Megosztás a következőn keresztül:


Defender for Cloud Apps tevékenységek szűrése és lekérdezése

Ez a cikk a tevékenységszűrők és -lekérdezések Defender for Cloud Apps leírását és utasításait tartalmazza.

Tevékenységszűrők

Az alábbiakban az alkalmazható tevékenységszűrők listája látható. A legtöbb szűrő több értéket is támogat, és NEM biztosít hatékony eszközt a szabályzatok létrehozásához.

  • Tevékenységazonosító – Csak adott tevékenységek keresése az azonosítójuk alapján. Ez a szűrő akkor hasznos, ha Microsoft Defender for Cloud Apps csatlakoztat a SIEM-hez (az SIEM-ügynök használatával), és további riasztásokat szeretne megvizsgálni Defender for Cloud Apps használatával.

  • Tevékenységobjektumok – Keresse meg azokat az objektumokat, amelyen a tevékenységet elvégezték. Ez a szűrő fájlokra, mappákra, felhasználókra vagy alkalmazásobjektumokra vonatkozik.

    • Tevékenységobjektum azonosítója – az objektum azonosítója (fájl, mappa, felhasználó vagy alkalmazásazonosító).

    • Elem – Lehetővé teszi, hogy bármilyen tevékenységobjektum (például felhasználónevek, fájlok, paraméterek, webhelyek) neve vagy azonosítója alapján keressen. A Tevékenységobjektum elemszűrőjeként megadhatja, hogy szűrjön-e a Tartalmaz, Egyenlő vagy Kezdő elemekre az adott elemmel .

    Megjegyzés:

    Az Activity-Policy Tevékenységobjektum elemszűrője csak az Egyenlő operátort támogatja.

  • Művelet típusa – Konkrétabb műveletet kereshet egy alkalmazásban.

  • Tevékenység típusa – Keresse meg az alkalmazástevékenységet.

    Megjegyzés:

    Az alkalmazások csak akkor lesznek hozzáadva a szűrőhöz, ha az adott alkalmazáshoz tevékenység tartozik.

  • Felügyeleti tevékenység – Csak rendszergazdai tevékenységek keresése.

    Megjegyzés:

    Defender for Cloud Apps nem jelölheti meg rendszergazdai tevékenységként a Google Cloud Platform (GCP) felügyeleti tevékenységeit.

  • Riasztásazonosító – Keresés riasztásazonosító alapján.

  • Alkalmazás – Csak adott alkalmazásokon belüli tevékenységek keresése.

  • Alkalmazott művelet – Az alkalmazott cégirányítási művelet alapján történő keresés: Letiltva, Proxy megkerülése, Visszafejtve, Titkosított, Sikertelen titkosítás, Nincs művelet.

  • Date (Dátum) – A tevékenység bekövetkezésének dátuma. A szűrő támogatja a dátumok előtti és utáni dátumokat és a dátumtartományokat.

  • Eszközcímke – Keresés Intune megfelelő, Microsoft Entra hibrid csatlakoztatott vagy érvényes ügyféltanúsítvány alapján.

  • Eszköz típusa – Csak azokat a tevékenységeket keresheti meg, amelyeket egy adott eszköztípussal végeztek el. Kereshet például az összes tevékenységben mobileszközről, PC-ről vagy táblagépről.

  • Fájlok és mappák – Keresse meg azokat a fájlokat és mappákat, amelyen a tevékenységet végrehajtották.

    • Fájlazonosító – Lehetővé teszi a keresést azon fájlazonosító alapján, amelyen a tevékenységet végrehajtották.
    • Név – A fájlok vagy mappák nevére szűr. Megadhatja, hogy a név a következőre végződik-e, egyenlő-e, vagy a keresési értékkel kezdődjön .
    • Adott fájlok vagy mappák – Felvehet vagy kizárhat bizonyos fájlokat vagy mappákat. A listákat alkalmazás, tulajdonos vagy részleges fájlnévalapján szűrheti a fájlok vagy mappák kiválasztásakor.
  • IP-cím – Az a nyers IP-cím, kategória vagy címke, amelyről a tevékenységet végrehajtották.

