Aracılığıyla paylaş

Etkinlik filtreleri ve sorguları

  • Makale

Bu makalede, Bulut için Defender Uygulamaları etkinlik filtreleri ve sorguları için açıklamalar ve yönergeler sağlanır.

Etkinlik filtreleri

Uygulanabilecek etkinlik filtreleri aşağıda listelenmiştir. Filtrelerin çoğu birden çok değeri destekler ve size ilke oluşturma için güçlü bir araç sağlamaZ .

  • Etkinlik kimliği - Yalnızca belirli etkinlikler için, etkinlik kimliğine göre arama yapın. Bu filtre, Bulut için Microsoft Defender Uygulamaları SIEM'inize bağladığınızda (SIEM aracısını kullanarak) ve Bulut için Defender Uygulamalar portalında uyarıları daha fazla araştırmak istediğinizde kullanışlıdır.

  • Etkinlik nesneleri – Etkinliğin yapıldığı nesneleri arayın. Bu filtre dosyalar, klasörler, kullanıcılar veya uygulama nesneleri için geçerlidir.

    • Etkinlik nesnesi kimliği - nesnenin kimliği (dosya, klasör, kullanıcı veya uygulama kimliği).

    • Öğe - Herhangi bir etkinlik nesnesinin (örneğin, kullanıcı adları, dosyalar, parametreler, siteler) adına veya kimliğine göre aramanızı sağlar. Etkinlik nesnesi Öğesi filtresi için, belirli bir öğeyi içeren, Eşit veya Başlatan öğelere filtre uygulama seçeneğini belirleyebilirsiniz.

  • Eylem türü - Uygulamada gerçekleştirilen daha belirli bir eylemi arayın.

  • Etkinlik türü: Uygulama etkinliği için arama yapın.

    Not

    Uygulamalar filtreye yalnızca bu uygulama için etkinlik varsa eklenir.

  • Yönetim etkinliği – Yalnızca yönetim etkinlikleri için arama yapın.

    Not

    Bulut için Defender Uygulamalar, Google Cloud Platform (GCP) yönetim etkinliklerini yönetim etkinlikleri olarak işaretleyemez.

  • Uyarı Kimliği: Uyarı kimliğine göre arama yapın.

  • Uygulama – Yalnızca belirli uygulamaların içindeki etkinlikler için arama yapın.

  • Uygulanan eylem: Uygulanan idare eylemine göre arama yapın: Engellenmiş, Proxy atlanmış, Şifresi çözülmüş, Şifrelenmiş, Şifreleme başarısız, Eylem yok.

  • Tarih – Etkinliğin oluştuğu tarih. Filtre, önceki/sonraki tarihleri ve tarih aralığını destekler.

  • Cihaz etiketi - Intune uyumlu, Microsoft Entra karmaya katılmış veya Geçerli istemci sertifikasına göre arama yapın.

  • Cihaz türü - Yalnızca belirli bir cihaz türü kullanılarak yapılan etkinlikleri arayın. Örneğin, mobil cihazlardan, bilgisayarlardan veya Tabletlerden tüm etkinlikleri arayın.

  • Dosyalar ve klasörler - Etkinliğin gerçekleştirildiği dosya ve klasörleri arayın.

    • Dosya Kimliği - Etkinliğin gerçekleştirildiği Dosya Kimliğine göre aramanızı sağlar.
    • Ad - Dosya veya klasörlerin adına göre filtreler. Adın arama değerinizle bitip bitmediğini, eşit olup olmadığını veya bu değerle başlayıp başlamayabileceğini seçebilirsiniz.
    • Belirli dosya veya klasörler - Belirli dosyaları veya klasörleri dahil edebilir veya hariç tutabilirsiniz. Dosya veya klasörleri seçerken listeyi Uygulama, Sahip veya kısmi Dosya Adı'nagöre filtreleyebilirsiniz.

  • IP adresi – Etkinliğin gerçekleştirildiği ham IP adresi, kategori veya etiket.

