Aktivitetsfilter och -frågor

Den här artikeln innehåller beskrivningar och instruktioner för aktivitetsfilter och frågor för Defender för molnet Appar.

Aktivitetsfilter

Nedan visas en lista över aktivitetsfilter som kan användas. De flesta filter stöder flera värden samt INTE för att ge dig ett kraftfullt verktyg för att skapa principer.

• Aktivitets-ID – Sök bara efter specifika aktiviteter med hjälp av deras ID. Det här filtret är användbart när du ansluter Microsoft Defender för molnet-appar till SIEM (med SIEM-agenten) och du vill undersöka aviseringar ytterligare i portalen Defender för molnet Apps.

• Aktivitetsobjekt – Sök efter de objekt som aktiviteten utfördes på. Det här filtret gäller för filer, mappar, användare eller appobjekt.

  • Aktivitetsobjekt-ID – ID för objektet (fil, mapp, användare eller app-ID).

  • Objekt – Gör att du kan söka efter namnet eller ID:t för ett aktivitetsobjekt (till exempel användarnamn, filer, parametrar, webbplatser). För objektet Aktivitetsobjektsfilter kan du välja om du vill filtrera efter objekt som innehåller, är lika med eller startar med det specifika objektet.

• Åtgärdstyp – Sök efter en mer specifik åtgärd som utförs i en app.

• Aktivitetstyp – Sök efter appaktivitet.

  Kommentar

  Appar läggs bara till i filtret om det finns aktivitet för appen.

• Administrativ aktivitet – Sök bara efter administrativa aktiviteter.

  Kommentar

  Defender för molnet Apps kan inte markera administrativa aktiviteter för Google Cloud Platform (GCP) som administrativa aktiviteter.

• Varnings-ID – Sök efter varnings-ID.

• App – Sök bara efter aktiviteter inom specifika appar.

• Tillämpad åtgärd – Sök efter styrningsåtgärd: blockerad, förbigå proxy, avkrypterad, krypterad, kryptering misslyckades, ingen åtgärd.

• Datum – Datumet då aktiviteten inträffade. Filter stöder datum före/efter och ett datumintervall.

• Enhetstagg – Sök efter Intune-kompatibel, Microsoft Entra-hybridansluten eller giltigt klientcertifikat.

• Enhetstyp – Sök bara efter aktiviteter som har utförts med en viss enhetstyp. Du kan till exempel söka i alla aktiviteter från mobila enheter, datorer eller surfplattor.

• Filer och mappar – Sök efter filer och mappar som aktiviteten utfördes på.

  • Fil-ID – Gör att du kan söka efter det fil-ID som aktiviteten utfördes på.
  • Namn – Filter på namnet på filer eller mappar. Du kan välja om namnet slutar med, är lika med eller börjar med ditt sökvärde.
  • Specifika filer eller mappar – Du kan inkludera eller exkludera specifika filer eller mappar. Du kan filtrera listan efter app, ägare eller delvis filnamnnär du väljer filer eller mappar.

• IP-adress – den råa IP-adress, kategori eller tagg som aktiviteten utfördes från.

  • Raw IP-adress – Gör att du kan söka efter aktiviteter som har utförts på eller av råa IP-adresser. De råa IP-adresserna kan vara lika med, inte lika med, börja med eller inte börja med en viss sekvens.
  • IP-kategori – kategorin för den IP-adress som aktiviteten utfördes från, till exempel alla aktiviteter från det administrativa IP-adressintervallet. Kategorierna måste konfigureras för att inkludera relevanta IP-adresser. Vissa IP-adresser kan kategoriseras som standard. Det finns till exempel IP-adresser som anses av Microsofts hotinformationskällor kategoriseras som riskfyllda. Mer information om IP-kategorier finns i Organize the data according to your needs (Ordna data efter dina behov).
  • IP-tagg – Taggen för IP-adressen som aktiviteten utfördes från, till exempel alla aktiviteter från IP-adresser från anonyma proxyservrar. Defender för molnet Apps skapar en uppsättning inbyggda IP-taggar som inte kan konfigureras. Dessutom kan du konfigurera dina IP-taggar. Mer information om hur du konfigurerar DINA IP-taggar finns i Ordna data efter dina behov. De inbyggda IP-taggarna innehåller följande:
    • Microsoft-appar (14 stycken)
    • Anonym proxy
    • Botnet (du ser att aktiviteten utfördes av ett botnät med en länk för att lära dig mer om det specifika botnet)
    • IP för Darknet-skanning
    • Skadlig kod C & C-server
    • Remote Connectivity Analyzer
    • Satellit-providrar
    • Smart proxy och åtkomstproxy (avsiktligt utelämnade)
    • Tor-exit-noder
    • Zscaler

• Personifierad aktivitet – Sök bara efter aktiviteter som utförts i en annan användares namn.

• Instans – appinstansen där aktiviteten utfördes eller inte utfördes.

• Plats – det land/den region som aktiviteten utfördes från.

• Matchad princip – Sök efter aktiviteter som matchade en specifik princip som angavs i portalen.

• Registrerad internetleverantör – Internetleverantören som aktiviteten utfördes från.

• Källa – Sök efter källan från vilken aktiviteten har identifierats. Källan kan vara något av följande:

  • Anslutningsverktyg – loggar som kommer direkt från appens API-anslutningsapp.
  • Anslutningsverktyg analys – Defender för molnet Apps-berikanden baserat på information som genomsöks av API-anslutningsappen.

