مشاركة عبر

أنشطة Defender for Cloud Apps التصفية والاستعلام

  • مقالة

توفر هذه المقالة أوصافا وإرشادات Defender for Cloud Apps عوامل تصفية النشاط والاستعلامات.

عوامل تصفية النشاط

فيما يلي قائمة بعوامل تصفية النشاط التي يمكن تطبيقها. تدعم معظم عوامل التصفية قيما متعددة بالإضافة إلى NOT لتزويدك بأداة قوية لإنشاء النهج.

  • معرف النشاط - ابحث فقط عن أنشطة محددة حسب معرفها. يكون عامل التصفية هذا مفيدا عند توصيل Microsoft Defender for Cloud Apps ب SIEM (باستخدام عامل SIEM) وتريد إجراء مزيد من التحقيق في التنبيهات باستخدام Defender for Cloud Apps.

  • كائنات النشاط - ابحث عن الكائنات التي تم إجراء النشاط عليها. ينطبق عامل التصفية هذا على الملفات أو المجلدات أو المستخدمين أو عناصر التطبيق.

    • معرف عنصر النشاط - معرف العنصر (ملف أو مجلد أو مستخدم أو معرف التطبيق).

    • العنصر - يمكنك من البحث حسب اسم أو معرف أي عنصر نشاط (على سبيل المثال، أسماء المستخدمين والملفات والمعلمات والمواقع). بالنسبة لعامل تصفية عنصر النشاط ، يمكنك تحديد ما إذا كنت تريد التصفية للعناصر التي تحتوي على العنصر المحدد أو يساوي أو يبدأ بالعنصر المحدد.

    ملاحظة

    يدعم عامل تصفية عنصر نشاط نهج النشاط عامل التشغيل يساوي فقط.

  • نوع الإجراء - ابحث عن إجراء أكثر تحديدا تم تنفيذه في أحد التطبيقات.

  • نوع النشاط - ابحث عن نشاط التطبيق.

    ملاحظة

    تتم إضافة التطبيقات إلى عامل التصفية فقط إذا كان هناك نشاط لهذا التطبيق.

  • النشاط الإداري - ابحث فقط عن الأنشطة الإدارية.

    ملاحظة

    لا يمكن Defender for Cloud Apps وضع علامة على الأنشطة الإدارية ل Google Cloud Platform (GCP) كأنشطة إدارية.

  • معرف التنبيه - البحث حسب معرف التنبيه.

  • التطبيق - ابحث فقط عن الأنشطة داخل تطبيقات معينة.

  • الإجراء المطبق - فشل البحث عن طريق إجراء الحوكمة المطبق: محظور، وكيل تجاوز، فك تشفير، مشفر، فشل التشفير، لا يوجد إجراء.

  • التاريخ – التاريخ الذي حدث فيه النشاط. يدعم عامل التصفية التواريخ قبل/بعد ونطاق التاريخ.

  • علامة الجهاز - البحث حسب Intune المتوافقةأو Microsoft Entra شهادة عميل مختلط أوشهادة عميل صالحة.

  • نوع الجهاز - ابحث فقط عن الأنشطة التي تم إجراؤها باستخدام نوع جهاز معين. على سبيل المثال، ابحث في جميع الأنشطة من الأجهزة المحمولة أو أجهزة الكمبيوتر الشخصية أو الأجهزة اللوحية.

  • الملفات والمجلدات - ابحث عن الملفات والمجلدات التي تم تنفيذ النشاط عليها.

    • معرف الملف - يمكنك من البحث بواسطة معرف الملف الذي تم تنفيذ النشاط عليه.
    • الاسم - عوامل تصفية على اسم الملفات أو المجلدات. يمكنك تحديد ما إذا كان الاسم ينتهي بقيمة البحث أو يساويها أو يبدأ بها.
    • ملفات أو مجلدات معينة - يمكنك تضمين ملفات أو مجلدات معينة أو استبعادها. يمكنك تصفية القائمة حسب التطبيق أو المالك أو اسم الملفالجزئي عند تحديد الملفات أو المجلدات.

