Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender for Cloud Apps позволяет просматривать все действия из подключенных приложений. После подключения Defender for Cloud Apps к приложению с помощью соединителя приложений Defender for Cloud Apps сканирует все произошедшие действия (период ретроактивного сканирования для каждого приложения отличается), а затем постоянно обновляется с новыми действиями.
Примечание.
Типы действий (напримерFileCreated, , FileCreatedOnNetworkShare, ArchiveCreatedили FileDeleted) и связанные с ними данные получаются непосредственно из стороннего API подключенного приложения (например, Salesforce или ServiceNow).
Microsoft Defender for Cloud Apps отображает названия и типы этих действий в точности в том виде, в котором они были получены, и не задает и не изменяет их. Чтобы понять значение действия, обратитесь к соответствующей документации по API стороннего производителя.
Типы действий для событий и активностей определяются службой-источником, будь то собственная или сторонняя служба. Microsoft Defender for Cloud Apps (MDA) поддерживает широкий спектр типов действий и не ограничивается конкретными типами действий. Полный список действий Microsoft 365, отслеживаемых Defender for Cloud Apps, см. в статье Поиск в журнале аудита на портале Microsoft Purview.
Примечание.
По мере того как Microsoft Defender движется к полностью унифицированной платформе управления удостоверениями, некоторые конвейеры данных Defender for Cloud Apps по-прежнему остаются отдельными. Журнал действий использует отдельный конвейер данных, который пока не интегрирован с инвентарем удостоверений. Корреляции, определённые в реестре идентификаторов, не влияют на данные пользователя, отображаемые в журнале действий. Полный список затронутых функций см. в статье Включение интеграции инвентаризации удостоверений.
Журнал действий можно отфильтровать, чтобы вы могли найти определенные действия. Вы создаете политики на основе действий, а затем определяете, о чем вы хотите получать оповещения и действовать. Можно искать действия, выполненные с определенными файлами. Тип действий и сведения, которые мы получаем для каждого действия, зависят от приложения и типа данных, которые приложение может предоставить.
Например, журнал действий можно использовать для поиска пользователей в организации, использующих операционные системы или браузеры, которые устарели:
- После подключения приложения к Defender for Cloud Apps на странице журнала действий выберите дополнительные фильтры.
- Выберите тег агента пользователя.
- Выберите устаревший браузер или устаревшую операционную систему.
Базовый фильтр предоставляет отличные средства для начала фильтрации действий.
Вы можете развернуть базовый фильтр, выбрав Расширенные фильтры , чтобы детализировать более конкретные действия.
Примечание.
- Тег Legacy добавляется к любой политике действий, которая использует старый фильтр "пользователь". Этот фильтр продолжает работать в обычном режиме. Если вы хотите удалить тег Legacy, можно удалить фильтр и снова добавить фильтр с помощью нового фильтра имени пользователя .
- В некоторых редких случаях количество событий, отображаемых в журнале действий, может быть немного больше, чем фактическое количество событий, которые соответствуют фильтру и отображаются.
Выдвижная панель действий
Работа с панелью активности
Дополнительные сведения о каждом действии можно просмотреть, выбрав само действие в журнале действий. Откроется панель действий, которая предоставляет следующие дополнительные действия и аналитические сведения для каждого действия:
- Совпадаемые политики. Выберите ссылку Совпадаемые политики , чтобы просмотреть список политик, которые соответствуют этому действию.
- Просмотр необработанных данных. Выберите Просмотреть необработанные данные , чтобы просмотреть фактические данные, полученные от приложения.
- Пользователь. Выберите пользователя, чтобы просмотреть страницу пользователя, выполнившего действие.
- Тип устройства. Выберите Тип устройства , чтобы просмотреть необработанные данные агента пользователя.
- Местоположение: Выберите местоположение, чтобы просмотреть его в Bing Maps.
- Категория и теги IP-адресов. Выберите ip-тег, чтобы просмотреть список ip-тегов, найденных в этом действии. Затем можно выполнить фильтрацию по всем действиям, соответствующим этому тегу.
Примечание.
Категория IP-адресов назначается автоматически на основе аналитики угроз и может быть переопределена вручную с помощью диапазонов IP-адресов.
Поля в выдвижной панели «Активность» содержат контекстные ссылки на дополнительные операции и переходы к деталям, которые можно выполнять прямо из этой панели. Например, при перемещении курсора рядом с категорией IP-адресов можно использовать
Чтобы немедленно добавить IP-адрес в фильтр текущей страницы. Вы также можете использовать значок-шестерёнку настроек
, который появляется, чтобы сразу перейти на страницу настроек, нужную для изменения конфигурации одного из полей, например Группы пользователей.