    • Ham IP adresi - Ham IP adresleri üzerinde veya ham IP adresleri tarafından gerçekleştirilen etkinlikleri aramanızı sağlar. Ham IP'ler eşit olabilir, eşit olamaz, ile başlayabilir veya belirli bir diziyle başlayamaz.
    • IP kategorisi - Etkinliğin gerçekleştirildiği IP adresinin kategorisi, örneğin, yönetim IP adresi aralığındaki tüm etkinlikler. Kategorilerin ilgili IP adreslerini içerecek şekilde yapılandırılması gerekir. Bazı IP'ler varsayılan olarak kategorilere ayrılmış olabilir. Örneğin, Microsoft tehdit bilgileri kaynakları tarafından riskli olarak sınıflandırılacak IP adresleri vardır. IP kategorilerinin nasıl yapılandırıldığını öğrenmek için bkz. Verileri gereksinimlerinize göre düzenleme.
    • IP etiketi - Etkinliğin gerçekleştirildiği IP adresinin etiketi. Örneğin, anonim proxy IP adreslerinden gerçekleştirilen tüm etkinlikler. Bulut için Defender Apps, yapılandırılamayan bir dizi yerleşik IP etiketi oluşturur. Ayrıca, IP etiketlerinizi yapılandırabilirsiniz. IP etiketlerinizi yapılandırma hakkında daha fazla bilgi için bkz . Verileri gereksinimlerinize göre düzenleme. Yerleşik IP etiketleri şunları içerir:
      • Microsoft uygulamaları (14 etiket)
      • Anonim ara sunucu
      • Botnet (etkinliğin belirli bir botnet hakkında daha fazla bilgi edinmek için bir bağlantı içeren bir botnet tarafından gerçekleştirildiğini göreceksiniz)
      • Darknet tarama IP’si
      • Malware C&C sunucusu
      • Uzak Bağlantı Çözümleyicisi
      • Uydu sağlayıcıları
      • Akıllı proxy ve erişim proxy’si (bilerek dışarıda bırakılmıştır)
      • Tor çıkış düğümleri
      • Zscaler

  • Kimliğine bürünülen etkinlik – Yalnızca başka bir kullanıcı adına gerçekleştirilmiş olan etkinlik için arama yapın.

  • Örnek - Etkinliğin gerçekleştirildiği veya gerçekleştiril olmadığı uygulama örneği.

  • Konum : Etkinliğin gerçekleştirildiği ülke/bölge.

  • Eşleşen İlke – Portalda ayarlanan belirli bir ilkeyle eşleşen etkinlikleri arayın.

  • Kayıtlı ISS – Etkinliğin gerçekleştirildiği ISS.

  • Kaynak: Etkinliğin algılandığı kaynağa göre arama yapın. Kaynak aşağıdakilerden biri olabilir:

    • Uygulama bağlayıcısı - doğrudan uygulamanın API bağlayıcısından gelen günlükler.
    • Uygulama bağlayıcısı analizi - API bağlayıcısı tarafından taranan bilgilere dayalı Bulut için Defender Uygulamalar zenginleştirmeleri.

  • Kullanıcı : Etkinliği gerçekleştiren kullanıcıdır ve bu kullanıcı etki alanı, grup, ad veya kuruluş olarak filtrelenebilir. Belirli bir kullanıcı olmayan etkinlikleri filtrelemek için 'ayarlanmadı' işlecini kullanabilirsiniz.

    • Kullanıcı etki alanı: Belirli bir kullanıcı etki alanına göre arama yapın.
    • Kullanıcı kuruluşu – Etkinliği gerçekleştiren kullanıcının kuruluş birimi. Örneğin, EMAE_pazarlama kullanıcıları tarafından gerçekleştirilen tüm etkinlikler. Bu yalnızca kuruluş birimlerini kullanan bağlı Google Workspace örnekleri için geçerlidir.
    • Kullanıcı grubu : Bağlı uygulamalardan içeri aktarabileceğiniz belirli kullanıcı grupları, örneğin Microsoft 365 yöneticileri.
    • Kullanıcı adı: Belirli bir kullanıcı adını arayın. Belirli bir kullanıcı grubundaki kullanıcıların listesini görmek için Etkinlik çekmecesinde kullanıcı grubunun adını seçin. Tıklanması sizi gruptaki tüm kullanıcıların listelendiği Hesaplar sayfasına götürür. Buradan, gruptaki belirli kullanıcıların hesaplarının ayrıntılarına gidebilirsiniz.
    • Kullanıcı grubu ve Kullanıcı adı filtreleri, Farklı filtresi kullanılarak ve kullanıcının rolü seçilerek daha fazla filtrelenebilir. Bu, aşağıdakilerden herhangi biri olabilir:
      • Yalnızca etkinlik nesnesi - yani seçilen kullanıcı veya kullanıcı grubu söz konusu etkinliği gerçekleştirmedi; etkinliğin nesnesiydiler.
      • Yalnızca aktör- yani etkinliği kullanıcı veya kullanıcı grubu gerçekleştirdi.
      • Herhangi bir rol - Etkinliği gerçekleştiren kişi veya etkinliğin nesnesi olarak kullanıcının veya kullanıcı grubunun etkinliğe dahil olduğu anlamına gelir.

  • Kullanıcı aracısı – Etkinliğin gerçekleştirildiği kullanıcı aracısı.

  • Kullanıcı aracısı etiketi – Eski işletim sistemlerinden veya eski tarayıcılardan gelen tüm etkinlikler gibi yerleşik kullanıcı aracısı etiketi.