  • عنوان IP - عنوان IP الخام أو الفئة أو العلامة التي تم تنفيذ النشاط منها.

    • عنوان IP الأولي - يمكنك من البحث عن الأنشطة التي تم تنفيذها على عناوين IP الأولية أو بواسطةها. يمكن أن تساوي عناوين IP الأولية أو لا تساوي أو تبدأ ب أو لا تبدأ بتسلسل معين.
    • فئة IP - فئة عنوان IP الذي تم تنفيذ النشاط منه، على سبيل المثال، جميع الأنشطة من نطاق عناوين IP الإدارية. يجب تكوين الفئات لتضمين عناوين IP ذات الصلة. قد يتم تصنيف بعض عناوين IP بشكل افتراضي. على سبيل المثال، هناك عناوين IP تعتبرها مصادر التحليل الذكي للمخاطر من Microsoft مصنفة على أنها محفوفة بالمخاطر. لمعرفة كيفية تكوين فئات IP، راجع تنظيم البيانات وفقا لاحتياجاتك.
    • علامة IP - علامة عنوان IP الذي تم تنفيذ النشاط منه، على سبيل المثال، جميع الأنشطة من عناوين IP الوكيل المجهولة. Defender for Cloud Apps بإنشاء مجموعة من علامات IP المضمنة غير القابلة للتكوين. بالإضافة إلى ذلك، يمكنك تكوين علامات IP الخاصة بك. لمزيد من المعلومات حول تكوين علامات IP الخاصة بك، راجع تنظيم البيانات وفقا لاحتياجاتك. تتضمن علامات IP المضمنة ما يلي:
      • تطبيقات Microsoft (14 منها)
      • وكيل مجهول
      • Botnet (سترى أن النشاط تم تنفيذه بواسطة شبكة روبوت مع ارتباط لمعرفة المزيد حول botnet المحددة)
      • عنوان IP لمسح الشبكة الداكنة
      • خادم C&C للبرامج الضارة
      • محلل الاتصال عن بعد
      • موفرو الأقمار الصناعية
      • وكيل ذكي ووكيل وصول (تم استبعاده عن قصد)
      • عقد إنهاء Tor
      • Zscaler

  • نشاط منتحل الهوية - ابحث فقط عن الأنشطة التي تم تنفيذها باسم مستخدم آخر.

  • المثيل - مثيل التطبيق حيث كان النشاط أو لم يتم تنفيذه.

  • الموقع - البلد/المنطقة التي تم تنفيذ النشاط منها.

  • النهج المطابق - ابحث عن الأنشطة التي تطابق نهج معين تم تعيينه في المدخل.

  • ISP المسجل - ISP الذي تم تنفيذ النشاط منه.

  • Source - ابحث عن طريق المصدر الذي تم الكشف عن النشاط منه. يمكن أن يكون المصدر أيا مما يلي:

    • موصل التطبيق - السجلات الواردة مباشرة من موصل واجهة برمجة التطبيقات للتطبيق.
    • تحليل موصل التطبيق - Defender for Cloud Apps الإثراء استنادا إلى المعلومات التي تم مسحها ضوئيا بواسطة موصل واجهة برمجة التطبيقات.

  • المستخدم - المستخدم الذي قام بتنفيذ النشاط، والذي يمكن تصفيته إلى مجال أو مجموعة أو اسم أو مؤسسة. لتصفية الأنشطة بدون مستخدم معين، يمكنك استخدام عامل التشغيل "غير معين".

