Поделиться через

Фильтрация и запрос действий Defender для облака приложений

  • Статья

В этой статье содержатся описания и инструкции по фильтрам действий и запросам приложений Defender для облака.

Фильтры действий

Ниже приведен список доступных фильтров действий. Большинство фильтров поддерживают несколько значений, а также НЕ предоставляют мощный инструмент для создания политики.

  • Идентификатор действия. Поиск только определенных действий по их идентификаторам. Этот фильтр полезен при подключении Microsoft Defender для облака приложений к SIEM (с помощью агента SIEM) и дальнейшего изучения оповещений на портале приложений Defender для облака.

  • Объекты действий — поиск объектов, к которым было применено действие. Этот фильтр применяется к файлам, папкам, пользователям или объектам приложений.

    • Идентификатор объекта действия — идентификатор объекта (файла, папки, пользователя или приложения).

    • Элемент — позволяет выполнять поиск по имени или идентификатору любого объекта действия (например, имена пользователей, файлы, параметры, сайты). Для фильтра элемента объекта действия можно выбрать, следует ли фильтровать элементы, содержащие, равные или начинающиеся с определенного элемента.

  • Тип действия — поиск более конкретного действия, выполняемого в приложении.

  • Тип действия — поиск действия приложения.

    Примечание.

    Приложения добавляются в фильтр только в том случае, если для этого приложения есть действие.

  • Административное действие — поиск только административных действий.

    Примечание.

    Defender для облака Приложения не могут пометить административные действия Google Cloud Platform (GCP) как административные действия.

  • Идентификатор оповещения — поиск оповещения по идентификатору.

  • Приложение — поиск только действий в конкретных приложениях.

  • Примененное действие — поиск по примененному действию управления: блокировка, обход прокси-сервера, расшифровка, шифрование, сбой шифрования, никаких действий.

  • Дата — дата, когда произошло действие. Фильтр поддерживает значения до и после наступления указанной даты, а также диапазон дат.

  • Тег устройства— поиск по совместимым с Intune, гибридным присоединенным к Microsoft Entra или допустимым сертификатом клиента.

  • Тип устройства — поиск только тех действий, которые были выполнены с использованием определенного типа устройства. Например, найти все действия с мобильных устройств, компьютеров или планшетов.

  • Файлы и папки — поиск файлов и папок, с которыми было выполнено действие.

    • Идентификатор файла — поиск по идентификатору файла, с которым было выполнено действие.
    • Имя — фильтры по имени файлов или папок. Можно выбрать, должно ли имя заканчиваться, быть равным или начинаться с указанного значения.
    • Определенные файлы или папки— можно включить или исключить определенные файлы или папки. Список можно отфильтровать по приложению, владельцу или частичному именифайла при выборе файлов или папок.

  • IP-адрес — необработанный IP-адрес, категория или тег, с использованием которых было выполнено действие.

    • Необработанный IP-адрес — позволяет искать действия, которые были выполнены с необработанными IP-адресам или с их использованием. Необработанные IP-адреса могут соответствовать или не соответствовать определенной последовательности, начинаться или не начинаться с нее.
    • Категория IP- — категория IP-адреса, из которого выполнялось действие, например, все действия из диапазона административных IP-адресов. Категории необходимо настроить для включения соответствующих IP-адресов. Некоторые IP-адреса могут быть классифицированы по умолчанию. Например, существуют IP-адреса, которые считаются источниками аналитики угроз Майкрософт, будут классифицироваться как рискованные. Информацию о настройке категорий IP-адресов см. в статье Organize the data according to your needs (Организация данных в соответствии с потребностями).
    • Тег IP-адреса — тег IP-адреса, с которого было выполнено действие, например все действия с IP-адресов анонимного прокси-сервера. Defender для облака Приложения создают набор встроенных тегов IP-адресов, которые не настраивается. Кроме того, можно настроить теги IP-адресов. Дополнительные сведения о настройке тегов IP см. в разделе "Упорядочение данных в соответствии с вашими потребностями". Встроенные теги IP-адресов включают следующие:
      • Приложения Microsoft (14).
      • анонимный прокси-сервер;
      • ботнет (вы увидите, что действие выполнил ботнет, и получите ссылку, позволяющую узнать больше об этом ботнете);
      • IP-адреса сканирования Darknet.
      • Сервер вредоносных программ C&C.
      • Анализатор удаленного подключения.
      • Поставщики спутниковой связи.
      • Интеллектуальный прокси-сервер и прокси-сервер доступа (оставленный специально).
      • Выходные узлы Tor.
      • Zscaler

  • Действие от имени другого пользователя — поиск только тех действий, которые были выполнены от имени другого пользователя.

  • Экземпляр — экземпляр приложения, где было или не было выполнено действие.

  • Расположение — страна или регион, из которого выполнялось действие.

  • Соответствующая политика — поиск действий, которые соответствовали определенной политике, установленной на портале.

  • Зарегистрированный поставщик услуг Интернета — поставщик услуг Интернета, из которого было выполнено действие.

  • Источник — поиск по источнику, из которого было обнаружено действие. Источник может быть любым из следующих элементов:

    • соединитель приложений — журналы, поступающие непосредственно из соединителя API приложения.
    • анализ соединитель приложений — обогащения приложений Defender для облака на основе информации, сканируемой соединителем API.

  • Пользователь — пользователь, выполнивший действие, который может быть отфильтрован по домену, группе, имени или организации. Чтобы отфильтровать действия без определенного пользователя, можно использовать оператор "не задан".

