Consultas e filtros de atividade

  • Artigo

Este artigo fornece descrições e instruções para consultas e filtros de atividades do Defender para Aplicativos de Nuvem.

Filtros de atividade

Abaixo está uma lista de filtros de atividades que podem ser aplicados. A maioria dos filtros tem suporte para vários valores, embora NÃO forneça uma ferramenta avançada para a criação de políticas.

  • ID da Atividade ‑ Pesquisa apenas atividades específicas por sua ID. Esse filtro é útil quando você conecta o Microsoft Defender para Aplicativos de Nuvem ao SIEM (usando o agente SIEM) e deseja investigar ainda mais os alertas no portal do Defender para Aplicativos de Nuvem.

  • Objetos da atividade – Procura os objetos nos quais a atividade foi realizada. Este filtro se aplica a arquivos, pastas, usuários ou objetos do aplicativo.

    • ID de objeto de atividade – a ID do objeto (arquivo, pasta, usuário ou ID do aplicativo).

    • Item: permite que você pesquise pelo nome ou ID de qualquer objeto de atividade (por exemplo: nomes de usuário, arquivos, parâmetros, sites). Para o filtro Item do objeto da atividade, você pode selecionar se deseja filtrar os itens por Contém, Igual ou Começa com o item específico.

  • Tipo de ação - Procure uma ação mais específica executada em um aplicativo.

  • Tipo de atividade — pesquise a atividade do aplicativo.

    Observação

    Os aplicativos são adicionados ao filtro somente se houver atividade para esse aplicativo.

  • Atividade administrativa – pesquisa apenas atividades administrativas.

    Observação

    O Defender para Aplicativos de Nuvem não pode marcar atividades administrativas do Google Cloud Platform (GCP) como atividades administrativas.

  • ID do alerta — pesquise por ID do alerta.

  • Aplicativo – pesquisa apenas atividades em aplicativos específicos.

  • Ação aplicada — pesquise pela ação de governança aplicada: Bloqueado, Ignorar proxy, Descriptografado, Criptografado, Falha de criptografia, Sem ação.

  • Data – a data em que a atividade ocorreu. O filtro dá suporte a datas antes/depois e a um intervalo de datas.

  • Tag de dispositivo - Pesquise por Em conformidade com Intune, Ingressado no Microsoft Entra híbrido ou Certificado do cliente válido.

  • Tipo de dispositivo – Pesquisa apenas as atividades realizadas por meio de um tipo de dispositivo específico. Por exemplo, pesquise todas as atividades em dispositivos móveis, PCs ou tablets.

  • Arquivos e pastas – pesquise arquivos e pastas nos quais a atividade foi executada.

    • ID do arquivo – permite que você pesquise pela ID do arquivo na qual a atividade foi executada.
    • Nome – filtros no nome de arquivos ou pastas. Será possível selecionar se o nome terminar com, for igual a ou começar com seu valor de pesquisa.
    • Arquivos ou pastas específicos: você pode incluir ou excluir arquivos ou pastas específicos. Ao selecionar arquivos ou pastas, é possível filtrar a lista por Aplicativo, Proprietário ou Nome do arquivo parcial.

  • Endereço IP – o endereço IP bruto, a categoria ou a marca do(a) qual a atividade foi executada.

    • Endereço IP bruto – Permite pesquisar atividades realizadas em ou por endereços IP brutos. Os IPs brutos podem ser iguais, não iguais, iniciar com ou não iniciar com uma sequência específica.
    • Categoria de IP – a categoria do endereço IP em que a atividade foi executada, por exemplo, todas as atividades do intervalo de endereços IP administrativo. As categorias precisam ser configuradas para incluir os endereços IP relevantes. Alguns IPs podem ser categorizados por padrão. por exemplo, há endereços IP que são considerados pela Microsoft fontes de inteligência de ameaças serão categorizados como arriscados. Para saber como configurar as categorias de IP, consulte Organizar os dados de acordo com suas necessidades.
    • Marca de IP ‑ A marca do endereço IP em que a atividade foi executada, por exemplo, todas as atividades de endereços IP de proxy anônimos. O Defender para Aplicativos de Nuvem cria um conjunto de marcações internas de IP que não são configuráveis. Além disso, é possível configurar suas tags de IP. Para obter mais informações sobre como configurar as suas tags de IP, consulte Organizar os dados de acordo com as suas necessidades. As tags de IP incorporadas incluem o seguinte:
      • Aplicativos Microsoft (14 deles)
      • Proxy anônimo
      • Botnet (você verá que a atividade foi executada por um botnet com um link para saber mais sobre o botnet específico)
      • IP de verificação de Darknet
      • Servidor C&C de malware
      • Analisador de conectividade remota
      • Provedores satélite
      • Proxy inteligente e de acesso (deixados de fora de propósito)
      • Nós de saída do Tor
      • Zscaler

  • Atividade representada – pesquisa somente atividades que foram realizadas no nome de outro usuário.

  • Instância – a instância do aplicativo em que a atividade foi ou não foi executada.

  • Local – o país/região do qual a atividade foi executada.

  • Política correspondente – pesquisa atividades que corresponderam a uma política específica que foi definida no portal.

  • ISP Registrado – o ISP do qual a atividade foi executada.

  • Origem — pesquise pela origem na qual a atividade foi detectada. A fonte pode ser qualquer uma dos seguintes:

    • Conector de aplicativo: logs provenientes diretamente do conector de API do aplicativo.
    • Análise de conector de aplicativo - melhorias de segurança do Defender para Aplicativos de Nuvem com base na verificação de informação do conector de API.

