Filtri e query delle attività

  • Articolo
  • 9 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo fornisce descrizioni e istruzioni per Defender per il cloud Filtri attività app e query.

Filtri attività

Di seguito è riportato un elenco dei filtri di attività che è possibile applicare. La maggior parte dei filtri supporta più valori oltre a NOT per fornire uno strumento potente per la creazione dei criteri.

  • ID attività: consente di cercare solo attività specifiche in base ai relativi ID. Questo filtro è utile quando si connette Microsoft Defender for Cloud Apps a SIEM (usando l'agente SIEM) e si desidera analizzare ulteriormente gli avvisi all'interno del portale di app di Defender per il cloud.

  • Oggetti attività: consente di cercare gli oggetti su cui è stata eseguita l'attività. Questo filtro si applica a oggetti file, cartella, utente o app.

    • ID dell'oggetto attività: ID dell'oggetto (file, cartella, utente o app).
    • Elemento: consente di eseguire una ricerca in base al nome o all'ID di qualsiasi oggetto attività, ad esempio nomi utente, file, parametri e siti. Per il filtro Elemento oggetto Activity , è possibile selezionare se si vuole filtrare per gli elementi contenenti, uguale o inizia con l'elemento specifico.

  • Tipo di attività: consente di cercare l'attività dell'app.

    Nota

    Le app vengono aggiunte al filtro solo se è presente un'attività per tale app.

  • Attività amministrative: consente di cercare solo le attività amministrative.

    Nota

    Defender per il cloud App non può contrassegnare le attività amministrative di Google Cloud Platform (GCP) come attività amministrative.

  • ID avviso: consente di cercare in base all'ID avviso.

  • App: consente di cercare solo attività all'interno di app specifiche.

  • Azione applicata: consente di cercare in base all'azione di governance applicata (Bloccata, Ignora proxy, Decrittografata, Crittografata, Crittografia non riuscita, Nessuna azione).

  • Data: data di esecuzione dell'attività. Il filtro supporta sia l'indicazione della data precedente/successiva, sia intervalli di date.

  • Tag dispositivo: cercare Intune certificato client conforme, aggiunto ad Azure AD ibrido o certificato client valido.

  • Tipo di dispositivo: consente di cercare solo le attività che sono state eseguite usando un tipo di dispositivo specifico. Ad esempio, è possibile cercare tutte le attività eseguite da dispositivi mobili, PC o tablet.

  • File e cartelle: consente di cercare file e cartelle in cui l'attività è stata eseguita.

    • ID file: consente di eseguire la ricerca per ID del file con cui è stata eseguita l'attività.
    • Nome: consente di filtrare i nomi di file e cartelle. È possibile selezionare se il nome termina con, uguale o inizia con il valore di ricerca.
    • Cartelle o file specifici: consente di includere o escludere cartelle o file specifici. Quando si seleziona un file o una cartella, è possibile filtrare l'elenco in base ad App, Proprietario, o parte del Nome file.

  • Indirizzo IP: indirizzo IP non elaborato, categoria o tag da cui è stata eseguita l'attività.

    • Indirizzo IP non elaborato: consente di cercare le attività eseguite su o da indirizzi IP non elaborati. Gli indirizzi IP non elaborato possono essere uguali o diversi, iniziare o non iniziare con una determinata sequenza.
    • Categoria IP: categoria dell'indirizzo IP da cui è stata eseguita l'attività, ad esempio tutte le attività dall'intervallo di indirizzi IP amministrativi. Le categorie devono essere configurate in modo da includere gli indirizzi IP pertinenti, ad eccezione della categoria "Risky" (Rischiosa), che è preconfigurata e include due tag IP: Proxy anonimo e Tor. Per informazioni su come configurare le categorie IP, vedere Organizzare i dati in base alle esigenze.
    • Tag IP: tag dell'indirizzo IP da cui è stata eseguita l'attività, ad esempio tutte le attività da indirizzi IP proxy anonimi. Defender per il cloud App crea un set di tag IP predefiniti che non sono configurabili. È anche possibile configurare tag IP personalizzati. Per altre informazioni sulla configurazione di tag IP personalizzati, vedere Organizzare i dati in base alle esigenze. I tag IP predefiniti sono:
      • App Microsoft (14 tag)
      • Proxy anonimo
      • Botnet (viene indicato che l'attività è stata eseguita da una botnet con un collegamento ad altre informazioni sulla botnet specifica)
      • IP di analisi Darknet
      • Server C malware C&
      • Analizzatore connettività remota
      • Provider satellitari
      • Smart proxy e proxy di accesso (esclusi di proposito)
      • Nodi di uscita Tor
      • Zscaler

  • Attività con rappresentazione: consente di cercare solo le attività eseguite per conto di un altro utente.

  • Istanza: l'istanza dell'app in cui l'attività è stata o non è stata eseguita.

  • Posizione: paese/area geografica da cui è stata eseguita l'attività.

  • Criteri con corrispondenza: consente di cercare le attività che soddisfano un criterio specifico impostato nel portale.

  • ISP registrato: provider di servizi Internet da cui è stata eseguita l'attività.

  • Origine: consente di cercare in base all'origine da cui è stata rilevata l'attività. L'origine può essere una delle seguenti:

    • Connettore app : i log provenienti direttamente dal connettore API dell'app.
    • Connettore app analisi: arricchimenti di app Defender per il cloud in base alle informazioni eseguite dal connettore API.

  • Utente: l'utente che ha eseguito l'attività, che può essere filtrato in base a dominio, gruppo, nome oppure organizzazione. Per filtrare le attività senza utenti specifici, è possibile usare l'operatore 'non è impostato'.

