Filtry i zapytania dotyczące działań

  • Artykuł

Ten artykuł zawiera opisy i instrukcje dotyczące filtrów działań i zapytań Defender dla Chmury Apps.

Filtry działań

Poniżej znajduje się lista filtrów działań, które mogą być stosowane. Większość filtrów obsługuje wiele wartości, a także NIE zapewnia zaawansowanego narzędzia do tworzenia zasad.

  • Identyfikator działania — wyszukanie tylko konkretnych działań w oparciu o ich identyfikatory. Ten filtr jest przydatny podczas łączenia aplikacji Microsoft Defender dla Chmury z rozwiązaniem SIEM (przy użyciu agenta SIEM) i chcesz dokładniej zbadać alerty w portalu Defender dla Chmury Apps.

  • Obiekty działań — wyszukaj obiekty, na których wykonano działanie. Ten filtr dotyczy plików, folderów, użytkowników lub obiektów aplikacji.

    • Identyfikator obiektu działania — identyfikator obiektu (plik, folder, użytkownik lub identyfikator aplikacji).

    • Element — umożliwia wyszukiwanie według nazwy lub identyfikatora dowolnego obiektu działania (na przykład nazw użytkowników, plików, parametrów, witryn). Dla filtru Element obiektu działania można wybrać, czy filtrować elementy zawierające, równe lub rozpoczynające się od określonego elementu.

  • Typ akcji — wyszukaj bardziej szczegółową akcję wykonywaną w aplikacji.

  • Typ działania — wyszukiwanie działań aplikacji.

    Uwaga

    Aplikacje są dodawane do filtru tylko wtedy, gdy istnieje działanie dla tej aplikacji.

  • Działanie administracyjne — wyszukiwanie tylko działań administracyjnych.

    Uwaga

    Defender dla Chmury Apps nie może oznaczać działań administracyjnych platformy Google Cloud Platform (GCP) jako działań administracyjnych.

  • Identyfikator alertu — wyszukiwanie według identyfikatorów alertów.

  • Aplikacja — wyszukiwanie tylko działań w ramach określonych aplikacji.

  • Zastosowana akcja — wyszukiwanie według zastosowanych akcji ładu: Zablokowane, Pomiń serwer proxy, Odszyfrowane, Zaszyfrowane, Szyfrowanie nie powiodło się, Brak akcji.

  • Data — data wystąpienia działania. Filtr obsługuje daty przed/po i zakresie dat.

  • Tag urządzenia — wyszukiwanie według zgodności z usługą Intune, dołączone hybrydowo do firmy Microsoft lub prawidłowy certyfikat klienta.

  • Typ urządzenia — wyszukaj tylko działania, które zostały wykonane przy użyciu określonego typu urządzenia. Na przykład przeszukaj wszystkie działania z urządzeń przenośnych, komputerów lub tabletów.

  • Pliki i foldery — wyszukaj pliki i foldery, na których wykonano działanie.

    • Identyfikator pliku — umożliwia wyszukiwanie według identyfikatora pliku, na którym wykonano działanie.
    • Nazwa — filtruje nazwę plików lub folderów. Możesz wybrać, czy nazwa kończy się, równa się lub zaczyna się od wartości wyszukiwania.
    • Określone pliki lub foldery — można dołączać lub wykluczać określone pliki lub foldery. Listę można filtrować według aplikacji, właściciela lub częściowej nazwypliku podczas wybierania plików lub folderów.

  • Adres IP — nieprzetworzonego adresu IP, kategorii lub tagu, z którego wykonano działanie.

