Partilhar via


Investigar atividades

O Microsoft Defender for Cloud Apps dá-lhe visibilidade de todas as atividades das suas aplicações ligadas. Depois de conectar o Defender for Cloud Apps a um aplicativo usando o conector do aplicativo, o Defender for Cloud Apps verifica todas as atividades que aconteceram - o período de verificação retroativa difere de aplicativo para aplicativo - e, em seguida, é atualizado constantemente com novas atividades.

Nota

Para obter uma lista completa das atividades do Microsoft 365 monitoradas pelo Defender for Cloud Apps, consulte Pesquisar o log de auditoria no centro de conformidade.

O Registo de atividades pode ser filtrado para lhe permitir localizar atividades específicas. Você cria políticas com base nas atividades e, em seguida, define sobre o que deseja ser alertado e agir. Você pode pesquisar atividades realizadas em determinados arquivos. O tipo de atividades e as informações que obtemos para cada atividade dependem da aplicação e do tipo de dados que a aplicação pode fornecer.

Por exemplo, você pode usar o log de atividades para localizar usuários em sua organização que estejam usando sistemas operacionais ou navegadores desatualizados, da seguinte maneira: Depois de conectar um aplicativo ao Defender for Cloud Apps na página Registro de atividades , use o filtro avançado e selecione Tag de agente do usuário. Em seguida, selecione Browser desatualizado ou Sistema operativo desatualizado.

Exemplo de navegador desatualizado de atividade.

O filtro básico fornece ótimas ferramentas para começar a filtrar suas atividades.

filtro de registro de atividades básicas.

Você pode expandir o filtro básico selecionando Filtros avançados para detalhar atividades mais específicas.

Filtro avançado de registro de atividades.

Nota

  • A tag Legacy é adicionada a qualquer política de atividade que use o filtro "usuário" mais antigo. Este filtro continuará a funcionar normalmente. Se quiser remover a tag Herdado, você pode remover o filtro e adicioná-lo novamente usando o novo filtro Nome de usuário .

  • Em alguns casos raros, a contagem dos eventos apresentados no registro de atividades pode mostrar um número ligeiramente maior do que o número real de eventos que se aplicam ao filtro e que estão sendo apresentados.

A gaveta de atividades

Trabalhar com a Gaveta de atividade

Você pode visualizar mais informações sobre cada atividade, selecionando a própria atividade no registro de atividades. Isso abre a gaveta de atividades que fornece as seguintes ações e insights adicionais para cada atividade:

  • Políticas correspondentes: selecione o link Políticas correspondentes para ver uma lista de políticas correspondentes a essa atividade.

  • Exibir dados brutos: selecione Exibir dados brutos para ver os dados reais recebidos do aplicativo.

  • Usuário: Selecione o usuário para exibir a página do usuário que realizou a atividade.

  • Tipo de dispositivo: Selecione Tipo de dispositivo para exibir os dados brutos do agente do usuário.

  • Localização: selecione a localização para ver a localização no Bing Maps.

  • Categoria e tags de endereço IP: Selecione a tag IP para visualizar a lista de tags IP encontradas nesta atividade. Em seguida, pode filtrar por todas as atividades correspondentes a esta etiqueta.

Os campos na gaveta de atividades fornecem links contextuais para atividades adicionais e detalhamentos que você pode querer executar diretamente da gaveta. Por exemplo, se você mover o cursor ao lado da categoria de endereço IP, poderá usar o ícone adicionar ao filtro. adicionar ao filtro para adicionar imediatamente o endereço IP ao filtro da página atual. Você também pode usar o ícone ícone de configurações de engrenagem de configurações que aparece para chegar diretamente à página de configurações necessárias para modificar a configuração de um dos campos, como Grupos de usuários.

Você também pode usar os ícones na parte superior da guia para:

  • Ver atividades do mesmo tipo
  • Ver todas as atividades do mesmo utilizador
  • Ver atividades a partir do mesmo endereço IP
  • Ver atividades a partir da localização geográfica exata
  • Ver atividades do mesmo período (48 horas)

gaveta de atividades.

