Defender for Cloud Apps tevékenységek szűrése és lekérdezése

Ez a cikk a tevékenységszűrők és -lekérdezések Defender for Cloud Apps leírását és utasításait tartalmazza.

Tevékenységszűrők

Az alábbiakban az alkalmazható tevékenységszűrők listája látható. A legtöbb szűrő több értéket is támogat, és NEM biztosít hatékony eszközt a szabályzatok létrehozásához.

• Tevékenységazonosító – Csak adott tevékenységek keresése az azonosítójuk alapján. Ez a szűrő akkor hasznos, ha Microsoft Defender for Cloud Apps csatlakoztat a SIEM-hez (az SIEM-ügynök használatával), és további riasztásokat szeretne megvizsgálni Defender for Cloud Apps használatával.

• Tevékenységobjektumok – Keresse meg azokat az objektumokat, amelyen a tevékenységet elvégezték. Ez a szűrő fájlokra, mappákra, felhasználókra vagy alkalmazásobjektumokra vonatkozik.

  • Tevékenységobjektum azonosítója – az objektum azonosítója (fájl, mappa, felhasználó vagy alkalmazásazonosító).

  • Elem – Lehetővé teszi, hogy bármilyen tevékenységobjektum (például felhasználónevek, fájlok, paraméterek, webhelyek) neve vagy azonosítója alapján keressen. A Tevékenységobjektum elemszűrőjeként megadhatja, hogy szűrjön-e a Tartalmaz, Egyenlő vagy Kezdő elemekre az adott elemmel .

  Megjegyzés:

  Az Activity-Policy Tevékenységobjektum elemszűrője csak az Egyenlő operátort támogatja.

• Művelet típusa – Konkrétabb műveletet kereshet egy alkalmazásban.

• Tevékenység típusa – Keresse meg az alkalmazástevékenységet.

  Megjegyzés:

  Az alkalmazások csak akkor lesznek hozzáadva a szűrőhöz, ha az adott alkalmazáshoz tevékenység tartozik.

• Felügyeleti tevékenység – Csak rendszergazdai tevékenységek keresése.

  Megjegyzés:

  Defender for Cloud Apps nem jelölheti meg rendszergazdai tevékenységként a Google Cloud Platform (GCP) felügyeleti tevékenységeit.

• Riasztásazonosító – Keresés riasztásazonosító alapján.

• Alkalmazás – Csak adott alkalmazásokon belüli tevékenységek keresése.

• Alkalmazott művelet – Az alkalmazott cégirányítási művelet alapján történő keresés: Letiltva, Proxy megkerülése, Visszafejtve, Titkosított, Sikertelen titkosítás, Nincs művelet.

• Date (Dátum) – A tevékenység bekövetkezésének dátuma. A szűrő támogatja a dátumok előtti és utáni dátumokat és a dátumtartományokat.

• Eszközcímke – Keresés Intune megfelelő, Microsoft Entra hibrid csatlakoztatott vagy érvényes ügyféltanúsítvány alapján.

• Eszköz típusa – Csak azokat a tevékenységeket keresheti meg, amelyeket egy adott eszköztípussal végeztek el. Kereshet például az összes tevékenységben mobileszközről, PC-ről vagy táblagépről.

• Fájlok és mappák – Keresse meg azokat a fájlokat és mappákat, amelyen a tevékenységet végrehajtották.

  • Fájlazonosító – Lehetővé teszi a keresést azon fájlazonosító alapján, amelyen a tevékenységet végrehajtották.
  • Név – A fájlok vagy mappák nevére szűr. Megadhatja, hogy a név a következőre végződik-e, egyenlő-e, vagy a keresési értékkel kezdődjön .
  • Adott fájlok vagy mappák – Felvehet vagy kizárhat bizonyos fájlokat vagy mappákat. A listákat alkalmazás, tulajdonos vagy részleges fájlnévalapján szűrheti a fájlok vagy mappák kiválasztásakor.

• IP-cím – Az a nyers IP-cím, kategória vagy címke, amelyről a tevékenységet végrehajtották.