    • Nieprzetworzone adresy IP — umożliwia wyszukiwanie działań wykonywanych na lub przez nieprzetworzone adresy IP. Nieprzetworzone adresy IP mogą być równe, nie równają się, zaczynają się od lub nie zaczynają się od określonej sekwencji.
    • Kategoria IP — kategoria adresu IP, z którego wykonano działanie, na przykład wszystkie działania z zakresu administracyjnych adresów IP. Kategorie należy skonfigurować tak, aby zawierały odpowiednie adresy IP. Niektóre adresy IP mogą być domyślnie podzielone na kategorie. na przykład istnieją adresy IP, które są uznawane przez źródła analizy zagrożeń firmy Microsoft, zostaną sklasyfikowane jako ryzykowne. Aby dowiedzieć się, jak skonfigurować kategorie adresów IP, zobacz Organizowanie danych zgodnie z potrzebami.
    • Tag IP — tag adresu IP, z którego wykonano działanie, np. wszystkie działania z anonimowych adresów IP proxy. Defender dla Chmury Apps tworzy zestaw wbudowanych tagów IP, które nie są konfigurowalne. Ponadto można skonfigurować tagi adresów IP. Aby uzyskać więcej informacji na temat konfigurowania tagów adresów IP, zobacz Organizowanie danych zgodnie z potrzebami. Wbudowane tagi IP obejmują następujące elementy:
      • Aplikacje firmy Microsoft (14 aplikacji)
      • Anonimowy serwer proxy
      • Botnet (zobaczysz, że działanie zostało wykonane przez botnet z linkiem, aby dowiedzieć się więcej o określonej botnetie)
      • Zakres skanowania adresów IP w sieci Darknet
      • Serwer sterowania C&C złośliwego oprogramowania
      • Analizator połączeń zdalnych
      • Dostawcy satelitarni
      • Inteligentny serwer proxy i serwer proxy dostępu (opuszczone celowo)
      • Węzły końcowe Tor
      • Zscaler

  • Działanie personifikowane — wyszukiwanie tylko działań, które były wykonywane w imieniu innego użytkownika.

  • Wystąpienie — wystąpienie aplikacji, w którym wystąpiło działanie lub nie zostało wykonane.

  • Location — kraj/region, z którego wykonano działanie.

  • Dopasowane zasady — wyszukaj działania zgodne z określonymi zasadami ustawionymi w portalu.

  • Zarejestrowany usługodawca internetowy — usługodawca internetowy, za pośrednictwem którego wykonano działanie.

  • Źródło — wyszukiwanie według źródeł, z których wykryto działanie. Źródło może być dowolne z następujących:

    • Łącznik aplikacji — dzienniki pochodzące bezpośrednio z łącznika interfejsu API aplikacji.
    • analiza Łącznik aplikacji — Defender dla Chmury Apps wzbogacania na podstawie informacji skanowanych przez łącznik interfejsu API.

  • Użytkownik — użytkownik, który wykonał działanie, które można filtrować do domeny, grupy, nazwy lub organizacji. Aby filtrować działania bez określonego użytkownika, możesz użyć operatora "nie ustawiono".

    • Domena użytkownika — wyszukiwanie określonej domeny użytkownika.
    • Organizacja użytkownika — jednostka organizacyjna użytkownika, który wykonał działanie, np. wszystkie działania wykonywane przez użytkowników z grupy EMEA_marketing. Dotyczy to tylko połączonych wystąpień usługi Google Workspace przy użyciu jednostek organizacyjnych.
    • Grupa użytkowników — określone grupy użytkowników, które można zaimportować z połączonych aplikacji, na przykład administratorzy platformy Microsoft 365.
    • Nazwa użytkownika — wyszukiwanie określonej nazwy użytkownika. Aby wyświetlić listę użytkowników w określonej grupie użytkowników, w szufladzie Działania wybierz nazwę grupy użytkowników. Kliknięcie spowoduje przejście do strony Konta, która zawiera listę wszystkich użytkowników w grupie. W tym miejscu możesz przejść do szczegółów kont określonych użytkowników w grupie.
    • Filtry Grupa użytkowników i Nazwa użytkownika można dodatkowo filtrować za pomocą filtru Jako i wybrać rolę użytkownika, która może być dowolna z następujących opcji:
      • Tylko obiekt działania — co oznacza, że wybrany użytkownik lub grupa użytkowników nie wykonał danego działania; były obiektem działania.
      • Tylko aktor — oznacza to, że użytkownik lub grupa użytkowników wykonała działanie.
      • Każda rola — oznacza to, że użytkownik lub grupa użytkowników była zaangażowana w działanie jako osoba, która wykonała działanie lub jako obiekt działania.

  • Agent użytkownika — agent użytkownika, z którego poziomu zostało wykonane działanie.

  • Tag agenta użytkownika — wbudowany tag agenta użytkownika, na przykład wszystkie działania z nieaktualnych systemów operacyjnych lub nieaktualnych przeglądarek.

