Defender for Cloud Apps tevékenységek szűrése és lekérdezése
Ez a cikk a tevékenységszűrők és -lekérdezések Defender for Cloud Apps leírását és utasításait tartalmazza.
Tevékenységszűrők
Az alábbiakban az alkalmazható tevékenységszűrők listája látható. A legtöbb szűrő több értéket is támogat, és NEM biztosít hatékony eszközt a szabályzatok létrehozásához.
Tevékenységazonosító – Csak adott tevékenységek keresése az azonosítójuk alapján. Ez a szűrő akkor hasznos, ha Microsoft Defender for Cloud Apps csatlakoztat a SIEM-hez (az SIEM-ügynök használatával), és további riasztásokat szeretne megvizsgálni Defender for Cloud Apps használatával.
Tevékenységobjektumok – Keresse meg azokat az objektumokat, amelyen a tevékenységet elvégezték. Ez a szűrő fájlokra, mappákra, felhasználókra vagy alkalmazásobjektumokra vonatkozik.
Tevékenységobjektum azonosítója – az objektum azonosítója (fájl, mappa, felhasználó vagy alkalmazásazonosító).
Elem – Lehetővé teszi, hogy bármilyen tevékenységobjektum (például felhasználónevek, fájlok, paraméterek, webhelyek) neve vagy azonosítója alapján keressen. A Tevékenységobjektum elemszűrőjeként megadhatja, hogy szűrjön-e a Tartalmaz, Egyenlő vagy Kezdő elemekre az adott elemmel .
Megjegyzés:
Az Activity-Policy Tevékenységobjektum elemszűrője csak az Egyenlő operátort támogatja.
Művelet típusa – Konkrétabb műveletet kereshet egy alkalmazásban.
Tevékenység típusa – Keresse meg az alkalmazástevékenységet.
Megjegyzés:
Az alkalmazások csak akkor lesznek hozzáadva a szűrőhöz, ha az adott alkalmazáshoz tevékenység tartozik.
Felügyeleti tevékenység – Csak rendszergazdai tevékenységek keresése.
Megjegyzés:
Defender for Cloud Apps nem jelölheti meg rendszergazdai tevékenységként a Google Cloud Platform (GCP) felügyeleti tevékenységeit.
Riasztásazonosító – Keresés riasztásazonosító alapján.
Alkalmazás – Csak adott alkalmazásokon belüli tevékenységek keresése.
Alkalmazott művelet – Az alkalmazott cégirányítási művelet alapján történő keresés: Letiltva, Proxy megkerülése, Visszafejtve, Titkosított, Sikertelen titkosítás, Nincs művelet.
Date (Dátum) – A tevékenység bekövetkezésének dátuma. A szűrő támogatja a dátumok előtti és utáni dátumokat és a dátumtartományokat.
Eszközcímke – Keresés Intune megfelelő, Microsoft Entra hibrid csatlakoztatott vagy érvényes ügyféltanúsítvány alapján.
Eszköz típusa – Csak azokat a tevékenységeket keresheti meg, amelyeket egy adott eszköztípussal végeztek el. Kereshet például az összes tevékenységben mobileszközről, PC-ről vagy táblagépről.
Fájlok és mappák – Keresse meg azokat a fájlokat és mappákat, amelyen a tevékenységet végrehajtották.
- Fájlazonosító – Lehetővé teszi a keresést azon fájlazonosító alapján, amelyen a tevékenységet végrehajtották.
- Név – A fájlok vagy mappák nevére szűr. Megadhatja, hogy a név a következőre végződik-e, egyenlő-e, vagy a keresési értékkel kezdődjön .
- Adott fájlok vagy mappák – Felvehet vagy kizárhat bizonyos fájlokat vagy mappákat. A listákat alkalmazás, tulajdonos vagy részleges fájlnévalapján szűrheti a fájlok vagy mappák kiválasztásakor.
IP-cím – Az a nyers IP-cím, kategória vagy címke, amelyről a tevékenységet végrehajtották.
- Nyers IP-cím – Lehetővé teszi a nyers IP-címeken vagy azok alapján végrehajtott tevékenységek keresését. A nyers IP-címek egyenlők, nem egyenlők, kezdődhetnek, vagy nem kezdődhetnek egy adott sorozattal.
- IP-kategória – Annak az IP-címnek a kategóriája, amelyről a tevékenységet végrehajtották, például a felügyeleti IP-címtartomány összes tevékenységét. A kategóriákat úgy kell konfigurálni, hogy tartalmazzák a megfelelő IP-címeket. Egyes IP-címek alapértelmezés szerint kategorizálhatók. Vannak például olyan IP-címek, amelyeket a Microsoft fenyegetésfelderítési forrásai kockázatosnak minősítenek. Az IP-kategóriák konfigurálásáról további információt az Adatok rendszerezése az igényeinek megfelelően című témakörben talál.