    • Dominio utente: consente di cercare un dominio utente specifico.
    • Organizzazione utente: unità organizzativa dell'utente che ha eseguito l'attività, ad esempio tutte le attività eseguite dagli utenti EMEA_marketing. Ciò è rilevante solo per le istanze di Google Workspace connesse usando le unità organizzative.
    • Gruppo utenti: gruppi di utenti specifici che possono essere importati da app connesse, ad esempio il gruppo degli amministratori di Office 365.
    • Nome utente: consente di cercare un nome utente specifico. Per visualizzare un elenco di utenti in un gruppo di utenti specifico, nel riquadro Attività selezionare il nome del gruppo di utenti. Se si fa clic sul nome del gruppo, si accede alla pagina Account con l'elenco di tutti gli utenti del gruppo. È quindi possibile eseguire il drill-down per visualizzare i dettagli degli account di utenti specifici del gruppo.
    • I filtri Gruppo utenti e Nome utente possono essere resi più specifici usando il filtro Come e selezionando il ruolo dell'utente, che può essere uno dei seguenti:
      • Activity object only (Solo oggetto attività): l'utente o il gruppo di utenti selezionato non ha eseguito l'attività in questione, ma è stato l'oggetto dell'attività eseguita.
      • Solo attore: è stato l'utente o il gruppo utenti a eseguire l'attività.
      • Qualsiasi ruolo: l'utente o il gruppo di utenti è stato coinvolto nell'attività, come attore o come oggetto dell'attività.

  • Agente utente: agente utente dell'attività eseguita.

  • Tag agente utente: tag agente utente predefinito, ad esempio tutte le attività da sistemi operativi obsoleti o browser obsoleti.

Nota

Defender per il cloud App considera obsolete due versioni principali precedenti alla versione corrente. Ad esempio, se la versione corrente di Edge è 90, la versione 88 e versioni precedenti sono obsolete.

Query attività

Per rendere ancora più semplice l'analisi, è ora possibile creare query personalizzate e salvarle per usarle in seguito.

  1. Nella pagina Log attività usare i filtri come descritto in precedenza per eseguire il drill-down nelle app secondo necessità.

  2. Dopo aver completato la compilazione della query, selezionare il pulsante Salva come nell'angolo in alto a destra dei filtri.

  3. Nella finestra popup Salva query assegnare un nome alla query.

    new query.

  4. Per usare di nuovo questa query in futuro, in Query scorrere verso il basso fino a Query salvate e selezionare la query da usare.

    open query.

Defender per il cloud Apps offre anche query suggerite. Le query suggerite propongono percorsi di analisi consigliati per filtrare le attività. È possibile modificare le query e salvarle come query personalizzate. Di seguito vengono elencate alcune query suggerite facoltative:

  • Admin activities (Attività amministrative): consente di filtrare tutte le attività, visualizzando solo quelle che riguardano l'amministrazione.

  • Attività di download: filtra tutte le attività per visualizzare solo le attività di download, tra cui l'elenco di utenti di download come file .csv, il download del contenuto condiviso e il download di una cartella.

  • Accesso non riuscito: filtra tutte le attività per visualizzare solo gli accessi non riusciti e l'accesso non riuscito tramite SSO

  • Attività relative a file e cartelle: consente di filtrare tutte le attività, visualizzando solo quelle che riguardano file e cartelle. Il filtro include il caricamento, il download e l'accesso a cartelle, oltre a creazione, eliminazione, caricamento, download, quarantena e accesso ai file, nonché il trasferimento di contenuto.

  • Impersonation activities (Attività di rappresentazione): consente di filtrare tutte le attività, visualizzando solo le attività di rappresentazione.

  • Attività della cassetta postale: consente di filtrare tutte le attività per visualizzare solo Microsoft Exchange Online attività, ad esempio creare un elemento, eliminare i messaggi dalla cassetta postale, aggiornare il messaggio e inviare messaggi usando le autorizzazioni SendAs (rappresentazione).

  • Modifiche e richieste di reimpostazione della password: consente di filtrare tutte le attività, visualizzando solo le attività che comportano la reimpostazione o la modifica della password o che obbligano l'utente a modificare la password all'accesso successivo.

  • Security risks (Rischi per la sicurezza): consente di filtrare tutte le attività, visualizzando solo quelle che soddisfano i criteri DLP.

  • Sharing activities (Attività di condivisione): consente di filtrare tutte le attività, visualizzando solo le attività che comportano la condivisione di cartelle e file, incluse la creazione di un collegamento aziendale o anonimo e la concessione di autorizzazioni di lettura/scrittura.

  • Accesso riuscito: consente di filtrare tutte le attività per visualizzare solo le attività che comportano accessi riusciti, tra cui l'azione di rappresentazione, la rappresentazione dell'accesso, l'accesso Single Sign-On e l'accesso da un nuovo dispositivo.

query activities.

È anche possibile usare le query suggerite come punto di partenza per una nuova query. Selezionare prima una delle query suggerite, Apportare quindi le modifiche in base alle esigenze e infine selezionare Salva con nome per creare una nuova query salvata.

Attività di query di sei mesi indietro

Per analizzare le attività precedenti a 30 giorni, è possibile passare al log attività e selezionare Analizza 6 mesi nell'angolo superiore destro della schermata:

Select investigate 6 months back.

Da qui è possibile definire i filtri come avviee normalmente con il log attività, ma con due differenze:

  1. Il filtro data è obbligatorio ed è limitato a un intervallo di una settimana.
  2. Inoltre, saranno supportati i filer seguenti:
    • ID attività
    • Tipo di attività
    • Applicazione
    • indirizzo IP
    • Località
    • Nome utente

Filter after selecting investigate 6 months back.

Passaggi successivi

Attività quotidiane per la protezione dell'ambiente cloud