Поделиться через


Исследование действий

Microsoft Defender для облака Приложения позволяют просматривать все действия из подключенных приложений. После подключения Defender для облака Приложений к приложению с помощью соединитель приложений Defender для облака Приложения сканируют все действия, которые произошли- период ретроактивного сканирования отличается на приложение, а затем обновляется постоянно с новыми действиями.

Примечание.

Полный список действий Microsoft 365, отслеживаемых Defender для облака Apps, см. в разделе "Поиск журнала аудита" в центре соответствия требованиям.

Журнал действий можно отфильтровать, если нужно найти конкретные действия. Вы можете создавать политики на основе действий, а затем указать, что будет вызывать создание оповещений. Вы можете искать действия, выполняемые в определенных файлах. Тип действий и информация, получаемая о каждом из них, зависят от приложения и типа данных, которые может предоставить приложение.

Например, вы можете использовать журнал действий для поиска пользователей в организации, использующих операционные системы или браузеры, которые устарели, как показано ниже. После подключения приложения к Defender для облака Приложения на странице журнала действий и выберите тег агента пользователя. Затем выберите пункт Устаревший браузер или Устаревшая операционная система.

Пример устаревшего браузера действий.

Базовый фильтр предоставляет отличные средства для начала фильтрации действий.

базовый фильтр журнала действий.

Вы можете развернуть базовый фильтр, выбрав дополнительные фильтры для детализации более конкретных действий.

Фильтр журнала расширенных действий.

Примечание.

  • Тег устаревшей версии добавляется в любую политику действий, которая использует старый фильтр "пользователь". Этот фильтр будет и дальше использоваться в обычном режиме. Чтобы удалить этот тег, можно удалить и добавить новый фильтр Имя пользователя.

  • В некоторых редких случаях количество событий, представленных в журнале действий, может показаться немного выше, чем реальное число событий, применяемых к фильтру и представленных.

Панель действий

Работа с панелью действий

Дополнительные сведения о каждом действии можно просмотреть, выбрав действие в журнале действий. Откроется панель действий, на которой отображаются дополнительные действия и информация о каждом из них.

  • Сопоставленные политики: выберите ссылку "Сопоставленные политики ", чтобы просмотреть список политик, сопоставленных с этим действием.

  • Просмотр необработанных данных: выберите "Просмотреть необработанные данные ", чтобы просмотреть фактические данные, полученные из приложения.

  • Пользователь: выберите пользователя, чтобы просмотреть страницу пользователя, выполнившего действие.

  • Тип устройства: выберите тип устройства для просмотра необработанных данных агента пользователя.

  • Расположение. Выберите расположение для просмотра расположения в Картах Bing.

  • Категория и теги IP-адресов: выберите тег IP для просмотра списка тегов IP-адресов, найденных в этом действии. Затем можно отфильтровать все действия, соответствующие этому тегу.

Поля в ящике действий предоставляют контекстные ссылки на дополнительные действия и детализацию, которые могут потребоваться выполнить непосредственно из ящика. Например, при перемещении курсора рядом с категорией IP-адресов можно использовать значок добавьте в фильтр. фильтра, чтобы немедленно добавить IP-адрес в фильтр текущей страницы. Вы также можете использовать значок значок параметров параметров, который появится, чтобы прибыть непосредственно на страницу параметров, необходимую для изменения конфигурации одного из полей, таких как группы пользователей.

Также вы можете использовать значки в верхней части вкладки, чтобы просматривать следующие действия:

  • действия одного типа;
  • действия одного пользователя;
  • действия, выполненные с одного IP-адреса;
  • Просмотр действий из точного географического расположения
  • Просмотр действий с того же периода (48 часов)

ящик действий.

Список действий по управлению см. в статье Действия по управлению.

Информация о пользователе

Расследование включает аналитические сведения об активном пользователе. С помощью одного щелчка вы можете получить полный обзор пользователя, включая расположение, из которого они подключены, количество открытых оповещений, с которыми они связаны, и их сведения о метаданных.

Чтобы просмотреть информацию о пользователе, выполните указанные ниже действия.

  1. Выберите действие в журнале действий.

  2. Затем выберите вкладку "Пользователь ".
    При выборе откроется вкладка "Пользователь панели действий" предоставляет следующие аналитические сведения о пользователе:

    • Открытие оповещений: количество открытых оповещений, связанных с пользователем.
    • Соответствует: число соответствий политике для файлов, принадлежащих пользователю.
    • Действия: число действий, выполненных пользователем за последние 30 дней.
    • Страны: число стран, из которых пользователь подключался за последние 30 дней.
    • Поставщики служб: количество поставщиков ip-адресов, подключенных к пользователю за последние 30 дней.
    • IP-адреса: количество IP-адресов, подключенных пользователем за последние 30 дней.

аналитика пользователей в приложениях Defender для облака.

Информация об IP-адресе

IP-адреса представляют собой критически важные данные практически для всех исследований. Вы можете просматривать подробные сведения об IP-адресах на панели действий. В рамках определенного действия можно выбрать вкладку IP-адресов, чтобы просмотреть консолидированные данные об IP-адресе, включая количество открытых оповещений для конкретного IP-адреса, граф тренда недавнего действия и карту расположения. Это позволяет легко выполнять детализацию при изучении невозможных оповещений о путешествиях, например. Кроме того, вы можете легко понять, где использовался IP-адрес и был ли он вовлечен в подозрительные действия. Кроме того, можно выполнять действия непосредственно на панели IP-адреса, например отметить такой IP-адрес как рискованный, корпоративный или использующийся для VPN-подключения. Это упростит дальнейший анализ и создание политик.

Чтобы просмотреть информацию об IP-адресе, сделайте следующее:

  1. Выберите действие в журнале действий.

  2. Затем выберите вкладку IP-адреса .

    Откроется вкладка IP-адрес панели действий со следующими сведениями об IP-адресе:

    • Открытые оповещения: число открытых оповещений, связанных с IP-адресом.

    • Действия — число действий, выполненных с IP-адресом за последние 30 дней.

    • IP-расположение: географическое расположение, из которого подключен IP-адрес за последние 30 дней.

    • Действия. Количество действий, выполненных с этого IP-адреса за последние 30 дней.

    • Действия администратора: количество административных действий, выполняемых с этого IP-адреса за последние 30 дней. Вы можете выполнить с IP-адресом следующие действия:

      • Настройка в качестве корпоративного IP-адреса и добавление в список разрешений
      • Задайте в качестве IP-адреса VPN и добавьте в список разрешений
      • Задайте в качестве опасного IP-адреса и добавьте в список блокировок

Аналитика IP-адресов в приложениях Defender для облака.

Примечание.

  • Внутренние IP-адреса IPv4 или IPv6, проверенные облачными приложениями, подключенными к API, могут указывать на внутренние службы связи в сети облачного приложения и не следует путать с внутренними IP-адресами из исходной сети, из которой подключено устройство, так как облачное приложение не предоставляет внутренние IP-адреса устройств.
  • Чтобы избежать повышения невозможных оповещений о поездках , когда сотрудники подключаются из своих домашних расположений через корпоративный VPN, рекомендуется пометить IP-адрес как VPN.

Экспорт действий

Сведения обо всех действиях пользователя можно экспортировать в CSV-файл.

В журнале действий нажмите кнопку "Экспорт" в левом верхнем углу.

Кнопка экспорта.

Примечание.

В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Если вы ищете общие сведения о GDPR, см. раздел о GDPR на Service Trust Portal.

Следующие шаги

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.