- IP-címke – Annak az IP-címnek a címkéje, amelyről a tevékenységet végrehajtották, például a névtelen proxy IP-címekről származó összes tevékenység. Defender for Cloud Apps olyan beépített IP-címkéket hoz létre, amelyek nem konfigurálhatók. Emellett konfigurálhatja az IP-címkéket is. Az IP-címkék konfigurálásáról további információt az Adatok rendszerezése az igényeinek megfelelően című témakörben talál.
A beépített IP-címkék a következők:
- Microsoft-alkalmazások (közülük 14)
- Névtelen proxy
- Botnet (látni fogja, hogy a tevékenységet egy botnet hajtotta végre egy hivatkozással, hogy többet tudjon meg az adott botnetről)
- Darknet vizsgálati IP-címe
- C&C-kiszolgáló kártevők
- Távoli Kapcsolat Elemző
- Műholdas szolgáltatók
- Intelligens proxy és hozzáférési proxy (szándékosan kihagyva)
- Tor kilépési csomópontok
- Zscaler
Megszemélyesített tevékenység – Csak olyan tevékenységeket keressen, amelyeket egy másik felhasználó nevében hajtottak végre.
Instance – Az az alkalmazáspéldány, ahol a tevékenységet elvégezték vagy nem hajtották végre.
Location – Az az ország/régió, ahonnan a tevékenységet végrehajtották.
Megfelelt szabályzat – Olyan tevékenységek keresése, amelyek megfeleltek a portálon beállított adott szabályzatnak.
Regisztrált isp – Az az isp, amelyről a tevékenységet végrehajtották.
Source – Keresés azon forrás alapján, amelyből a tevékenységet észlelték. A forrás az alábbiak bármelyike lehet:
- Alkalmazás-összekötő – Közvetlenül az alkalmazás API-összekötőjének naplói.
- Alkalmazás-összekötő elemzése – Defender for Cloud Apps bővítéseket az API-összekötő által beolvasott információk alapján.
Felhasználó – A tevékenységet végrehajtó felhasználó, amely tartományra, csoportra, névre vagy szervezetre szűrhető. A tevékenységek adott felhasználó nélküli szűréséhez használhatja a "nincs beállítva" operátort.
- Felhasználói tartomány – Adott felhasználói tartomány keresése.
- Felhasználói szervezet – A tevékenységet végrehajtó felhasználó szervezeti egysége, például EMEA_marketing felhasználók által végzett összes tevékenység. Ez csak a szervezeti egységeket használó csatlakoztatott Google Workspace-példányok esetében releváns.
- Felhasználói csoport – Adott felhasználói csoportok, amelyeket importálhat a csatlakoztatott alkalmazásokból, például Microsoft 365-rendszergazdák.
- Felhasználónév – Keressen rá egy adott felhasználónévre. Egy adott felhasználói csoport felhasználóinak listájának megtekintéséhez a Tevékenység fiókban válassza ki a felhasználói csoport nevét. A kattintással megnyílik a Fiókok lap, amelyen a csoport összes felhasználója megjelenik. Innen részletes elemzést végezhet a csoport adott felhasználóinak fiókjairól.
- A Felhasználócsoport és a Felhasználónév szűrő további szűréséhez használja a Mint szűrőt, és válassza ki a felhasználó szerepkörét, amely az alábbiak bármelyike lehet:
- Csak tevékenységobjektum – ez azt jelenti, hogy a kiválasztott felhasználó vagy felhasználói csoport nem hajtotta végre a szóban forgó tevékenységet; ezek voltak a tevékenység tárgyai.
- Csak aktor – ez azt jelenti, hogy a felhasználó vagy a felhasználói csoport hajtotta végre a tevékenységet.
- Bármilyen szerepkör – Azt jelenti, hogy a felhasználó vagy a felhasználói csoport részt vett a tevékenységben, akár a tevékenységet végrehajtó személyként, akár a tevékenység tárgyaként.
Felhasználói ügynök – A következő felhasználói ügynöke lett végrehajtva a tevékenységgel: .
Felhasználói ügynök címkéje – Beépített felhasználóiügynök-címke, például az elavult operációs rendszerekből vagy elavult böngészőkből származó összes tevékenység.
Tevékenység-lekérdezések
A vizsgálat még egyszerűbbé tétele érdekében létrehozhat egyéni lekérdezéseket, és mentheti őket későbbi használatra.
A Tevékenységnapló lapon a fent leírt szűrőkkel szükség szerint részletezheti az alkalmazásokat.
Miután befejezte a lekérdezés összeállítását, válassza a Mentés másként gombot.