    • Nyers IP-cím – Lehetővé teszi a nyers IP-címeken vagy azok alapján végrehajtott tevékenységek keresését. A nyers IP-címek egyenlők, nem egyenlők, kezdődhetnek, vagy nem kezdődhetnek egy adott sorozattal.
    • IP-kategória – Annak az IP-címnek a kategóriája, amelyről a tevékenységet végrehajtották, például a felügyeleti IP-címtartomány összes tevékenységét. A kategóriákat úgy kell konfigurálni, hogy tartalmazzák a megfelelő IP-címeket. Egyes IP-címek alapértelmezés szerint kategorizálhatók. Vannak például olyan IP-címek, amelyeket a Microsoft fenyegetésfelderítési forrásai kockázatosnak minősítenek. Az IP-kategóriák konfigurálásáról további információt az Adatok rendszerezése az igényeinek megfelelően című témakörben talál.
    • IP-címke – Annak az IP-címnek a címkéje, amelyről a tevékenységet végrehajtották, például a névtelen proxy IP-címekről származó összes tevékenység. Defender for Cloud Apps olyan beépített IP-címkéket hoz létre, amelyek nem konfigurálhatók. Emellett konfigurálhatja az IP-címkéket is. Az IP-címkék konfigurálásáról további információt az Adatok rendszerezése az igényeinek megfelelően című témakörben talál. A beépített IP-címkék a következők:
      • Microsoft-alkalmazások (közülük 14)
      • Névtelen proxy
      • Botnet (látni fogja, hogy a tevékenységet egy botnet hajtotta végre egy hivatkozással, hogy többet tudjon meg az adott botnetről)
      • Darknet vizsgálati IP-címe
      • C&C-kiszolgáló kártevők
      • Távoli Kapcsolat Elemző
      • Műholdas szolgáltatók
      • Intelligens proxy és hozzáférési proxy (szándékosan kihagyva)
      • Tor kilépési csomópontok
      • Zscaler
  • Megszemélyesített tevékenység – Csak olyan tevékenységeket keressen, amelyeket egy másik felhasználó nevében hajtottak végre.

  • Instance – Az az alkalmazáspéldány, ahol a tevékenységet elvégezték vagy nem hajtották végre.

  • Location – Az az ország/régió, ahonnan a tevékenységet végrehajtották.

  • Megfelelt szabályzat – Olyan tevékenységek keresése, amelyek megfeleltek a portálon beállított adott szabályzatnak.

  • Regisztrált isp – Az az isp, amelyről a tevékenységet végrehajtották.

  • Source – Keresés azon forrás alapján, amelyből a tevékenységet észlelték. A forrás az alábbiak bármelyike lehet:

    • Alkalmazás-összekötő – Közvetlenül az alkalmazás API-összekötőjének naplói.
    • Alkalmazás-összekötő elemzése – Defender for Cloud Apps bővítéseket az API-összekötő által beolvasott információk alapján.
  • Felhasználó – A tevékenységet végrehajtó felhasználó, amely tartományra, csoportra, névre vagy szervezetre szűrhető. A tevékenységek adott felhasználó nélküli szűréséhez használhatja a "nincs beállítva" operátort.

    • Felhasználói tartomány – Adott felhasználói tartomány keresése.
    • Felhasználói szervezet – A tevékenységet végrehajtó felhasználó szervezeti egysége, például EMEA_marketing felhasználók által végzett összes tevékenység. Ez csak a szervezeti egységeket használó csatlakoztatott Google Workspace-példányok esetében releváns.
    • Felhasználói csoport – Adott felhasználói csoportok, amelyeket importálhat a csatlakoztatott alkalmazásokból, például Microsoft 365-rendszergazdák.
    • Felhasználónév – Keressen rá egy adott felhasználónévre. Egy adott felhasználói csoport felhasználóinak listájának megtekintéséhez a Tevékenység fiókban válassza ki a felhasználói csoport nevét. A kattintással megnyílik a Fiókok lap, amelyen a csoport összes felhasználója megjelenik. Innen részletes elemzést végezhet a csoport adott felhasználóinak fiókjairól.
    • A Felhasználócsoport és a Felhasználónév szűrő további szűréséhez használja a Mint szűrőt, és válassza ki a felhasználó szerepkörét, amely az alábbiak bármelyike lehet:
      • Csak tevékenységobjektum – ez azt jelenti, hogy a kiválasztott felhasználó vagy felhasználói csoport nem hajtotta végre a szóban forgó tevékenységet; ezek voltak a tevékenység tárgyai.
      • Csak aktor – ez azt jelenti, hogy a felhasználó vagy a felhasználói csoport hajtotta végre a tevékenységet.
      • Bármilyen szerepkör – Azt jelenti, hogy a felhasználó vagy a felhasználói csoport részt vett a tevékenységben, akár a tevékenységet végrehajtó személyként, akár a tevékenység tárgyaként.
  • Felhasználói ügynök – A következő felhasználói ügynöke lett végrehajtva a tevékenységgel: .

  • Felhasználói ügynök címkéje – Beépített felhasználóiügynök-címke, például az elavult operációs rendszerekből vagy elavult böngészőkből származó összes tevékenység.

Tevékenység-lekérdezések

A vizsgálat még egyszerűbbé tétele érdekében létrehozhat egyéni lekérdezéseket, és mentheti őket későbbi használatra.

  1. A Tevékenységnapló lapon a fent leírt szűrőkkel szükség szerint részletezheti az alkalmazásokat.

    Lekérdezések készítése szűrőkkel.

  2. Miután befejezte a lekérdezés összeállítását, válassza a Mentés másként gombot.

  3. A Lekérdezés mentése előugró ablakban nevezze el a lekérdezést.

    új lekérdezést.