Zapytania dotyczące działań

Aby jeszcze bardziej ułatwić badanie, można teraz tworzyć zapytania niestandardowe i zapisywać je do późniejszego użycia.

  1. Na stronie Dziennik aktywności użyj filtrów zgodnie z powyższym opisem, aby przejść do szczegółów aplikacji w razie potrzeby.

Use filters to make query.

  1. Po zakończeniu tworzenia zapytania wybierz przycisk Zapisz jako .

  2. W wyskakującym oknie podręcznym Zapisz zapytanie nazwij zapytanie.

    new query.

  3. Aby ponownie użyć tego zapytania w przyszłości, w obszarze Zapytania przewiń w dół do pozycji Zapisane zapytania i wybierz zapytanie.

    open query.

Usługa Defender dla Chmury Apps udostępnia równieżSugerowane zapytania. Sugerowane zapytania zapewniają zalecane sposoby badania, które filtruje działania. Możesz edytować te zapytania i zapisywać je jako zapytania niestandardowe. Poniżej przedstawiono opcjonalne sugerowane zapytania:

  • Administracja działania — filtruje wszystkie działania, aby wyświetlać tylko te działania, które obejmują administratorów.

  • Działania pobierania — filtruje wszystkie działania, aby wyświetlać tylko te działania, które zostały pobrane, w tym pobieranie listy użytkowników jako plik .csv, pobieranie zawartości udostępnionej i pobieranie folderu.

  • Logowanie zakończone niepowodzeniem — filtruje wszystkie działania, aby wyświetlić tylko nieudane logowania i nieudane logowania za pośrednictwem logowania jednokrotnego

  • Działania dotyczące plików i folderów — filtruje wszystkie działania, aby wyświetlać tylko te, które obejmują pliki i foldery. Filtr obejmuje przekazywanie, pobieranie i uzyskiwanie dostępu do folderów, a także tworzenie, usuwanie, przekazywanie, pobieranie, kwarantowanie i uzyskiwanie dostępu do plików oraz przesyłanie zawartości.

  • Działania personifikacji — filtruje wszystkie działania, aby wyświetlać tylko działania personifikacji.

  • Zmiany haseł i żądania resetowania — filtruje wszystkie działania, aby wyświetlać tylko te działania, które obejmują resetowanie hasła, zmienianie hasła i wymuszanie zmiany hasła przez użytkownika podczas następnego logowania.

  • Działania udostępniania — filtruje wszystkie działania, aby wyświetlać tylko te działania, które obejmują udostępnianie folderów i plików, w tym tworzenie linku firmy, tworzenie linku anonimowego i udzielanie uprawnień do odczytu/zapisu.

  • Pomyślne logowanie — filtruje wszystkie działania, aby wyświetlać tylko te działania, które obejmują pomyślne logowania, w tym akcję personifikacji, personifikuj logowanie, logowanie jednokrotne i logowanie z nowego urządzenia.

query activities.

Ponadto możesz użyć sugerowanych zapytań jako punktu wyjścia dla nowego zapytania. Najpierw wybierz jedno z sugerowanych zapytań. Następnie wprowadź zmiany zgodnie z potrzebami, a następnie wybierz pozycję Zapisz jako , aby utworzyć nowe zapisane zapytanie.

Wykonywanie zapytań dotyczących działań sześć miesięcy wstecz

Aby zbadać działania starsze niż 30 dni, możesz przejść do dziennika aktywności i wybrać pozycję Zbadaj 6 miesięcy z powrotem w prawym górnym rogu ekranu:

Select investigate 6 months back.

W tym miejscu można zdefiniować filtry, tak jak zwykle wykonywane w dzienniku aktywności, z następującymi różnicami:

  • Filtr daty jest obowiązkowy i jest ograniczony do jednego tygodnia. Oznacza to, że chociaż można wykonywać zapytania dotyczące działań przez maksymalnie sześć miesięcy, można to zrobić tylko przez jeden tydzień w danym momencie.

  • Wykonywanie zapytań dotyczących ponad 30 dni wstecz jest obsługiwane tylko w przypadku następujących pól:

    • Identyfikator działania
    • Typ działania
    • Typ akcji
    • Aplikacja
    • Adres IP
    • Lokalizacja
    • User name

Na przykład:

Filter after selecting investigate 6 months back.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji