Filtry a dotazy pro aktivity

Tento článek obsahuje popisy a pokyny pro filtry a dotazy aktivit Defenderu for Cloud Apps.

Filtry aktivity

Níže najdete seznam filtrů aktivit, které se dají použít. Většinafiltrůchm kódům podporuje více hodnot, ale ne

• ID aktivity – Vyhledávají se pouze konkrétní aktivity podle jejich ID. Tento filtr je užitečný, když připojíte Microsoft Defender for Cloud Apps k systému SIEM (pomocí agenta SIEM) a chcete podrobněji prozkoumat výstrahy na portálu Defender for Cloud Apps.

• Objekty aktivity – Vyhledejte objekty, na které byla aktivita provedena. Tento filtr platí pro soubory, složky, uživatele nebo objekty aplikace.

  • ID objektu aktivity – ID objektu (soubor, složka, uživatel nebo ID aplikace).

  • Položka – Umožňuje vyhledávat podle názvu nebo ID libovolného objektu aktivity (například uživatelská jména, soubory, parametry, weby). Pro filtr Položka objektu aktivity můžete vybrat, zda chcete filtrovat položky, které obsahují, rovná nebo Začíná s konkrétní položkou.

• Typ akce – Vyhledá konkrétnější akci provedenou v aplikaci.

• Typ aktivity – Umožňuje vyhledat aktivitu aplikace.

  Poznámka:

  Aplikace se přidají do filtru jenom v případě, že pro danou aplikaci existuje aktivita.

• Administrativní aktivita – Vyhledávají se pouze administrativní aktivity.

  Poznámka:

  Defender for Cloud Apps nemůže označit aktivity správy Google Cloud Platform (GCP) jako aktivity správy.

• ID upozornění – Hledá podle ID upozornění.

• Aplikace – Vyhledávají se pouze aktivity v rámci konkrétních aplikací.

• Použitá akce – Umožňuje vyhledávat podle použité akce správy: Blokováno, Obejít proxy, Dešifrováno, Zašifrováno, Chyba šifrování, Žádná akce.

• Datum – Datum, kdy k aktivitě došlo. Filtr podporuje data před a po a rozsah kalendářních dat.

• Značka zařízení – Umožňuje vyhledávat v souladu s Intune, hybridním klientským certifikátem microsoft Entra nebo platným klientským certifikátem.

• Typ zařízení – Hledejte jenom aktivity, které byly provedeny pomocí konkrétního typu zařízení. Můžete například hledat všechny aktivity z mobilních zařízení, počítačů nebo tabletů.

• Soubory a složky – Vyhledejte soubory a složky, na které byla aktivita provedena.

  • ID souboru – Umožňuje vyhledávat podle ID souboru, na které byla aktivita provedena.
  • Název – filtry pro názvy souborů nebo složek. Můžete vybrat, jestli název končí, rovná se nebo začíná hodnotou hledání.
  • Konkrétní soubory nebo složky – Můžete zahrnout nebo vyloučit konkrétní soubory nebo složky. Seznam můžete filtrovat podle aplikace, vlastníka nebo částečného názvusouboru při výběru souborů nebo složek.

• IP adresa – nezpracovaná IP adresa, kategorie nebo značka, ze které byla aktivita provedena.

  • Nezpracovaná IP adresa – Umožňuje vyhledávat aktivity prováděné na nezpracovaných IP adresách nebo na nich. Nezpracované IP adresy se můžou shodovat, nerovnají se, začínají nebo nezačínají konkrétní sekvencí.
  • Kategorie IP – kategorie IP adresy, ze které byla aktivita provedena, například všechny aktivity z rozsahu IP adres pro správu. Kategorie je potřeba nakonfigurovat tak, aby zahrnovaly příslušné IP adresy. Některé IP adresy můžou být ve výchozím nastavení kategorizovány. Existují například IP adresy, které zdroje analýzy hrozeb Microsoftu považují za rizikové. Další informace o konfiguraci kategorií IP adres najdete v tématu Uspořádání dat podle vašich potřeb.
  • Značka IP adresy – Značka IP adresy, ze které byla aktivita provedena, například všechny aktivity z IP adres anonymního proxy serveru. Defender for Cloud Apps vytvoří sadu předdefinovaných značek IP adres, které se nedají konfigurovat. Kromě toho můžete nakonfigurovat značky IP adres. Další informace o konfiguraci značek IP adres najdete v tématu Uspořádání dat podle vašich potřeb. Předdefinované značky IP adres zahrnují následující:
    • Aplikace Microsoft (14)
    • Anonymní proxy
    • Botnet (uvidíte, že aktivitu prováděla botnet s odkazem, kde najdete další informace o konkrétní botnetu).
    • Vyhledávání IP adres darknetu
    • Malware C&C server
    • Remote Connectivity Analyzer
    • Satelitní zprostředkovatelé
    • Síť Smart Proxy a Access Proxy (úmyslně vynecháno)
    • Výstupní uzly sítě Tor
    • Zscaler

• Zosobněná aktivita – Vyhledávají se pouze aktivity provedené jménem jiného uživatele.

• Instance – instance aplikace, ve které byla aktivita nebo nebyla provedena.

• Umístění – země/oblast, ze které byla aktivita provedena.

• Odpovídající zásady – Vyhledejte aktivity, které odpovídaly konkrétní zásadě nastavené na portálu.

• Registrovaný poskytovatel internetových služeb – Poskytovatel internetových služeb, od kterého byla aktivita provedena.

• Zdroj – Umožňuje vyhledávat podle zdroje, ze kterého se zjistila aktivita. Zdrojem může být některý z následujících způsobů:

  • Konektor aplikace – protokoly přicházející přímo z konektoru rozhraní API aplikace.
  • analýza Konektor aplikace – rozšíření Defenderu for Cloud Apps na základě informací naskenovaných konektorem rozhraní API.

• Uživatel – uživatel, který provedl aktivitu, který lze filtrovat do domény, skupiny, názvu nebo organizace. Pokud chcete filtrovat aktivity bez konkrétního uživatele, můžete použít operátor "není nastavený".

  • Doména uživatele – Umožňuje vyhledávat konkrétní doménu uživatele.
  • Organizace uživatele – Organizační jednotka uživatele, který aktivitu provedl, například všechny aktivity prováděné uživateli sekce EMEA_marketing. To je relevantní jenom pro připojené instance Google Workspace pomocí organizačních jednotek.
  • Skupina uživatelů – Konkrétní skupiny uživatelů, které můžete importovat z připojených aplikací, například ze správců Microsoftu 365.
  • Uživatelské jméno – Umožňuje vyhledávat konkrétní uživatelské jméno. Pokud chcete zobrazit seznam uživatelů v konkrétní skupině uživatelů, vyberte v zásuvce aktivity název skupiny uživatelů. Kliknutím přejdete na stránku Účty, kde se zobrazí seznam všech uživatelů ve skupině. Odtud můžete přejít k podrobnostem o účtech konkrétních uživatelů ve skupině.
  • Filtry skupiny uživatelů a uživatelského jména je možné dále filtrovat pomocí filtru As a výběrem role uživatele, která může být libovolná z následujících možností:
    • Pouze objekt aktivity – to znamená, že uživatel nebo vybraná skupina uživatelů neprovádí danou aktivitu; byly objektem aktivity.
    • Pouze objekt actor – znamená to, že uživatel nebo skupina uživatelů tuto aktivitu prováděla.
    • Jakákoli role – to znamená, že uživatel nebo skupina uživatelů byla zapojena do aktivity, a to buď jako osoba, která aktivitu prováděla, nebo jako objekt aktivity.

• Uživatelský agent – Uživatelský agent, ze kterého byla aktivita provedena.

• Značka uživatelského agenta – integrovaná značka uživatelského agenta, například všechny aktivity ze zastaralých operačních systémů nebo zastaralých prohlížečů.