  • Nyers IP-cím – Lehetővé teszi a nyers IP-címeken vagy azok alapján végrehajtott tevékenységek keresését. A nyers IP-címek egyenlők, nem egyenlők, kezdődhetnek, vagy nem kezdődhetnek egy adott sorozattal.
  • IP-kategória – Annak az IP-címnek a kategóriája, amelyről a tevékenységet végrehajtották, például a felügyeleti IP-címtartomány összes tevékenységét. A kategóriákat úgy kell konfigurálni, hogy tartalmazzák a megfelelő IP-címeket. Egyes IP-címek alapértelmezés szerint kategorizálhatók. Vannak például olyan IP-címek, amelyeket a Microsoft fenyegetésfelderítési forrásai kockázatosnak minősítenek. Az IP-kategóriák konfigurálásáról további információt az Adatok rendszerezése az igényeinek megfelelően című témakörben talál.
  • IP-címke – Annak az IP-címnek a címkéje, amelyről a tevékenységet végrehajtották, például a névtelen proxy IP-címekről származó összes tevékenység. Defender for Cloud Apps olyan beépített IP-címkéket hoz létre, amelyek nem konfigurálhatók. Emellett konfigurálhatja az IP-címkéket is. Az IP-címkék konfigurálásáról további információt az Adatok rendszerezése az igényeinek megfelelően című témakörben talál. A beépített IP-címkék a következők:
    • Microsoft-alkalmazások (közülük 14)
    • Névtelen proxy
    • Botnet (látni fogja, hogy a tevékenységet egy botnet hajtotta végre egy hivatkozással, hogy többet tudjon meg az adott botnetről)
    • Darknet vizsgálati IP-címe
    • C&C-kiszolgáló kártevők
    • Távoli Kapcsolat Elemző
    • Műholdas szolgáltatók
    • Intelligens proxy és hozzáférési proxy (szándékosan kihagyva)
    • Tor kilépési csomópontok
    • Zscaler

• Megszemélyesített tevékenység – Csak olyan tevékenységeket keressen, amelyeket egy másik felhasználó nevében hajtottak végre.

• Instance – Az az alkalmazáspéldány, ahol a tevékenységet elvégezték vagy nem hajtották végre.

• Location – Az az ország/régió, ahonnan a tevékenységet végrehajtották.

• Megfelelt szabályzat – Olyan tevékenységek keresése, amelyek megfeleltek a portálon beállított adott szabályzatnak.

• Regisztrált isp – Az az isp, amelyről a tevékenységet végrehajtották.

• Source – Keresés azon forrás alapján, amelyből a tevékenységet észlelték. A forrás az alábbiak bármelyike lehet:

  • Alkalmazás-összekötő – Közvetlenül az alkalmazás API-összekötőjének naplói.
  • Alkalmazás-összekötő elemzése – Defender for Cloud Apps bővítéseket az API-összekötő által beolvasott információk alapján.

• Felhasználó – A tevékenységet végrehajtó felhasználó, amely tartományra, csoportra, névre vagy szervezetre szűrhető. A tevékenységek adott felhasználó nélküli szűréséhez használhatja a "nincs beállítva" operátort.

  • Felhasználói tartomány – Adott felhasználói tartomány keresése.
  • Felhasználói szervezet – A tevékenységet végrehajtó felhasználó szervezeti egysége, például EMEA_marketing felhasználók által végzett összes tevékenység. Ez csak a szervezeti egységeket használó csatlakoztatott Google Workspace-példányok esetében releváns.
  • Felhasználói csoport – Adott felhasználói csoportok, amelyeket importálhat a csatlakoztatott alkalmazásokból, például Microsoft 365-rendszergazdák.
  • Felhasználónév – Keressen rá egy adott felhasználónévre. Egy adott felhasználói csoport felhasználóinak listájának megtekintéséhez a Tevékenység fiókban válassza ki a felhasználói csoport nevét. A kattintással megnyílik a Fiókok lap, amelyen a csoport összes felhasználója megjelenik. Innen részletes elemzést végezhet a csoport adott felhasználóinak fiókjairól.
  • A Felhasználócsoport és a Felhasználónév szűrő további szűréséhez használja a Mint szűrőt, és válassza ki a felhasználó szerepkörét, amely az alábbiak bármelyike lehet:
    • Csak tevékenységobjektum – ez azt jelenti, hogy a kiválasztott felhasználó vagy felhasználói csoport nem hajtotta végre a szóban forgó tevékenységet; ezek voltak a tevékenység tárgyai.
    • Csak aktor – ez azt jelenti, hogy a felhasználó vagy a felhasználói csoport hajtotta végre a tevékenységet.
    • Bármilyen szerepkör – Azt jelenti, hogy a felhasználó vagy a felhasználói csoport részt vett a tevékenységben, akár a tevékenységet végrehajtó személyként, akár a tevékenység tárgyaként.

• Felhasználói ügynök – A következő felhasználói ügynöke lett végrehajtva a tevékenységgel: .

• Felhasználói ügynök címkéje – Beépített felhasználóiügynök-címke, például az elavult operációs rendszerekből vagy elavult böngészőkből származó összes tevékenység.

Tevékenység-lekérdezések

A vizsgálat még egyszerűbbé tétele érdekében létrehozhat egyéni lekérdezéseket, és mentheti őket későbbi használatra.

