Исследование действий

Microsoft Defender for Cloud Apps позволяет просматривать все действия из подключенных приложений. После подключения Defender for Cloud Apps к приложению с помощью соединителя приложений Defender for Cloud Apps сканирует все произошедшие действия (период ретроактивного сканирования для каждого приложения отличается), а затем постоянно обновляется с новыми действиями.

Примечание.

Типы действий (напримерFileCreated, , FileCreatedOnNetworkShare, ArchiveCreatedили FileDeleted) и связанные с ними данные получаются непосредственно из стороннего API подключенного приложения (например, Salesforce или ServiceNow).

Microsoft Defender for Cloud Apps отображает названия и типы этих действий в точности в том виде, в котором они были получены, и не задает и не изменяет их. Чтобы понять значение действия, обратитесь к соответствующей документации по API стороннего производителя.

Типы действий для событий и активностей определяются службой-источником, будь то собственная или сторонняя служба. Microsoft Defender for Cloud Apps (MDA) поддерживает широкий спектр типов действий и не ограничивается конкретными типами действий. Полный список действий Microsoft 365, отслеживаемых Defender for Cloud Apps, см. в статье Поиск в журнале аудита на портале Microsoft Purview.

Примечание.

По мере того как Microsoft Defender движется к полностью унифицированной платформе управления удостоверениями, некоторые конвейеры данных Defender for Cloud Apps по-прежнему остаются отдельными. Журнал действий использует отдельный конвейер данных, который пока не интегрирован с инвентарем удостоверений. Корреляции, определённые в реестре идентификаторов, не влияют на данные пользователя, отображаемые в журнале действий. Полный список затронутых функций см. в статье Включение интеграции инвентаризации удостоверений.

Журнал действий можно отфильтровать, чтобы вы могли найти определенные действия. Вы создаете политики на основе действий, а затем определяете, о чем вы хотите получать оповещения и действовать. Можно искать действия, выполненные с определенными файлами. Тип действий и сведения, которые мы получаем для каждого действия, зависят от приложения и типа данных, которые приложение может предоставить.

Например, журнал действий можно использовать для поиска пользователей в организации, использующих операционные системы или браузеры, которые устарели:

  1. После подключения приложения к Defender for Cloud Apps на странице журнала действий выберите дополнительные фильтры.
  2. Выберите тег агента пользователя.
  3. Выберите устаревший браузер или устаревшую операционную систему.

Снимок экрана: журнал действий с устаревшим примером браузера.

Базовый фильтр предоставляет отличные средства для начала фильтрации действий.

Снимок экрана: базовый фильтр журнала действий.

Вы можете развернуть базовый фильтр, выбрав Расширенные фильтры , чтобы детализировать более конкретные действия.

Снимок экрана, на котором показан расширенный фильтр журнала действий.

Примечание.

  • Тег Legacy добавляется к любой политике действий, которая использует старый фильтр "пользователь". Этот фильтр продолжает работать в обычном режиме. Если вы хотите удалить тег Legacy, можно удалить фильтр и снова добавить фильтр с помощью нового фильтра имени пользователя .
  • В некоторых редких случаях количество событий, отображаемых в журнале действий, может быть немного больше, чем фактическое количество событий, которые соответствуют фильтру и отображаются.

Выдвижная панель действий

Работа с панелью активности

Дополнительные сведения о каждом действии можно просмотреть, выбрав само действие в журнале действий. Откроется панель действий, которая предоставляет следующие дополнительные действия и аналитические сведения для каждого действия:

  • Совпадаемые политики. Выберите ссылку Совпадаемые политики , чтобы просмотреть список политик, которые соответствуют этому действию.
  • Просмотр необработанных данных. Выберите Просмотреть необработанные данные , чтобы просмотреть фактические данные, полученные от приложения.
  • Пользователь. Выберите пользователя, чтобы просмотреть страницу пользователя, выполнившего действие.
  • Тип устройства. Выберите Тип устройства , чтобы просмотреть необработанные данные агента пользователя.
  • Местоположение: Выберите местоположение, чтобы просмотреть его в Bing Maps.
  • Категория и теги IP-адресов. Выберите ip-тег, чтобы просмотреть список ip-тегов, найденных в этом действии. Затем можно выполнить фильтрацию по всем действиям, соответствующим этому тегу.

Примечание.

Категория IP-адресов назначается автоматически на основе аналитики угроз и может быть переопределена вручную с помощью диапазонов IP-адресов.

Поля в выдвижной панели «Активность» содержат контекстные ссылки на дополнительные операции и переходы к деталям, которые можно выполнять прямо из этой панели. Например, при перемещении курсора рядом с категорией IP-адресов можно использовать значок фильтра для добавления действия в фильтр. Чтобы немедленно добавить IP-адрес в фильтр текущей страницы. Вы также можете использовать значок-шестерёнку настроек значок-шестерёнка настроек, используемый для доступа к настройкам конфигурации, который появляется, чтобы сразу перейти на страницу настроек, нужную для изменения конфигурации одного из полей, например Группы пользователей.