Dotazy na aktivity

Pokud chcete šetření ještě zjednodušit, můžete teď vytvářet vlastní dotazy a ukládat je pro pozdější použití.

1. Na stránce Protokolu aktivit použijte filtry, jak je popsáno výše, a podle potřeby přejděte k podrobnostem o vašich aplikacích.

1. Po vytvoření dotazu vyberte tlačítko Uložit jako .

2. V místní nabídce Uložit dotaz pojmenujte svůj dotaz.

   

3. Pokud chcete tento dotaz použít znovu v budoucnu, v části Dotazy se posuňte dolů k uloženým dotazům a vyberte svůj dotaz.

   

Defender for Cloud Apps vám také poskytuje navrhované dotazy. Navrhované dotazy poskytují doporučené způsoby šetření, které filtrují vaše aktivity. Tyto dotazy můžete upravit a uložit jako vlastní dotazy. Následují volitelné navrhované dotazy:

• Správa aktivity – filtruje všechny aktivity tak, aby se zobrazily jenom aktivity, které zahrnují správce.

• Aktivity stahování – filtruje všechny aktivity tak, aby zobrazovaly jenom aktivity, které byly aktivity stahování, včetně stahování seznamu uživatelů jako souboru .csv, stahování sdíleného obsahu a stahování složky.

• Neúspěšné přihlášení – filtruje všechny aktivity tak, aby se zobrazovaly jenom neúspěšné přihlášení a neúspěšná přihlášení přes jednotné přihlašování.

• Aktivity souborů a složek – filtruje všechny aktivity tak, aby zobrazovaly jenom ty, které zahrnují soubory a složky. Filtr zahrnuje nahrávání, stahování a přístup ke složkám spolu s vytvářením, odstraňováním, nahráváním, stahováním, kvazováním a přístupem k souborům a přenosu obsahu.

• Aktivity zosobnění – filtruje všechny aktivity tak, aby zobrazovaly jenom aktivity zosobnění.

• Změny hesla a žádosti o resetování – filtruje všechny aktivity tak, aby zobrazovaly jenom aktivity, které zahrnují resetování hesla, změnu hesla a vynucují uživateli změnu hesla při příštím přihlášení.

• Aktivity sdílení – filtruje všechny aktivity tak, aby zobrazovaly jenom ty aktivity, které zahrnují sdílení složek a souborů, včetně vytvoření odkazu společnosti, vytvoření anonymního odkazu a udělení oprávnění ke čtení a zápisu.

• Úspěšné přihlášení – filtruje všechny aktivity tak, aby zobrazovaly jenom aktivity, které zahrnují úspěšné přihlášení, včetně akce zosobnění, přihlášení zosobnění, jednotného přihlašování a přihlášení z nového zařízení.

Kromě toho můžete navrhované dotazy použít jako výchozí bod pro nový dotaz. Nejprve vyberte jeden z navrhovaných dotazů. Potom podle potřeby proveďte změny a nakonec vyberte Uložit jako a vytvořte nový uložený dotaz.

Dotazování aktivit po šesti měsících zpět

Pokud chcete prozkoumat aktivity starší než 30 dnů, můžete přejít do protokolu aktivit a vybrat Prozkoumat 6 měsíců zpět v pravém horním rohu obrazovky:

Odtud můžete definovat filtry, jak se obvykle provádí v protokolu aktivit, s následujícími rozdíly:

• Filtr kalendářních dat je povinný a je omezen na rozsah jednoho týdne. To znamená, že i když se můžete dotazovat na aktivity po dobu až šesti měsíců zpět, můžete to udělat jenom po dobu jednoho týdne najednou.

• Dotazování na více než 30 dní zpět je podporováno pouze u následujících polí:

  • ID aktivity
  • Typ aktivity
  • Typ akce
  • Aplikace
  • IP adresa
  • Umístění
  • Jméno uživatele

Příklad:

Další kroky

Osvědčené postupy pro ochranu vaší organizace