Microsoft Defender for Cloud Apps 讓你能看到連接應用程式中所有活動的動態。 當你用 App 連接器將 Defender for Cloud Apps 連接到應用程式後,Defender for Cloud Apps 會掃描所有發生的活動——回溯掃描的時間因應用程式而異——然後會持續更新新的活動。
注意事項
活動類型 (FileCreated如 、 FileCreatedOnNetworkShare、 ArchiveCreated、) FileDeleted 及其相關資料,直接來自連接應用程式的第三方 API (,例如 Salesforce 或 ServiceNow) 。
Microsoft Defender for Cloud Apps 會完全照收到的方式顯示這些活動名稱和類型,且不會定義或修改它們。 要了解活動的意義,請參考相關的第三方 API 文件。
事件與活動的行動類型由來源服務決定,無論是第一方還是第三方服務。 Microsoft Defender for Cloud Apps (MDA) 支援多種動作類型,且不限於特定行動類型。 欲了解Defender for Cloud Apps監控的Microsoft 365項活動完整清單,請參閱Microsoft Purview入口網站的「搜尋稽核日誌」。
注意事項
隨著 Microsoft Defender 朝向完全統一的身份平台邁進,部分 Defender for Cloud Apps 的資料管線仍然獨立存在。 活動日誌使用尚未整合到 身份清單的獨立資料管線。 身份清單中定義的相關性不會影響活動日誌中顯示的使用者資料。 欲了解受影響功能的完整清單,請參見 啟用身份清單整合。
活動日誌可以篩選,讓你找到特定的活動。 你根據活動制定政策,然後定義你想要被警示並採取行動的事項。 你可以搜尋特定檔案上執行的活動。 活動類型和我們獲得的資訊取決於應用程式及其能提供的資料類型。
例如,你可以使用活動日誌來查找組織內使用過時作業系統或瀏覽器的使用者,方法如下:在活動日誌頁面將應用程式連接到 Defender for Cloud Apps 後,使用進階篩選器並選擇 User agent 標籤。 然後選擇 過時的瀏覽器 或過 時的作業系統。
基本篩選器提供了很棒的工具,幫助你開始篩選活動。
你可以選擇 進階篩選 器來擴展基本篩選,深入到更具體的活動。
注意事項
- Legacy 標籤會被加到任何使用舊版「使用者」篩選器的活動政策上。 這個過濾器照常運作。 如果你想移除 Legacy 標籤,可以移除過濾器,然後用新的 使用者名稱 過濾器重新加入。
- 在某些罕見情況下,活動日誌中呈現的事件數量可能略高於實際適用於篩選器且呈現的事件數量。
活動抽屜
操作活動抽屜
您可以透過在活動日誌中選擇活動本身,查看更多關於每個活動的資訊。 這會開啟活動抽屜,提供每個活動的額外動作與見解:
配對政策:選擇配 對 政策連結以查看該活動所匹配的政策清單。
查看原始資料:選擇 「檢視原始資料 」以查看從應用程式收到的實際資料。
使用者:選擇該使用者以查看執行該活動的使用者頁面。
裝置類型:選擇 裝置類型 以查看原始使用者代理資料。
地點:選擇地點以在 Bing 地圖服務中查看該地點。
IP 位址類別與標籤:選擇 IP 標籤以查看此活動中發現的 IP 標籤清單。 接著你可以依照所有符合此標籤的活動來篩選。
活動抽屜中的欄位提供上下文連結,指向你可能想直接從抽屜執行的其他活動和深入分析。 例如,如果你將游標移到IP位址類別旁,可以使用 「新增到篩選 」圖示, 
」,立即將IP位址加入當前頁面的篩選器。 你也可以使用跳出的設定齒輪圖 
直接進入修改欄位設定(如 使用者群組)設定所需的頁面。
你也可以利用分頁頂端的圖示來:
- 查看同類型的活動
- 查看同一使用者的所有活動
- 從同一 IP 位址查看活動
- 從精確地理位置查看活動
- 查看同期 48 小時 (活動)
有關可用的治理行動清單,請參見 活動治理行動。
使用者洞察
調查體驗包含對行動使用者的洞察。 只需一鍵,你就能全面了解使用者的狀況,包括他們從哪個地點連線、參與了多少未解決的警示,以及他們的元資料資訊。
查看用戶洞察:
在活動日誌中選擇活動本身。
然後選擇 使用者 標籤。
選擇後會開啟活動抽屜 使用者 標籤,提供以下關於該使用者的見解:- 未開啟警報:指涉及使用者的未開啟警報數量。
- 匹配:使用者擁有檔案的政策匹配數量。
- 活動:使用者在過去 30 天內執行的活動數量。
- 國家:用戶在過去 30 天內連接的國家數量。
- ISP:用戶在過去 30 天內連接的 ISP 數量。
- IP 位址:使用者在過去 30 天內連接的 IP 位址數量。
IP 位址洞察
由於 IP 位址資訊對幾乎所有調查都至關重要,您可以在活動抽屜中查看 IP 位址的詳細資訊。 在特定活動中,您可以選擇 IP 位址標籤,查看該 IP 位址的整合資料,包括該 IP 位址未開啟的警示數量、近期活動趨勢圖及位置地圖。 例如,這讓調查不可能的旅行警示時更容易深入分析。 此外,你也能輕易了解該 IP 位址的使用地點,以及是否涉及可疑活動。 你也可以直接在 IP 位址抽屜中執行操作,將 IP 位址標記為風險、VPN 或企業,方便未來調查與政策制定。
要查看 IP 位址洞察:
在活動日誌中選擇活動本身。
然後選擇 IP 位址 標籤。
這會開啟活動抽屜 的 IP 位址 標籤,提供以下關於該 IP 位址的見解:
未開啟警報:涉及該 IP 位址的未開啟警報數量。
活動:該 IP 位址在過去 30 天內執行的活動數量。
IP 位置:指該 IP 位址在過去 30 天內連接的地理位置。
活動:過去 30 天內,該 IP 位址執行的活動數量。
管理員活動:過去 30 天內,該 IP 位址執行的管理活動數量。 你可以執行以下 IP 位址操作:
- 設定為企業 IP 並新增到允許清單
- 設定為 VPN IP 位址並新增到允許清單
- 設定為風險 IP,並加入封鎖名單
注意事項
- 由連接 API 的雲端應用程式稽核的內部 IPv4 或 IPv6 IP 位址,可能代表該雲端應用程式網路內的內部服務通訊,且不應與裝置連接的來源網路內部 IP 混淆,因為雲端應用程式並未暴露於裝置的內部 IP。
- 為避免員工從家裡透過公司 VPN 連線時觸發 無法完成的旅遊 警示,建議將 IP 位址標記為 VPN。
出口活動
你可以把所有使用者活動匯出成 CSV 檔案。
在 活動日誌中,選擇左上角的 匯出 按鈕。
注意事項
本文提供如何從裝置或服務中刪除個人資料的步驟,並可用來支持你在GDPR下的義務。 如果你想了解GDPR的一般資訊,請參閱 Service Trust入口網站的GDPR專區。
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。