Вы также можете использовать значки в верхней части вкладки, чтобы:

  • Просмотр действий одного типа
  • Просмотр всех действий одного и того же пользователя
  • Просмотр действий с одного IP-адреса
  • Просматривайте активность из точного местоположения
  • Просмотр действий за тот же период (48 часов)

Снимок экрана: панель действий.

Список доступных действий по управлению см. в разделе Действия по управлению действиями.

Аналитика пользователей

Опыт исследования включает в себя аналитические сведения о действующем пользователе. Одним щелчком мыши вы можете получить полный обзор пользователя, включая расположение, из которого он подключен, количество открытых оповещений, с которыми он связан, и сведения об их метаданных.

Чтобы просмотреть аналитику пользователей, выполните приведенные далее действия.

  1. Выберите само действие в журнале действий.

  2. Затем перейдите на вкладку Пользователь .
    Если выбрать его, откроется вкладка Пользователь панели действий, которая содержит следующие сведения о пользователе.

    • Открытые оповещения: количество открытых оповещений, в которых участвует пользователь.
    • Совпадения: количество совпадений с политиками для файлов, принадлежащих пользователю.
    • Действия: количество действий, выполненных пользователем за последние 30 дней.
    • Страны: количество стран, из которых пользователь подключился за последние 30 дней.
    • Поставщики интернет-провайдеров: количество поставщиков интернет-служб, к которому подключен пользователь за последние 30 дней.
    • IP-адреса: количество IP-адресов, с которых пользователь подключился за последние 30 дней.

Снимок экрана: аналитика пользователей, действия пользователей и частые расположения оповещений для приложений Defender для облака.

Аналитика IP-адресов

Так как сведения об IP-адресах имеют решающее значение практически для всех исследований, подробные сведения об IP-адресах можно просмотреть в панели действий. В рамках определенного действия можно выбрать вкладку IP-адрес, чтобы просмотреть объединенные данные об IP-адресе, включая количество открытых оповещений для конкретного IP-адреса, график тенденций последних действий и карту расположения. Это позволяет легко детализировать, например, при изучении оповещений о невозможных поездках. Кроме того, вы можете легко понять, где использовался IP-адрес и был ли он вовлечен в подозрительные действия. Вы также можете выполнять действия непосредственно в ящике IP-адресов, которые позволяют пометить IP-адрес как рискованный, VPN или корпоративный, чтобы упростить дальнейшее исследование и создание политики.

Чтобы просмотреть аналитику IP-адресов, выполните приведенные далее действия.

  1. Выберите само действие в журнале действий.

  2. Затем перейдите на вкладку IP-адрес .

    Откроется вкладка IP-адрес панели действий, на которой представлены следующие аналитические сведения об IP-адресе:

    • Открытые оповещения: количество открытых оповещений, связанных с IP-адресом.

    • Действия: количество действий, выполненных IP-адресом за последние 30 дней.

    • Расположение IP-адресов. Географические расположения, из которых был подключен IP-адрес за последние 30 дней.

    • Действия: количество действий, выполненных с этого IP-адреса за последние 30 дней.

    • Действия администратора: количество административных действий, выполненных с этого IP-адреса за последние 30 дней. Можно выполнить следующие действия с IP-адресами:

      • Задайте в качестве корпоративного IP-адреса и добавьте в список разрешений
      • Задайте в качестве IP-адреса VPN и добавьте в список разрешений
      • Задайте в качестве опасного IP-адреса и добавьте в список блокировок

Снимок экрана: действия с IP-адресами за последние 30 дней.

Примечание.

  • Внутренние IP-адреса IPv4 или IPv6, зафиксированные облачными приложениями, подключёнными через API, могут указывать на внутреннее взаимодействие служб в сети облачного приложения, и их не следует путать с внутренними IP-адресами исходной сети, из которой подключено устройство, поскольку облачному приложению недоступны внутренние IP-адреса устройств.
  • Чтобы избежать создания оповещений о невозможных поездках при подключении сотрудников из своих домашних расположений через корпоративный VPN, рекомендуется пометить IP-адрес как VPN.

Действия по экспорту

Все действия пользователя можно экспортировать в CSV-файл.

В журнале действий нажмите кнопку Экспорт в левом верхнем углу.

Снимок экрана: кнопка экспорта в журнале действий.

Примечание.

В этой статье описано, как удалить личные сведения с устройства или из службы. Эти действия можно использовать для выполнения обязательств, предусмотренных регламентом GDPR. Если вам нужны общие сведения о GDPR, см. раздел GDPR на портале Service Trust.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, обратитесь в службу поддержки Microsoft Defender XDR.