Etkinlik sorguları

Araştırmayı daha da basit hale getirmek için artık özel sorgular oluşturabilir ve bunları daha sonra kullanmak üzere kaydedebilirsiniz.

  1. Etkinlik günlüğü sayfasında, uygulamalarınızda gerektiği gibi detaya gitmek için yukarıda açıklandığı gibi filtreleri kullanın.

Use filters to make query.

  1. Sorgunuzu derlemeyi tamamladıktan sonra Farklı Kaydet düğmesini seçin.

  2. Sorguyu kaydet açılır penceresinde sorgunuzu adlandırın.

    new query.

  3. Gelecekte bu sorguyu yeniden kullanmak için Sorgular'ın altında Kayıtlı sorgular'a gidin ve sorgunuzu seçin.

    open query.

Bulut için Defender Uygulamaları ayrıca Önerilen sorgular. Önerilen sorgular, etkinliklerinizi filtreleyen önerilen araştırma yollarını sağlar. Bu sorguları düzenleyebilir ve özel sorgular olarak kaydedebilirsiniz. İsteğe bağlı önerilen sorgular şunlardır:

  • Yönetici etkinlikleri - tüm etkinliklerinizi yalnızca yöneticileri içeren etkinlikleri görüntüleyecek şekilde filtreler.

  • İndirme etkinlikleri - kullanıcı listesini .csv dosyası olarak indirme, paylaşılan içeriği indirme ve klasör indirme gibi yalnızca indirme etkinlikleri olan etkinlikleri görüntülemek için tüm etkinliklerinizi filtreler.

  • Başarısız oturum açma - Tüm etkinliklerinizi yalnızca başarısız oturum açmaları ve başarısız oturum açmaları SSO aracılığıyla görüntüleyecek şekilde filtreler

  • Dosya ve klasör etkinlikleri - tüm etkinliklerinizi yalnızca dosya ve klasörlerle ilgili olanları görüntüleyecek şekilde filtreler. Filtre, klasörleri karşıya yükleme, indirme ve bunlara erişmenin yanı sıra dosya oluşturma, silme, karşıya yükleme, indirme, quarantining ve dosyalara erişme ve içerik aktarmayı içerir.

  • Kimliğe bürünme etkinlikleri - Tüm etkinliklerinizi yalnızca kimliğe bürünme etkinliklerini görüntüleyecek şekilde filtreler.

  • Parola değişiklikleri ve sıfırlama istekleri - tüm etkinliklerinizi yalnızca parola sıfırlama, parola değiştirme ve kullanıcıyı bir sonraki oturum açmada parolayı değiştirmeye zorlayan etkinlikleri görüntüleyecek şekilde filtreler.

  • Paylaşım etkinlikleri - Şirket bağlantısı oluşturma, anonim bağlantı oluşturma ve okuma/yazma izinleri verme dahil olmak üzere yalnızca klasör ve dosya paylaşımını içeren etkinlikleri görüntülemek için tüm etkinliklerinizi filtreler.

  • Başarılı oturum açma - Tüm etkinliklerinizi filtreleyip yalnızca yeni bir cihazdan oturum açma eyleminin kimliğine bürünme, oturum açma kimliğine bürünme, çoklu oturum açma ve oturum açma gibi başarılı oturum açma işlemleri içeren etkinlikleri görüntüler.

query activities.

Ayrıca, önerilen sorguları yeni bir sorgu için başlangıç noktası olarak kullanabilirsiniz. İlk olarak, önerilen sorgulardan birini seçin. Ardından, gerektiği gibi değişiklikler yapın ve son olarak Farklı kaydet'i seçerek yeni bir Kayıtlı sorgu oluşturun.

Altı ay önce sorgu etkinlikleri

30 günden eski etkinlikleri araştırmak için Etkinlik günlüğüne gidebilir ve ekranın sağ üst köşesindeki Araştır 6 ay'ı seçebilirsiniz:

Select investigate 6 months back.

Buradan, aşağıdaki farklarla, normalde Etkinlik Günlüğü ile yapıldığı gibi filtreleri tanımlayabilirsiniz:

  • Tarih filtresi zorunludur ve bir haftalık bir süreyle sınırlıdır. Başka bir deyişle, altı aya kadar olan etkinlikleri sorgulayabilirsiniz ancak aynı anda yalnızca bir hafta boyunca bunu yapabilirsiniz.

  • Yalnızca aşağıdaki alanlar için 30 günden uzun bir süre önce sorgulama desteklenir:

    • Etkinlik Kimliği
    • Etkinlik türü
    • Eylem türü
    • Uygulama
    • IP Adresi
    • Konum
    • User name

Örneğin:

Filter after selecting investigate 6 months back.

Sonraki adımlar

Kuruluşunuzu korumaya yönelik en iyi yöntemler