• Användare – Den användare som utförde aktiviteten, som kan filtreras till domän, grupp, namn eller organisation. Om du vill filtrera aktiviteter utan någon specifik användare kan du använda operatorn "is not set".

  • Användardomän – Sök efter en viss användardomän.
  • Användarorganisation – Organisationsenheten för användaren som utförde aktiviteten, till exempel alla aktiviteter som utförs av EMEA_marknadsföringsanvändare. Detta är endast relevant för anslutna Google Workspace-instanser med hjälp av organisationsenheter.
  • Användargrupp – Specifika användargrupper som du kan importera från anslutna appar, till exempel Microsoft 365-administratörer.
  • Användarnamn – Sök efter ett specifikt användarnamn. Om du vill se en lista över användare i en specifik användargrupp går du till aktivitetslådan och väljer namnet på användargruppen. Om du klickar kommer du till sidan Konton, som visar en lista över alla användare i gruppen. Därifrån kan du öka detaljnivån i informationen om kontona för specifika användare i gruppen.
  • Filter för användargrupp och användarnamn kan filtreras ytterligare med hjälp av filtret Som och välja rollen för användaren, vilket kan vara något av följande:
    • Endast aktivitetsobjekt – vilket innebär att den valda användaren eller användargruppen inte utförde aktiviteten i fråga. de var föremål för aktiviteten.
    • Endast aktör – vilket innebär att användaren eller användargruppen utförde aktiviteten.
    • Valfri roll – vilket innebär att användaren eller användargruppen var involverad i aktiviteten, antingen som den person som utförde aktiviteten eller som objekt för aktiviteten.

• Användaragent – Användaragenten som aktiviteten utförts från.

• Tagg för användaragent – inbyggd användaragenttagg, till exempel alla aktiviteter från inaktuella operativsystem eller inaktuella webbläsare.

Aktivitetsfrågor

För att göra undersökningen ännu enklare kan du nu skapa anpassade frågor och spara dem för senare användning.

1. På sidan Aktivitetslogg använder du filtren enligt beskrivningen ovan för att öka detaljnivån i dina appar efter behov.

1. När du har skapat frågan väljer du knappen Spara som .

2. I popup-fönstret Spara fråga namnger du frågan.

   

3. Om du vill använda den här frågan igen i framtiden bläddrar du ned till Sparade frågor under Frågor och väljer din fråga.

   

Defender för molnet Apps ger dig ocksåFöreslagna frågor. Föreslagna frågor ger dig rekommenderade undersökningsvägar som filtrerar dina aktiviteter. Du kan redigera dessa frågor och spara dem som anpassade frågor. Följande är valfria föreslagna frågor:

• Administratörsaktiviteter – filtrerar alla dina aktiviteter så att endast de aktiviteter som involverar administratörer visas.

• Ladda ned aktiviteter – filtrerar alla dina aktiviteter så att de endast visar de aktiviteter som var nedladdningsaktiviteter, inklusive nedladdning av användarlista som en .csv fil, nedladdning av delat innehåll och nedladdning av en mapp.

• Misslyckad inloggning – filtrerar alla dina aktiviteter för att endast visa misslyckade inloggningar och misslyckade inloggningar via enkel inloggning

• Fil- och mappaktiviteter – filtrerar alla dina aktiviteter så att endast de som rör filer och mappar visas. Filtret omfattar uppladdning, nedladdning och åtkomst till mappar, tillsammans med att skapa, ta bort, ladda upp, ladda ned, kvartera och komma åt filer och överföra innehåll.

• Personifieringsaktiviteter – filtrerar alla dina aktiviteter så att endast personifieringsaktiviteter visas.

• Lösenordsändringar och återställningsbegäranden – filtrerar alla dina aktiviteter så att endast de aktiviteter som omfattar lösenordsåterställning, lösenordsändring och tvinga en användare att ändra lösenordet vid nästa inloggning visas.

• Delningsaktiviteter – filtrerar alla dina aktiviteter för att endast visa de aktiviteter som omfattar delning av mappar och filer, inklusive att skapa en företagslänk, skapa en anonym länk och bevilja läs-/skrivbehörigheter.

• Lyckad inloggning – filtrerar alla dina aktiviteter för att endast visa de aktiviteter som involverar lyckade inloggningar, inklusive personifieringsåtgärd, personifiera inloggning, inloggning med enkel inloggning och inloggning från en ny enhet.

Dessutom kan du använda de föreslagna frågorna som utgångspunkt för en ny fråga. Välj först en av de föreslagna frågorna. Gör sedan ändringar efter behov och välj slutligen Spara som för att skapa en ny sparad fråga.

Fråga efter aktiviteter för sex månader sedan

Om du vill undersöka aktiviteter som är äldre än 30 dagar kan du gå till aktivitetsloggen och välja Undersök 6 månader tillbaka i det övre högra hörnet på skärmen:

Därifrån kan du definiera filtren som normalt görs med aktivitetsloggen, med följande skillnader:

• Datumfiltret är obligatoriskt och är begränsat till ett intervall på en vecka. Det innebär att även om du kan köra frågor mot aktiviteter i upp till sex månader tillbaka kan du bara göra det under en vecka i taget.

• Det går endast att köra frågor mot mer än 30 dagar tillbaka för följande fält:

  • Aktivitets-ID
  • Aktivitetstyp
  • Åtgärdstyp
  • Program
  • IP-adress
  • Plats
  • Användarnamn

Till exempel:

Nästa steg

Metodtips för att skydda din organisation