活动

  • 项目

Microsoft Defender for Cloud Apps 可直观显示已连接应用中的所有活动。 使用应用连接器将 Defender for Cloud Apps 连接到应用后,Defender for Cloud Apps 会扫描发生的所有活动(各应用的追溯扫描时间段不同),然后不断更新新活动。

注意

有关 Defender for Cloud Apps 监视的 Microsoft 365 活动的完整列表,请参阅在合规中心搜索审核日志

可以筛选活动日志,以查找特定的活动。 可基于活动创建策略,然后定义想要收到警报的内容并对其采取操作。 可以搜索在特定文件上执行的活动。 活动类型和每个活动呈现的信息取决于应用及其可提供的数据类型。

例如,可使用活动日志找到组织中正在使用已过期的操作系统或浏览器的用户,如下所示:在“活动日志”页中,将某应用连接到 Defender for Cloud Apps 后,使用高级筛选器并选择“用户代理标记”。 然后选择“过期浏览器”或“过期操作系统”

Activity outdated browser example.

基本筛选器提供了强大的工具来开始筛选活动。

basic activity log filter.

可以通过选择“高级筛选器” 来展开基本筛选器 ,向下钻取到更具体的活动。

advanced activity log filter.

注意

  • 旧标记被添加到任何使用旧“用户”筛选器的活动策略中。 此筛选器将继续正常工作。 如果要删除旧标记,可以删除筛选器,并使用新的“用户名”筛选器再次添加筛选器。

  • 在某些情况下,活动日志中显示的事件计数可能略高于应用于筛选器和呈现的实际事件数。

活动抽屉

使用活动抽屉

可以通过在“活动”日志中选择“活动”本身来查看有关每个活动的详细信息。 这会打开“活动”抽屉,其中提供了每个活动的以下附加操作和见解:

  • 匹配政策:选择“匹配政策”链接,查看此活动匹配的政策列表。

  • 查看原始数据:选择“查看原始数据”可查看从应用接收的实际数据。

  • 用户:选择用户可查看执行活动的用户的用户页面。

  • 设备类型:选择“设备类型”可查看原始用户代理数据。

  • 位置:选择位置可在必应地图中查看位置。

  • IP 地址类别和标记:选择 IP 标记可查看在此活动中找到的 IP 标记列表。 然后,可以筛选匹配此标记的所有活动。

活动抽屉中的字段提供了附加活动的上下文链接,并直接从抽屉向下钻取要执行的操作。 例如,如果将游标移动到 IP 地址类别旁边,则可以使用“添加到筛选器”图标add to filter.,立即将 IP 地址添加到当前页面的筛选器。 还可以使用弹出的“设置”齿轮图标settings icon,直接到达需要修改其中一个字段(例如“用户组”)配置的设置页面。

还可以使用选项卡顶部的图标来执行下列操作:

  • 查看同一类型的活动
  • 查看同一用户的所有活动
  • 查看来自同一 IP 地址的活动
  • 查看来自确切地理位置的活动
  • 查看相同时间段(48 小时)内的活动

activity drawer.

有关可用管理操作的列表,请参阅活动管理操作

用户见解

调查体验包括有关活动用户的见解。 单击一下,即可全面了解用户信息,其中包括他们的连接源位置、所涉及的未处理警报数及其元数据信息。

查看用户见解:

  1. 选择“活动日志”中的“活动”本身。

  2. 然后选择“用户”选项卡。
    选择它即会打开活动抽屉“用户”选项卡,提供有关用户的以下见解:

    • 未处理警报:涉及用户的未处理警报数目。
    • 匹配数:用户拥有的文件的策略匹配数。
    • 活动:用户在过去 30 天内执行的活动数。
    • 国家/地区:过去 30 天内用户连接的源国家/地区数目。
    • ISP:过去 30 天内用户连接的源 ISP 数。
    • IP 地址:过去 30 天内用户连接的源 IP 地址数。

user insights in Defender for Cloud Apps.

IP 地址见解

由于 IP 地址信息对于几乎所有的调查而言都至关重要,因此可以在活动抽屉中查看 IP 地址的详细信息。 在特定活动中,可以选择 IP 地址选项卡查看关于 IP 地址的合并数据,包括针对特定 IP 地址的未处理警报数、最近活动的趋势图和位置图。 例如,在调查不可能旅行的警报时,这样即可轻松向下钻取。 此外,可以轻松了解 IP 地址的使用位置以及是否涉及可疑活动。 也可以直接在 IP 地址抽屉中执行操作,从而将 IP 地址标记为有风险、VPN 或公司,以便于以后进行调查或创建策略。

查看 IP 地址见解:

  1. 选择“活动日志”中的“活动”本身。

  2. 然后,选择“IP 地址”选项卡。

    这会打开活动抽屉“IP 地址”选项卡,其中显示有关 IP 地址的以下见解:

    • 未处理警报:涉及此 IP 地址的未处理警报数。

    • 活动:IP 地址在过去 30 天内执行的活动数。

    • IP 位置:IP 地址在过去 30 天内进行连接的地理位置。

    • 活动:在过去 30 天内从此 IP 地址执行的活动数。

    • 管理活动:在过去 30 天内从此 IP 地址执行的管理活动数。 可以执行下列 IP 地址操作:

      • 设置为“公司 IP”并添加到允许列表
      • 设置为“VPN IP”地址并添加到允许列表
      • 设置为“有风险的 IP”并添加到阻止名单

IP address insights in Defender for Cloud Apps.

注意

  • 与 API 连接的云应用程序审核的内部 IPv4 或 IPv6 IP 地址,可能表示云应用程序的网络内部服务通信,且不应与设备连接的源网络的内部 IP 混淆,因为云应用程序不会向设备的内部 IP 公开。
  • 为了避免员工通过公司 VPN 从其家庭位置连接时引发“不可能旅行”警报,建议将 IP 地址标记为“VPN”

导出活动

可以将所有用户活动导出到 CSV 文件。

在“活动日志”的左上角,选择“导出”按钮。

export button.

注意

本文介绍如何删除设备或服务中的个人数据,并且可为 GDPR 下的任务提供支持。 如果正在查找有关 GDPR 的常规信息,请参阅服务信任门户的 GDPR 部分

后续步骤

保护组织的最佳做法

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证