A Lekérdezés mentése előugró ablakban nevezze el a lekérdezést.
Ha a jövőben újra használni szeretné ezt a lekérdezést, görgessen le a Lekérdezések területen a Mentett lekérdezések elemhez, és válassza ki a lekérdezést.
Defender for Cloud Apps javasolt lekérdezéseket is biztosít. A javasolt lekérdezések ajánlott vizsgálati lehetőségeket biztosítanak a tevékenységek szűréséhez. Szerkesztheti ezeket a lekérdezéseket, és egyéni lekérdezésként mentheti őket. A választható javasolt lekérdezések a következők:
Rendszergazda tevékenységek – Az összes tevékenységet úgy szűri, hogy csak a rendszergazdákat érintő tevékenységeket jelenítse meg.
Tevékenységek letöltése – Az összes tevékenységet úgy szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek letöltési tevékenységek voltak, beleértve a felhasználói listák .csv fájlként való letöltését, a megosztott tartalmak letöltését és a mappák letöltését.
Sikertelen bejelentkezés – Az összes tevékenység szűrése, hogy csak a sikertelen bejelentkezés és a sikertelen bejelentkezések jelenjenek meg egyszeri bejelentkezéssel
Fájl- és mappatevékenységek – Az összes tevékenységet úgy szűri, hogy csak a fájlokat és mappákat tartalmazó tevékenységeket jelenítse meg. A szűrő tartalmazza a mappák feltöltését, letöltését és elérését, valamint a fájlok létrehozását, törlését, feltöltését, letöltését, quarantinálását és elérését, valamint a tartalmak átvitelét.
Megszemélyesítési tevékenységek – Az összes tevékenységet úgy szűri, hogy csak a megszemélyesítési tevékenységeket jelenítse meg.
Jelszómódosítási és visszaállítási kérések – Az összes tevékenységet szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek jelszó-visszaállítást, jelszómódosítást és jelszómódosítást foglalnak magukban, és kényszeríti a felhasználót a jelszó módosítására a következő bejelentkezéskor.
Megosztási tevékenységek – Szűri az összes tevékenységet, hogy csak azokat a tevékenységeket jelenítse meg, amelyek mappák és fájlok megosztását foglalják magukban, beleértve a vállalati hivatkozás létrehozását, a névtelen hivatkozás létrehozását, valamint az olvasási/írási engedélyek megadását.
Sikeres bejelentkezés – Az összes tevékenységet úgy szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek sikeres bejelentkezéseket tartalmaznak, beleértve a megszemélyesítési műveletet, a megszemélyesítést, az egyszeri bejelentkezést és az új eszközről való bejelentkezést.
Emellett a javasolt lekérdezéseket is használhatja kiindulási pontként egy új lekérdezéshez. Először válassza ki a javasolt lekérdezések egyikét. Ezután szükség szerint végezze el a kívánt módosításokat, majd válassza a Mentés másként lehetőséget egy új mentett lekérdezés létrehozásához.
Lekérdezési tevékenységek hat hónappal ezelőtt
A 30 napnál régebbi tevékenységek vizsgálatához lépjen a Tevékenységnaplóra , és válassza a Vizsgálat 6 hónappal vissza lehetőséget a képernyő jobb felső sarkában:
Itt a szokásos módon definiálhatja a szűrőket a tevékenységnaplóban, a következő különbségekkel:
A dátumszűrő kötelező, és egy hétre van korlátozva. Ez azt jelenti, hogy bár a tevékenységeket akár hat hónapig is lekérdezheti, ezt egyszerre csak egy hétig teheti meg.
A 30 napnál hosszabb visszakérdezés csak a következő mezők esetében támogatott:
- Tevékenységazonosító
- Tevékenység típusa
- Művelet típusa
- Alkalmazás
- IP-cím
- Hely
- Felhasználónév
Például:
Exportálási tevékenységek hat hónappal ezelőtt (előzetes verzió)
A bal felső sarokban található Exportálás gombra kattintva az összes tevékenységet akár hat hónapból is exportálhatja
Az adatok exportálásakor legfeljebb hat hónapos dátumtartományt választhat, és kizárhatja a privát tevékenységeket.
Az exportált fájl legfeljebb 100 000 rekordból áll, és CSV formátumú lesz.
Az eredményfájl az Exportált jelentések területen lesz elérhető. A felhasználók a Microsoft 365 Defender portál Jelentések –> Felhőalkalmazások lapjára lépve megtekinthetik az exportálási folyamat állapotát, és hozzáférhetnek a korábbi exportálásokhoz.
A privát tevékenységeket tartalmazó jelentéseket a jelentésoldalon egy Szem ikon jelöli.