共用方式為

調查活動

  • 發行項

適用於雲端的 Microsoft Defender 應用程式可讓您查看來自已連線應用程式的所有活動。 當您使用 應用程式連線程式 將 適用於雲端的 Defender Apps 連線到應用程式之後,適用於雲端的 Defender Apps 會掃描所有發生的活動 - 回溯掃描期間會因每個應用程式而有所不同,然後會持續更新新的活動。

注意

如需 適用於雲端的 Defender Apps 所監視Microsoft 365 活動的完整清單,請參閱在合規性中心搜尋稽核記錄。

您可以篩選 [活動記錄],進而找到特定活動。 根據活動建立原則,然後定義想要收到警示並採取動作的項目。 您可以搜尋在特定檔案上執行的活動。 我們取得之每項活動的活動與資訊類型,都是取決於應用程式以及應用程式可提供的資料種類。

例如,您可以使用 [活動記錄] 來尋找組織中使用過期操作系統或瀏覽器的使用者,如下所示:將應用程式連線到 [活動記錄] 頁面中的 [適用於雲端的 Defender 應用程式] 之後,請使用進階篩選,然後選取 [使用者代理程式] 標籤。 然後選取 [過期的瀏覽器] 或 [過期的作業系統]

活動過時的瀏覽器範例。

基本篩選器提供絕佳的工具,讓您開始篩選活動。

基本活動記錄篩選。

您可以選取 [進階篩選] 展開基本篩選 ,以向下切入至更特定的活動。

進階活動記錄篩選。

注意

  • 舊版標籤會新增至任何使用舊版「使用者」篩選的活動原則。 此篩選條件將繼續如往常般運作。 如果您想要移除舊版的標記,您可以移除該篩選條件,然後使用新的 [使用者名稱] 篩選條件再次新增篩選條件。

  • 在某些情況下,活動記錄中顯示的事件計數可能會比套用篩選和呈現的事件實際數目稍高。

活動下拉式清單

使用 [活動] 下拉式清單

您可以選取 [活動記錄] 中的 [活動] 本身,檢視每個活動的詳細資訊。 如此即開啟 [活動] 下拉式清單,其中可為每個活動提供下列額外動作和深入解析:

  • 相符的原則:選取 [相符的原則 ] 連結,以查看此活動相符的原則清單。

  • 檢視原始資料:選取 [檢視原始數據 ],以查看從應用程式接收的實際數據。

  • 用戶:選取使用者以檢視執行活動之用戶的用戶頁面。

  • 裝置類型:選取 [裝置類型 ] 以檢視原始使用者代理程序數據。

  • 位置:選取位置以在 Bing 地圖服務中檢視服務中檢視位置。

  • IP 位址類別和標籤:選取 IP 標籤,以檢視此活動中找到的 IP 標籤清單。 您接著可以依據符合此標記的所有活動進行篩選。

活動選單中的欄位會提供其他活動的內容連結,以及您可能想要直接從抽屜執行的向下切入。 例如,如果您在IP位址類別旁移動游標,您可以使用 add來篩選 圖示 新增至篩選。 ,立即將IP位址新增至目前頁面的篩選。 您也可以使用快顯的設定齒輪圖示 設定圖示 ,直接到達修改其中一個字段組態所需的設定頁面,例如 使用者群組

您也可以使用索引標籤頂端的圖示以執行下列動作:

  • 檢視相同類型的活動
  • 檢視同一個使用者的所有活動
  • 檢視來自同一個 IP 位址的活動
  • 從確切地理位置檢視活動
  • 檢視同期的活動 (48 小時)

活動選單。

如需可用的治理動作清單,請參閱活動治理動作

使用者深入解析

調查體驗包括執行使用者的見解。 按兩下即可取得使用者的完整概觀,包括他們連線的位置、他們參與的開啟警示數目,以及其元數據資訊。

檢視使用者深入解析:

  1. 選取 [活動記錄] 中的 [活動] 本身。

  2. 然後選取 [ 使用者] 索引 標籤。
    選取它會開啟 [活動選單使用者] 索引標籤,提供下列使用者深入解析:

    • 開啟警示:涉及用戶的開啟警示數目。
    • [相符數]:使用者所擁有檔案的相符原則數。
    • 活動:使用者在過去 30 天執行的活動數目。
    • 國家/地區:使用者在過去 30 天從中連線的國家/地區數目。
    • ISP:使用者在過去 30 天內連線的 ISP 數目。
    • IP 位址:過去 30 天內使用者所連線的 IP 位址數目。

適用於雲端的 Defender Apps 中的使用者深入解析。

IP 位址深入解析

因為 IP 位址資訊對幾乎所有調查都非常重要,所以您可以在 [活動] 下拉式清單中檢視 IP 位址的詳細資訊。 從特定活動內,您可以選取 [IP 位址] 索引標籤來檢視 IP 位址的合併數據,包括特定 IP 位址的開啟警示數目、最近活動的趨勢圖表,以及位置地圖。 例如,這可讓您在調查不可能的旅行警示時輕鬆向下切入。 此外,您可以輕鬆地瞭解IP位址的使用位置,以及IP位址是否涉及可疑活動。 您也可以直接在 [IP 位址] 下拉式清單中執行動作,讓您將某個 IP 位址標記為有風險、VPN 或公司,以便日後進行調查和建立原則。

檢視 IP 位址深入解析:

  1. 選取 [活動記錄] 中的 [活動] 本身。

  2. 然後選取 [ IP 位址] 索引標籤

    這會開啟隱藏式 [活動] 選單的 [IP 位址] 索引標籤,其中提供 IP 位址的下列深入解析:

    • 未解決的警示:與 IP 位址有關的未解決警示數目。

    • 活動:過去 30 天依 IP 位址執行的活動數目。

    • IP 位置:過去 30 天內 IP 位址連線的地理位置。

    • 活動:過去 30 天內從此 IP 位址執行的活動數目。

    • 系統管理活動:過去 30 天內從此 IP 位址執行的系統管理活動數目。 您可以執行下列 IP 位址動作:

      • 將設為公司 IP 並新增至 allowlist
      • 將 設定為 VPN IP 位址並新增至 allowlist
      • 將設為具風險的IP並新增至封鎖清單

適用於雲端的 Defender Apps 中的 IP 位址深入解析。

注意

  • 與 API 連線的雲端應用程式稽核的內部 IPv4 或 IPv6 IP 位址,可能表示雲端應用程式網路內的內部服務通訊,而且不應該與裝置所連線來源網路的內部 IP 混淆,因為雲端應用程式不會公開給裝置的內部 IP。
  • 為了避免員工透過公司 VPN 從其家庭位置連線時引發 不可能的旅行 警示,建議您將 IP 位址 標記為 VPN

匯出活動

您可以將所有使用者活動都匯出至 CSV 檔案。

在 [ 活動記錄] 中,選取左上角的 [ 匯出 ] 按鈕。

匯出按鈕。

注意

本文提供瞭如何從裝置或服務中刪除個人資料的步驟,並可以用來支援您在 GDPR 下的義務。 如果您正在尋找有關 GDPR 的一般資訊,請參閱服務信任入口網站的 GDPR 區段

下一步

保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證