    • Домен пользователя — поиск конкретного домена пользователя.
    • Организация пользователя — подразделение пользователя, выполнившего действие, например все действия, выполненные пользователями из маркетингового региона EMEA. Это относится только к подключенным экземплярам Google Workspace с помощью организационных подразделений.
    • Группа пользователей — определенные группы пользователей, которые можно импортировать из подключенных приложений, например администраторов Microsoft 365.
    • Имя пользователя — поиск определенного имени пользователя. Чтобы просмотреть список пользователей в определенной группе пользователей, на панели действий выберите имя группы пользователей. Щелкнув, вы перейдете на страницу "Учетные записи", в которой перечислены все пользователи в группе. На этой странице представлены подробные сведения об учетных записях конкретных пользователей в группе.
    • Фильтры имен пользователей и пользователей можно дополнительно отфильтровать с помощью фильтра As и выбрать роль пользователя, которая может быть любой из следующих:
      • Только объект действия — это означает, что выбранный пользователь или группа пользователей не выполнили действие, указанное в вопросе; они были объектом действия.
      • Только субъект — это означает, что пользователь или группа пользователя выполняли указанное действие.
      • Любая роль — это означает, что пользователь или группа пользователей участвовали в действии либо как лицо, выполняющее действие, либо как объект действия.

  • Агент пользователя — агент пользователя, из которого было выполнено действие.

  • Тег агента пользователя — встроенный тег агента пользователя, например все действия из устаревших операционных систем или устаревших браузеров.

Запросы действий

Чтобы сделать анализ еще проще, можно создавать пользовательские запросы и сохранять их для дальнейшего использования.

  1. На странице Журнал действий используйте фильтры описанным выше образом, чтобы детализировать приложения по мере необходимости.

Используйте фильтры для выполнения запроса.

  1. После завершения создания запроса нажмите кнопку "Сохранить как ".

  2. Во всплывающем запустите запрос "Сохранить" и присвойте запросу имя.

    новый запрос.

  3. Чтобы снова воспользоваться этим запросом в будущем, в разделе Запросы прокрутите вниз до пункта Сохраненные запросы и выберите нужный запрос.

    открытый запрос.

Defender для облака Приложения также предоставляют вам Предлагаемые запросы. Функция предлагаемых запросов рекомендует направления для исследования с помощью фильтров действий. Эти запросы можно изменить и сохранить в виде пользовательских запросов. Ниже приведены дополнительные предлагаемые запросы:

  • Действия администратора — фильтрует все действия, чтобы отобразить только те действия, которые включают администраторов.

  • Действия скачивания — фильтрует все действия, чтобы отобразить только те действия, которые были скачиванием действий, включая скачивание списка пользователей в виде файла .csv, скачивание общего содержимого и скачивание папки.

  • Сбой входа — фильтрует все действия, чтобы отобразить только неудачный вход и сбой входа с помощью единого входа

  • Действия файлов и папок — фильтрует все действия, чтобы отобразить только те, кто включает файлы и папки. Фильтр включает отправку, скачивание и доступ к папкам, а также создание, удаление, загрузку, скачивание, карантин и доступ к файлам и передачу содержимого.

  • "Impersonation activities" (Действия олицетворения) — фильтрует все действия, чтобы отобразить только действия олицетворения.

  • Запросы на изменение пароля и сброс — фильтрует все действия, чтобы отобразить только те действия, которые включают сброс пароля, изменение пароля и принудительное изменение пароля пользователем при следующем входе.

  • Совместное использование действий — фильтрует все действия, чтобы отобразить только те действия, которые включают общий доступ к папкам и файлам, включая создание корпоративной ссылки, создание анонимной ссылки и предоставление разрешений на чтение и запись.

  • Успешный вход — фильтрует все действия, чтобы отобразить только те действия, которые включают успешный вход, включая олицетворение действий, олицетворение входа, единый вход и вход с нового устройства.

действия запроса.

Кроме того, предлагаемые запросы можно использовать в качестве отправной точки для создания запроса. Сначала выберите один из предлагаемых запросов. Затем внесите изменения по мере необходимости и нажмите кнопку "Сохранить как ", чтобы создать новый сохраненный запрос.

Действия запроса шесть месяцев назад

Чтобы исследовать действия старше 30 дней, перейдите в журнал действий и выберите " Исследовать 6 месяцев назад " в правом верхнем углу экрана:

Выберите 6 месяцев назад.

Оттуда можно определить фильтры, как обычно делается с помощью журнала действий, со следующими различиями:

  • Фильтр дат является обязательным и ограничен одним недельным интервалом. Это означает, что в то время как вы можете запрашивать действия до шести месяцев назад, это можно сделать только за один недельный период за раз.

  • Запросы более 30 дней назад поддерживаются только для следующих полей:

    • Идентификатор действия
    • Тип активности
    • Тип действия
    • Приложение
    • IP-адрес
    • Расположение
    • User name

Например:

Отфильтруйте после выбора 6 месяцев назад.

Экспорт действий шесть месяцев назад (предварительная версия)

Вы можете экспортировать все действия от шести месяцев, нажав кнопку "Экспорт" в левом верхнем углу
Щелкните значок экспорта, чтобы экспортировать записи.

При экспорте данных можно выбрать диапазон дат до шести месяцев и исключить частные действия.
Экспортируемый файл ограничен 100 000 записями и будет иметь формат CSV.

Файл результатов будет доступен в экспортированных отчетах. Пользователи могут перейти к отчетам —> облачные приложения на портале Microsoft 365 Defender, чтобы просмотреть состояние процесса экспорта и получить доступ к прошлым экспортам.
Отчеты, включающие частные действия, будут помечены значком "Глаз" на странице отчетов.

значок глаз

Следующие шаги

Рекомендации по защите организации