    • مجال المستخدم - ابحث عن مجال مستخدم معين.
    • مؤسسة المستخدم - الوحدة التنظيمية للمستخدم الذي قام بتنفيذ النشاط، على سبيل المثال، جميع الأنشطة التي يقوم بها المستخدمون EMEA_marketing. هذا مناسب فقط لمثيلات مساحة عمل Google المتصلة باستخدام الوحدات التنظيمية.
    • مجموعة المستخدمين - مجموعات مستخدمين محددة يمكنك استيرادها من التطبيقات المتصلة، على سبيل المثال، مسؤولي Microsoft 365.
    • اسم المستخدم - ابحث عن اسم مستخدم معين. لمشاهدة قائمة بالمستخدمين في مجموعة مستخدمين معينة، في درج النشاط، حدد اسم مجموعة المستخدمين. سيؤدي النقر إلى نقلك إلى صفحة الحسابات، التي تسرد جميع المستخدمين في المجموعة. من هناك، يمكنك التنقل لأسفل في تفاصيل حسابات مستخدمين محددين في المجموعة.
    • يمكن تصفية عوامل تصفية User group وUser name بشكل أكبر باستخدام عامل التصفية As وتحديد دور المستخدم، والذي يمكن أن يكون أيا مما يلي:
      • عنصر النشاط فقط - ما يعني أن المستخدم أو مجموعة المستخدمين المحددة لم تقم بالنشاط المعني؛ كانوا كائن النشاط.
      • المستخدم فقط - مما يعني أن المستخدم أو مجموعة المستخدمين نفذوا النشاط.
      • أي دور - بمعنى أن المستخدم أو مجموعة المستخدمين قد شاركوا في النشاط، إما كشخص قام بتنفيذ النشاط أو كعنصر للنشاط.

  • عامل المستخدم - تم تنفيذ عامل المستخدم من مع النشاط.

  • علامة عامل المستخدم - علامة عامل المستخدم المضمنة، على سبيل المثال، جميع الأنشطة من أنظمة التشغيل القديمة أو المستعرضات القديمة.

استعلامات النشاط

لجعل التحقيق أبسط، يمكنك الآن إنشاء استعلامات مخصصة وحفظها لاستخدامها لاحقا.

  1. في صفحة سجل النشاط ، استخدم عوامل التصفية كما هو موضح أعلاه للتنقل لأسفل في تطبيقاتك حسب الضرورة.

    استخدم عوامل التصفية لإجراء استعلام.

  2. بعد الانتهاء من إنشاء الاستعلام، حدد الزر حفظ باسم .

  3. في النافذة المنبثقة حفظ الاستعلام ، قم بتسمية الاستعلام الخاص بك.

    استعلام جديد.

  4. لاستخدام هذا الاستعلام مرة أخرى في المستقبل، ضمن الاستعلامات، قم بالتمرير لأسفل إلى الاستعلامات المحفوظة وحدد الاستعلام الخاص بك.

    افتح الاستعلام.

يوفر لك Defender for Cloud Apps أيضا استعلامات مقترحة. توفر لك الاستعلامات المقترحة طرقا موصى بها للتحقيق تقوم بتصفية أنشطتك. يمكنك تحرير هذه الاستعلامات وحفظها كاستفسارات مخصصة. فيما يلي استعلامات مقترحة اختيارية:

  • مسؤول الأنشطة - تصفية جميع أنشطتك لعرض الأنشطة التي تتضمن المسؤولين فقط.

  • تنزيل الأنشطة - يقوم بتصفية جميع أنشطتك لعرض الأنشطة التي تم تنزيلها فقط، بما في ذلك تنزيل قائمة المستخدمين كملف .csv وتنزيل المحتوى المشترك وتنزيل مجلد.

  • فشل تسجيل الدخول - تصفية جميع أنشطتك لعرض تسجيل الدخول الفاشل فقط وتسجيلات الدخول الفاشلة عبر تسجيل الدخول الأحادي

  • أنشطة الملفات والمجلدات - تقوم بتصفية جميع أنشطتك لعرض الأنشطة التي تتضمن الملفات والمجلدات فقط. يتضمن عامل التصفية تحميل المجلدات وتنزيلها والوصول إليها، إلى جانب إنشاء الملفات وحذفها وتحميلها وتنزيلها وتكسيرها والوصول إليها ونقل المحتوى.