1. A Tevékenységnapló lapon a fent leírt szűrőkkel szükség szerint részletezheti az alkalmazásokat.

   

2. Miután befejezte a lekérdezés összeállítását, válassza a Mentés másként gombot.

3. A Lekérdezés mentése előugró ablakban nevezze el a lekérdezést.

   

4. Ha a jövőben újra használni szeretné ezt a lekérdezést, görgessen le a Lekérdezések területen a Mentett lekérdezések elemhez, és válassza ki a lekérdezést.

   

Defender for Cloud Apps javasolt lekérdezéseket is biztosít. A javasolt lekérdezések ajánlott vizsgálati lehetőségeket biztosítanak a tevékenységek szűréséhez. Szerkesztheti ezeket a lekérdezéseket, és egyéni lekérdezésként mentheti őket. A választható javasolt lekérdezések a következők:

• Rendszergazda tevékenységek – Az összes tevékenységet úgy szűri, hogy csak a rendszergazdákat érintő tevékenységeket jelenítse meg.

• Tevékenységek letöltése – Az összes tevékenységet úgy szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek letöltési tevékenységek voltak, beleértve a felhasználói listák .csv fájlként való letöltését, a megosztott tartalmak letöltését és a mappák letöltését.

• Sikertelen bejelentkezés – Az összes tevékenység szűrése, hogy csak a sikertelen bejelentkezés és a sikertelen bejelentkezések jelenjenek meg egyszeri bejelentkezéssel

• Fájl- és mappatevékenységek – Az összes tevékenységet úgy szűri, hogy csak a fájlokat és mappákat tartalmazó tevékenységeket jelenítse meg. A szűrő tartalmazza a mappák feltöltését, letöltését és elérését, valamint a fájlok létrehozását, törlését, feltöltését, letöltését, quarantinálását és elérését, valamint a tartalmak átvitelét.

• Megszemélyesítési tevékenységek – Az összes tevékenységet úgy szűri, hogy csak a megszemélyesítési tevékenységeket jelenítse meg.

• Jelszómódosítási és visszaállítási kérések – Az összes tevékenységet szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek jelszó-visszaállítást, jelszómódosítást és jelszómódosítást foglalnak magukban, és kényszeríti a felhasználót a jelszó módosítására a következő bejelentkezéskor.

• Megosztási tevékenységek – Szűri az összes tevékenységet, hogy csak azokat a tevékenységeket jelenítse meg, amelyek mappák és fájlok megosztását foglalják magukban, beleértve a vállalati hivatkozás létrehozását, a névtelen hivatkozás létrehozását, valamint az olvasási/írási engedélyek megadását.

• Sikeres bejelentkezés – Az összes tevékenységet úgy szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek sikeres bejelentkezéseket tartalmaznak, beleértve a megszemélyesítési műveletet, a megszemélyesítést, az egyszeri bejelentkezést és az új eszközről való bejelentkezést.

  

Emellett a javasolt lekérdezéseket is használhatja kiindulási pontként egy új lekérdezéshez. Először válassza ki a javasolt lekérdezések egyikét. Ezután szükség szerint végezze el a kívánt módosításokat, majd válassza a Mentés másként lehetőséget egy új mentett lekérdezés létrehozásához.

Lekérdezési tevékenységek hat hónappal ezelőtt

A 30 napnál régebbi tevékenységek vizsgálatához lépjen a Tevékenységnaplóra , és válassza a Vizsgálat 6 hónappal vissza lehetőséget a képernyő jobb felső sarkában:

Itt a szokásos módon definiálhatja a szűrőket a tevékenységnaplóban, a következő különbségekkel:

• A dátumszűrő kötelező, és egy hétre van korlátozva. Ez azt jelenti, hogy bár a tevékenységeket akár hat hónapig is lekérdezheti, ezt egyszerre csak egy hétig teheti meg.

• A 30 napnál hosszabb visszakérdezés csak a következő mezők esetében támogatott:

  • Tevékenységazonosító
  • Tevékenység típusa
  • Művelet típusa
  • Alkalmazás
  • IP-cím
  • Hely
  • Felhasználónév

Például:

Exportálási tevékenységek hat hónappal ezelőtt (előzetes verzió)

A bal felső sarokban található Exportálás gombra kattintva az összes tevékenységet akár hat hónapból is exportálhatja

Az adatok exportálásakor legfeljebb hat hónapos dátumtartományt választhat, és kizárhatja a privát tevékenységeket.
Az exportált fájl legfeljebb 100 000 rekordból áll, és CSV formátumú lesz.

Az eredményfájl az Exportált jelentések területen lesz elérhető. A felhasználók a Microsoft 365 Defender portál Jelentések –> Felhőalkalmazások lapjára lépve megtekinthetik az exportálási folyamat állapotát, és hozzáférhetnek a korábbi exportálásokhoz.
A privát tevékenységeket tartalmazó jelentéseket a jelentésoldalon egy Szem ikon jelöli.

Következő lépések