Para obter uma lista de ações de governação disponíveis, veja Ações de governação de atividades.

Perceções do usuário

A experiência de investigação inclui informações sobre o usuário atuante. Com um único clique, você pode obter uma visão geral abrangente do usuário, incluindo de qual local ele se conectou, com quantos alertas abertos ele está envolvido e suas informações de metadados.

Para visualizar informações do usuário:

  1. Selecione a própria atividade no registro de atividades.

  2. Em seguida, selecione a guia Usuário .
    Selecioná-lo abre a gaveta de atividades A guia Usuário fornece as seguintes informações sobre o usuário:

    • Alertas abertos: o número de alertas abertos que envolvem o usuário.
    • Correspondências: o número de correspondências de política para arquivos de propriedade do usuário.
    • Atividades: O número de atividades realizadas pelo usuário nos últimos 30 dias.
    • Países: o número de países a partir dos quais o utilizador se ligou nos últimos 30 dias.
    • ISPs: o número de ISPs dos quais o usuário se conectou nos últimos 30 dias.
    • Endereços IP: O número de endereços IP a partir dos quais o usuário se conectou nos últimos 30 dias.

insights do usuário no Defender for Cloud Apps.

Informações sobre endereços IP

Como as informações de endereço IP são cruciais para quase todas as investigações, você pode visualizar informações detalhadas sobre endereços IP na gaveta de atividades. Em uma atividade específica, você pode selecionar a guia Endereço IP para exibir dados consolidados sobre o endereço IP, incluindo o número de alertas abertos para o endereço IP específico, um gráfico de tendência da atividade recente e um mapa de localização. Isso facilita a análise detalhada ao investigar alertas de viagem impossíveis, por exemplo. Além disso, você pode entender facilmente onde o endereço IP foi usado e se ele estava envolvido em atividades suspeitas. Você também pode executar ações diretamente na gaveta de endereços IP que permitem marcar um endereço IP como arriscado, VPN ou corporativo para facilitar futuras investigações e criação de políticas.

Para visualizar informações sobre endereços IP:

  1. Selecione a própria atividade no registro de atividades.

  2. Em seguida, selecione a guia Endereço IP.

    Isso abre a guia Endereço IP da gaveta de atividades, que fornece as seguintes informações sobre o endereço IP:

    • Alertas abertos: o número de alertas abertos que envolveram o endereço IP.

    • Atividades: O número de atividades realizadas pelo endereço IP nos últimos 30 dias.

    • Localização IP: as localizações geográficas a partir das quais o endereço IP se conectou nos últimos 30 dias.

    • Atividades: O número de atividades realizadas a partir deste endereço IP nos últimos 30 dias.

    • Atividades administrativas: o número de atividades administrativas realizadas a partir deste endereço IP nos últimos 30 dias. Você pode executar as seguintes ações de endereço IP:

      • Definir como um IP corporativo e adicionar à lista de permissões
      • Definir como um endereço IP VPN e adicionar à lista de permissões
      • Definir como um IP de risco e adicionar à lista de bloqueio

Informações de endereço IP no Defender for Cloud Apps.

Nota

  • Os endereços IP IPv4 ou IPv6 internos auditados pelos aplicativos em nuvem conectados à API podem indicar comunicações de serviços internos dentro da rede do aplicativo em nuvem e não devem ser confundidos com IPs internos da rede de origem da qual o dispositivo se conectou, pois o aplicativo em nuvem não está exposto aos IPs internos dos dispositivos.
  • Para evitar gerar alertas de viagem impossíveis quando os funcionários se conectam de seus locais de origem por meio da VPN corporativa, é recomendável marcar o endereço IP como VPN.

Atividades de exportação

Você pode exportar todas as atividades do usuário para um arquivo CSV.

No registro de atividades, selecione o botão Exportar no canto superior esquerdo.

botão exportar.

Nota

Este artigo mostra os passos para eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para dar apoio às suas obrigações ao abrigo do GDPR. Se estiver à procura de informações gerais sobre o GDPR, veja a secção GDPR do Portal de Confiança do Serviço.

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.