  • أنشطة انتحال الهوية - تقوم بتصفية جميع أنشطتك لعرض أنشطة انتحال الهوية فقط.

  • تغييرات كلمة المرور وطلبات إعادة التعيين - تقوم بتصفية جميع أنشطتك لعرض الأنشطة التي تتضمن إعادة تعيين كلمة المرور وتغيير كلمة المرور وإجبار المستخدم على تغيير كلمة المرور عند تسجيل الدخول التالي.

  • أنشطة المشاركة - تصفية جميع أنشطتك لعرض الأنشطة التي تتضمن مشاركة المجلدات والملفات فقط، بما في ذلك إنشاء ارتباط شركة وإنشاء ارتباط مجهول ومنح أذونات القراءة/الكتابة.

  • تسجيل الدخول الناجح - يقوم بتصفية جميع أنشطتك لعرض الأنشطة التي تتضمن عمليات تسجيل دخول ناجحة فقط، بما في ذلك إجراء انتحال شخصية، وانتحال صفة تسجيل الدخول، وتسجيل الدخول الأحادي، وتسجيل الدخول من جهاز جديد.

    أنشطة الاستعلام.

بالإضافة إلى ذلك، يمكنك استخدام الاستعلامات المقترحة كنقطة بداية لاستعلام جديد. أولا، حدد أحد الاستعلامات المقترحة. بعد ذلك، قم بإجراء التغييرات حسب الحاجة وأخيرا حدد حفظ باسم لإنشاء استعلام محفوظ جديد.

أنشطة الاستعلام قبل ستة أشهر

للتحقيق في الأنشطة الأقدم من 30 يوما، يمكنك الانتقال إلى سجل النشاط وتحديد التحقيق قبل 6 أشهر في الزاوية العلوية اليمنى من الشاشة:

حدد التحقيق قبل 6 أشهر.

من هناك يمكنك تحديد عوامل التصفية كما هو الحال عادة مع سجل النشاط، مع الاختلافات التالية:

  • عامل تصفية التاريخ إلزامي ويقتصر على فترة أسبوع واحد. وهذا يعني أنه بينما يمكنك الاستعلام عن الأنشطة لمدة تصل إلى ستة أشهر، يمكنك القيام بذلك لمدة أسبوع واحد فقط في كل مرة.

  • يتم دعم الاستعلام عن أكثر من 30 يوما للخلف للحاول التالية فقط:

    • معرف النشاط
    • نوع النشاط
    • نوع الإجراء
    • Application
    • عنوان IP
    • مكان
    • اسم المستخدم

على سبيل المثال:

قم بالتصفية بعد تحديد التحقيق قبل 6 أشهر.

أنشطة التصدير قبل ستة أشهر (معاينة)

يمكنك تصدير جميع الأنشطة من ما يصل إلى ستة أشهر بالنقر فوق الزر تصدير في الزاوية العلوية اليمنى
انقر فوق أيقونة التصدير لتصدير السجلات.

عند تصدير البيانات، يمكنك اختيار نطاق تاريخ يصل إلى ستة أشهر، ولديك القدرة على استبعاد الأنشطة الخاصة.
يقتصر الملف المصدر على 100,000 سجل وسيكون بتنسيق CSV.

يمكن الوصول إلى ملف النتيجة ضمن التقارير المصدرة. يمكن للمستخدمين الانتقال إلى Reports -> Cloud Apps في مدخل Microsoft 365 Defender لعرض حالة عملية التصدير والوصول إلى عمليات التصدير السابقة.
سيتم وضع علامة على التقارير التي تتضمن أنشطة خاصة بأيقونة العين في صفحة التقارير.

أيقونة العين

الخطوات التالية

أفضل الممارسات لحماية مؤسستك