  • Usuário — o usuário que executou a atividade, que pode ser filtrado no domínio, grupo, nome ou na organização. Para filtrar atividades sem nenhum usuário específico, você pode usar o operador 'não está definido'.

    • Domínio do usuário — pesquise um domínio de usuário específico.
    • Organização do usuário – A unidade organizacional do usuário que executou a atividade, por exemplo, todas as atividades realizadas pelos usuários de EMEA_marketing. Isso só é relevante para instâncias conectadas do Google Workspace que usam unidades organizacionais.
    • Grupo de usuários – Grupos de usuários específicos que você pode importar de aplicativos conectados, por exemplo, administradores do Microsoft 365.
    • Nome de usuário — pesquise por um nome de usuário específico. Para ver uma lista de usuários em um grupo de usuários específico, selecione o nome do grupo de usuários na Gaveta de atividade. Clicar levará você à página de contas, que lista todos os usuários no grupo. Dali você pode analisar os detalhes das contas de usuários específicos do grupo.
    • Os filtros Grupo de usuários e Nome de usuário podem passar por filtragem adicional, usando o filtro Como e selecionando a função do usuário, que pode ser qualquer uma das seguintes:
      • Apenas objeto de atividade – isso significa que o usuário ou o grupo de usuários selecionado não realizou a atividade em questão; eles eram o objeto da atividade.
      • Apenas ator – isso significa que o usuário ou o grupo de usuários realizou a atividade.
      • Qualquer função – isso significa que o usuário ou o grupo de usuários foi envolvido na atividade, seja como a pessoa que realizou a atividade ou como o objeto da atividade.

  • Agente do usuário – o agente do usuário do qual a atividade foi realizada.

  • Tag de agente de usuário – Tag do agente de usuário interna, por exemplo, todas as atividades de sistemas operacionais desatualizados ou navegador desatualizado.

Consultas de atividades

Para simplificar ainda mais a investigação, agora você pode criar consultas personalizadas e salvá-las para uso posterior.

  1. Na página Log de atividades, use os filtros, conforme descrito acima, para fazer drill down em seus aplicativos, conforme necessário.

Use filters to make query.

  1. Após concluir a criação da consulta, selecione o botão Salvar como.

  2. No pop-up Salvar consulta, dê um nome à consulta.

    new query.

  3. Para usar essa consulta novamente no futuro, em Consultas, role para baixo até Consultas salvas e selecione a consulta.

    open query.

O Defender para Aplicativos de Nuvem também fornece Consultas sugeridas. As consultas sugeridas fornecem caminhos de investigação recomendados que filtram as atividades. É possível editar essas consultas e salvá-las como consultas personalizadas. A seguir estão as consultas sugeridas opcionais:

  • Atividades de administrador – filtra todas as atividades para exibir apenas as atividades que envolveram administradores.

  • Atividades de download – filtra todas as atividades para exibir apenas as atividades que foram atividades de download, incluindo a lista de downloads do usuário como um arquivo .csv, download de conteúdo compartilhado e download de uma pasta.

  • Logon com falha – filtra todas as atividades para exibir apenas os logons e entradas com falha por SSO

  • Atividades de arquivo e pasta – filtra todas as atividades para exibir apenas aquelas que envolvem arquivos e pastas. O filtro inclui carregamento, download e acesso a pastas, além de criação, exclusão, carregamento, download, colocação em quarentena, acesso a arquivos e transferência de conteúdo.

  • Atividades de representação – filtra todas as atividades para exibir apenas as atividades de representação.

  • Alterações de senha e solicitações e redefinição – Filtra todas as atividades para exibir apenas as atividades que envolvem redefinição de senha, alteração de senha e forçar o usuário a alterar a senha na entrada seguinte.

  • Atividades de compartilhamento: filtra todas as atividades para exibir apenas as atividades que envolvem compartilhamento pastas e arquivos, incluindo a criação de um vínculo da empresa, criação de um vínculo anônimo e concessão de permissões de leitura/gravação.

  • Login bem-sucedido – Filtra todas as atividades para exibir apenas as atividades que envolvem logins bem-sucedidos, inclusive representação da ação, representação do logon, logon único e logon de um novo dispositivo.

query activities.

Além disso, use as consultas sugeridas como um ponto de partida para uma nova consulta. Primeiro, selecione uma das consultas sugeridas. Em seguida, faça as alterações necessárias e, por fim, selecione Salvar como para criar uma nova Consulta salva.

Atividades de consulta seis meses atrás

Para investigar atividades com mais de 30 dias, é possível navegar até o registro de atividades e selecionar Investigar 6 meses no canto superior direito da tela:

Select investigate 6 months back.

A partir daí, você pode definir os filtros como normalmente é feito com o Log de atividades, com as seguintes diferenças:

  • O filtro de data é obrigatório e está limitado a um período de uma semana. Isso significa que, embora você possa consultar atividades por até seis meses atrás, você só pode fazê-lo por um período de uma semana de cada vez.

  • A consulta com mais de 30 dias de atraso é suportada apenas para os seguintes campos:

    • ID da atividade
    • Tipo de atividade
    • Tipo de ação
    • Aplicativo
    • Endereço IP
    • Localidade
    • Nome de usuário

Por exemplo:

Filter after selecting investigate 6 months back.

Próximas etapas

Melhores práticas para proteger sua organização