  4. Ha a jövőben újra használni szeretné ezt a lekérdezést, görgessen le a Lekérdezések területen a Mentett lekérdezések elemhez, és válassza ki a lekérdezést.

    nyissa meg a lekérdezést.

Defender for Cloud Apps javasolt lekérdezéseket is biztosít. A javasolt lekérdezések ajánlott vizsgálati lehetőségeket biztosítanak a tevékenységek szűréséhez. Szerkesztheti ezeket a lekérdezéseket, és egyéni lekérdezésként mentheti őket. A választható javasolt lekérdezések a következők:

  • Rendszergazda tevékenységek – Az összes tevékenységet úgy szűri, hogy csak a rendszergazdákat érintő tevékenységeket jelenítse meg.

  • Tevékenységek letöltése – Az összes tevékenységet úgy szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek letöltési tevékenységek voltak, beleértve a felhasználói listák .csv fájlként való letöltését, a megosztott tartalmak letöltését és a mappák letöltését.

  • Sikertelen bejelentkezés – Az összes tevékenység szűrése, hogy csak a sikertelen bejelentkezés és a sikertelen bejelentkezések jelenjenek meg egyszeri bejelentkezéssel

  • Fájl- és mappatevékenységek – Az összes tevékenységet úgy szűri, hogy csak a fájlokat és mappákat tartalmazó tevékenységeket jelenítse meg. A szűrő tartalmazza a mappák feltöltését, letöltését és elérését, valamint a fájlok létrehozását, törlését, feltöltését, letöltését, quarantinálását és elérését, valamint a tartalmak átvitelét.

  • Megszemélyesítési tevékenységek – Az összes tevékenységet úgy szűri, hogy csak a megszemélyesítési tevékenységeket jelenítse meg.

  • Jelszómódosítási és visszaállítási kérések – Az összes tevékenységet szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek jelszó-visszaállítást, jelszómódosítást és jelszómódosítást foglalnak magukban, és kényszeríti a felhasználót a jelszó módosítására a következő bejelentkezéskor.

  • Megosztási tevékenységek – Szűri az összes tevékenységet, hogy csak azokat a tevékenységeket jelenítse meg, amelyek mappák és fájlok megosztását foglalják magukban, beleértve a vállalati hivatkozás létrehozását, a névtelen hivatkozás létrehozását, valamint az olvasási/írási engedélyek megadását.

  • Sikeres bejelentkezés – Az összes tevékenységet úgy szűri, hogy csak azokat a tevékenységeket jelenítse meg, amelyek sikeres bejelentkezéseket tartalmaznak, beleértve a megszemélyesítési műveletet, a megszemélyesítést, az egyszeri bejelentkezést és az új eszközről való bejelentkezést.

    lekérdezési tevékenységek.

Emellett a javasolt lekérdezéseket is használhatja kiindulási pontként egy új lekérdezéshez. Először válassza ki a javasolt lekérdezések egyikét. Ezután szükség szerint végezze el a kívánt módosításokat, majd válassza a Mentés másként lehetőséget egy új mentett lekérdezés létrehozásához.

Lekérdezési tevékenységek hat hónappal ezelőtt

A 30 napnál régebbi tevékenységek vizsgálatához lépjen a Tevékenységnaplóra , és válassza a Vizsgálat 6 hónappal vissza lehetőséget a képernyő jobb felső sarkában:

Válassza a vizsgálat 6 hónappal ezelőtt lehetőséget.

Itt a szokásos módon definiálhatja a szűrőket a tevékenységnaplóban, a következő különbségekkel:

  • A dátumszűrő kötelező, és egy hétre van korlátozva. Ez azt jelenti, hogy bár a tevékenységeket akár hat hónapig is lekérdezheti, ezt egyszerre csak egy hétig teheti meg.

  • A 30 napnál hosszabb visszakérdezés csak a következő mezők esetében támogatott:

    • Tevékenységazonosító
    • Tevékenység típusa
    • Művelet típusa
    • Alkalmazás
    • IP-cím
    • Hely
    • Felhasználónév

Például:

Szűrjön a vizsgálat 6 hónappal ezelőtti kiválasztása után.

Exportálási tevékenységek hat hónappal ezelőtt (előzetes verzió)

A bal felső sarokban található Exportálás gombra kattintva az összes tevékenységet akár hat hónapból is exportálhatja
A rekordok exportálásához kattintson az exportálás ikonra.

Az adatok exportálásakor legfeljebb hat hónapos dátumtartományt választhat, és kizárhatja a privát tevékenységeket.
Az exportált fájl legfeljebb 100 000 rekordból áll, és CSV formátumú lesz.

Az eredményfájl az Exportált jelentések területen lesz elérhető. A felhasználók a Microsoft 365 Defender portál Jelentések –> Felhőalkalmazások lapjára lépve megtekinthetik az exportálási folyamat állapotát, és hozzáférhetnek a korábbi exportálásokhoz.
A privát tevékenységeket tartalmazó jelentéseket a jelentésoldalon egy Szem ikon jelöli.

szem ikon

Következő lépések