użytkownik: wybierz użytkownika, aby wyświetlić stronę użytkownika, który wykonał działanie.

  • Typ urządzenia: wybierz pozycję Typ urządzenia, aby wyświetlić nieprzetworzone dane agenta użytkownika.

  • Lokalizacja: wybierz lokalizację, aby wyświetlić lokalizację w usłudze Mapy Bing.

  • Kategoria i tagi adresów IP: wybierz tag IP, aby wyświetlić listę tagów adresów IP znalezionych w tym działaniu. Następnie możesz filtrować dane według wszystkich działań zgodnych z tym tagiem.

Pola w szufladzie Działania zawierają kontekstowe linki do dodatkowych działań i przechodzenia do szczegółów, które można wykonać bezpośrednio z szuflady. Jeśli na przykład przeniesiesz kursor obok kategorii adres IP, możesz użyć ikony dodaj do filtru. dodawania do filtru, aby natychmiast dodać adres IP do filtru bieżącej strony. Możesz również użyć ikony ikona ustawień koła zębatego ustawień, która pojawia się bezpośrednio na stronie ustawień niezbędnych do zmodyfikowania konfiguracji jednego z pól, takich jak grupy użytkowników.

Możesz również użyć ikon w górnej części karty, aby:

  • Wyświetlanie działań tego samego typu
  • Wyświetlanie wszystkich działań tego samego użytkownika
  • Wyświetlanie działań z tego samego adresu IP
  • Wyświetlanie działań z dokładnej lokalizacji geograficznej
  • Wyświetlanie działań z tego samego okresu (48 godzin)

szuflada działań.

Aby uzyskać listę dostępnych akcji nadzoru, zobacz Akcje nadzoru działań.

Szczegółowe informacje o użytkowniku

Środowisko badania zawiera szczegółowe informacje na temat działającego użytkownika. Jednym kliknięciem możesz uzyskać kompleksowy przegląd użytkownika, w tym lokalizację, z której nawiązał połączenie, liczbę otwartych alertów, z którymi są związane, oraz informacje o metadanych.

Aby wyświetlić szczegółowe informacje o użytkowniku:

  1. Wybierz działanie w dzienniku aktywności.

  2. Następnie wybierz kartę Użytkownik .
    Wybranie go powoduje otwarcie karty Użytkownik szuflady działania, aby uzyskać następujące szczegółowe informacje o użytkowniku:

    • Otwarte alerty: liczba otwartych alertów, które obejmują użytkownika.
    • Dopasowania: liczba dopasowań zasad dla plików należących do użytkownika.
    • Działania: liczba działań wykonywanych przez użytkownika w ciągu ostatnich 30 dni.
    • Kraje: liczba krajów, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.
    • Dostawcy usług internetowych: liczba dostawców tożsamości, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.
    • Adresy IP: liczba adresów IP, z których użytkownik nawiązał połączenie w ciągu ostatnich 30 dni.

szczegółowe informacje o użytkowniku w aplikacjach Defender dla Chmury.

Szczegółowe informacje o adresach IP

Ponieważ informacje o adresach IP mają kluczowe znaczenie dla prawie wszystkich badań, możesz wyświetlić szczegółowe informacje o adresach IP w szufladzie działania. W ramach określonego działania możesz wybrać kartę Adres IP, aby wyświetlić skonsolidowane dane dotyczące adresu IP, w tym liczbę otwartych alertów dla określonego adresu IP, wykres trendu ostatnich działań i mapę lokalizacji. Dzięki temu można łatwo przejść do szczegółów podczas badania niemożliwych alertów podróży, na przykład. Ponadto można łatwo zrozumieć, gdzie był używany adres IP i czy był zaangażowany w podejrzane działania. Możesz również wykonywać akcje bezpośrednio w szufladzie adresów IP, które umożliwiają tagowanie adresu IP jako ryzykownego, sieci VPN lub firmy, aby ułatwić przyszłe badanie i tworzenie zasad.

Aby wyświetlić szczegółowe informacje o adresach IP:

  1. Wybierz działanie w dzienniku aktywności.

  2. Następnie wybierz kartę Adres IP.

    Spowoduje to otwarcie karty Adres IP szuflady działania, która zapewnia następujące szczegółowe informacje o adresie IP:

    • Otwarte alerty: liczba otwartych alertów, które obejmowały adres IP.

    • Działania: liczba działań wykonywanych przez adres IP w ciągu ostatnich 30 dni.

    • Lokalizacja adresu IP: lokalizacje geograficzne, z których adres IP jest połączony w ciągu ostatnich 30 dni.

    • Działania: liczba działań wykonywanych z tego adresu IP w ciągu ostatnich 30 dni.

    • Działania administratora: liczba działań administracyjnych wykonywanych z tego adresu IP w ciągu ostatnich 30 dni. Możesz wykonać następujące akcje adresów IP:

      • Ustaw jako firmowy adres IP i dodaj do listy dozwolonych
      • Ustaw jako adres IP sieci VPN i dodaj element do listy dozwolonych
      • Ustaw jako ryzykowny adres IP i dodaj element do listy zablokowanych

Szczegółowe informacje o adresach IP w usłudze Defender dla Chmury Apps.

Uwaga

  • Wewnętrzne adresy IP IPv4 lub IPv6 poddane inspekcji przez aplikacje w chmurze połączone z interfejsem API mogą wskazywać komunikację usług wewnętrznych w sieci aplikacji w chmurze i nie należy mylić z wewnętrznymi adresami IP z sieci źródłowej, z których urządzenie jest połączone, ponieważ aplikacja w chmurze nie jest widoczna dla wewnętrznych adresów IP urządzeń.
  • Aby uniknąć zgłaszania niemożliwych alertów dotyczących podróży , gdy pracownicy łączą się ze swoich lokalizacji domowych za pośrednictwem firmowej sieci VPN, zaleca się tagowanie adresu IP jako sieci VPN.

Eksportowanie działań

Możesz wyeksportować wszystkie działania użytkownika do pliku CSV.

W dzienniku aktywności wybierz przycisk Eksportuj w lewym górnym rogu.

przycisk eksportu.

Uwaga

W tym artykule przedstawiono instrukcje dotyczące usuwania danych osobowych z urządzenia lub usługi, co jest pomocne w wypełnianiu obowiązków wynikających z RODO. Jeśli szukasz ogólnych informacji na temat RODO, zobacz sekcję RODO w portalu zaufania usług.

Następne kroki

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.