Вы также можете использовать значки в верхней части вкладки, чтобы:
- Просмотр действий одного типа
- Просмотр всех действий одного и того же пользователя
- Просмотр действий с одного IP-адреса
- Просматривайте активность из точного местоположения
- Просмотр действий за тот же период (48 часов)
Список доступных действий по управлению см. в разделе Действия по управлению действиями.
Аналитика пользователей
Опыт исследования включает в себя аналитические сведения о действующем пользователе. Одним щелчком мыши вы можете получить полный обзор пользователя, включая расположение, из которого он подключен, количество открытых оповещений, с которыми он связан, и сведения об их метаданных.
Чтобы просмотреть аналитику пользователей, выполните приведенные далее действия.
Выберите само действие в журнале действий.
Затем перейдите на вкладку Пользователь .
Если выбрать его, откроется вкладка Пользователь панели действий, которая содержит следующие сведения о пользователе.- Открытые оповещения: количество открытых оповещений, в которых участвует пользователь.
- Совпадения: количество совпадений с политиками для файлов, принадлежащих пользователю.
- Действия: количество действий, выполненных пользователем за последние 30 дней.
- Страны: количество стран, из которых пользователь подключился за последние 30 дней.
- Поставщики интернет-провайдеров: количество поставщиков интернет-служб, к которому подключен пользователь за последние 30 дней.
- IP-адреса: количество IP-адресов, с которых пользователь подключился за последние 30 дней.
Аналитика IP-адресов
Так как сведения об IP-адресах имеют решающее значение практически для всех исследований, подробные сведения об IP-адресах можно просмотреть в панели действий. В рамках определенного действия можно выбрать вкладку IP-адрес, чтобы просмотреть объединенные данные об IP-адресе, включая количество открытых оповещений для конкретного IP-адреса, график тенденций последних действий и карту расположения. Это позволяет легко детализировать, например, при изучении оповещений о невозможных поездках. Кроме того, вы можете легко понять, где использовался IP-адрес и был ли он вовлечен в подозрительные действия. Вы также можете выполнять действия непосредственно в ящике IP-адресов, которые позволяют пометить IP-адрес как рискованный, VPN или корпоративный, чтобы упростить дальнейшее исследование и создание политики.
Чтобы просмотреть аналитику IP-адресов, выполните приведенные далее действия.
Выберите само действие в журнале действий.
Затем перейдите на вкладку IP-адрес .
Откроется вкладка IP-адрес панели действий, на которой представлены следующие аналитические сведения об IP-адресе:
Открытые оповещения: количество открытых оповещений, связанных с IP-адресом.
Действия: количество действий, выполненных IP-адресом за последние 30 дней.
Расположение IP-адресов. Географические расположения, из которых был подключен IP-адрес за последние 30 дней.
Действия: количество действий, выполненных с этого IP-адреса за последние 30 дней.
Действия администратора: количество административных действий, выполненных с этого IP-адреса за последние 30 дней. Можно выполнить следующие действия с IP-адресами:
- Задайте в качестве корпоративного IP-адреса и добавьте в список разрешений
- Задайте в качестве IP-адреса VPN и добавьте в список разрешений
- Задайте в качестве опасного IP-адреса и добавьте в список блокировок
Примечание.
- Внутренние IP-адреса IPv4 или IPv6, зафиксированные облачными приложениями, подключёнными через API, могут указывать на внутреннее взаимодействие служб в сети облачного приложения, и их не следует путать с внутренними IP-адресами исходной сети, из которой подключено устройство, поскольку облачному приложению недоступны внутренние IP-адреса устройств.
- Чтобы избежать создания оповещений о невозможных поездках при подключении сотрудников из своих домашних расположений через корпоративный VPN, рекомендуется пометить IP-адрес как VPN.
Действия по экспорту
Все действия пользователя можно экспортировать в CSV-файл.
В журнале действий нажмите кнопку Экспорт в левом верхнем углу.
Примечание.
В этой статье описано, как удалить личные сведения с устройства или из службы. Эти действия можно использовать для выполнения обязательств, предусмотренных регламентом GDPR. Если вам нужны общие сведения о GDPR, см. раздел GDPR на портале Service Trust.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, обратитесь в службу поддержки Microsoft Defender XDR.