Filtry działań i zapytańActivity filters and queries

Filtry działańActivity filters

Poniżej znajduje się lista filtrów działań, które mogą być stosowane.Below is a list of the activity filters that can be applied. Większość filtrów obsługuje wiele wartości oraz warunek NIE w celu zapewnienia bardzo zaawansowanego narzędzia do tworzenia zasad.Most filters support multiple values as well as NOT, in order to provide you with a very powerful tool for policy creation.

  • Identyfikator działania — wyszukanie tylko konkretnych działań w oparciu o ich identyfikatory.Activity ID - Search only for specific activities by their ID. Ten filtr jest bardzo przydatny podczas łączenia usługi Cloud App Security i rozwiązania SIEM (przy użyciu agenta SIEM), jeśli chcesz dokładniej badać alerty w portalu usługi Cloud App Security.This filter is very useful when you connect Cloud App Security to your SIEM (using the SIEM agent), and you want to further investigate alerts within the Cloud App Security portal.

  • Obiekty aktywności — wyszukaj obiekty, na których wykonano działanie.Activity objects – Search for the objects the activity was performed on. Ten filtr ma zastosowanie do obiektów plików, folderów, użytkowników lub aplikacji.This filter applies to file, folder, user or app objects.

    • Identyfikator obiektu aktywności — identyfikator obiektu (identyfikator pliku, folderu, użytkownika lub aplikacji).Activity object ID - the ID of the object (file, folder, user or app ID).
    • Plik, folder lub adres URL witryny — wybieranie plików, folderów i adresów URL zaczynających się określonym ciągiem.File, folder or site URL - Enables you to select files, folders and URLs that start with a specific string.
    • Obiekt docelowy (plik/folder) — wybieranie określonego pliku lub folderu.Target object (file/folder) - Enables you to select a specific file or folder.
    • Element — umożliwia wyszukiwanie według nazwy lub identyfikatora dowolnego obiektu działania (na przykład: nazw użytkowników, plików, parametrów, witryn).Item - Enables you to search by the name or ID of any activity object (for example: user names, files, parameters, sites). Dla filtra Element obiektu działania możesz wybrać opcję filtrowania elementów, które zawierają określony element (Zawiera), są mu równe (Równa się) lub się od niego zaczynają (Rozpoczyna się od).For the Activity object Item filter, you can select whether you want to filter for itmes that Contain, Equal or Starts with the specific item.
  • Typ działania — wyszukiwanie działań aplikacji.Activity type - Search for the app activity.

  • Działanie administracyjne — wyszukiwanie tylko działań administracyjnych.Administrative activity – Search only for administrative activities.

  • Identyfikator alertu — wyszukiwanie według identyfikatorów alertów.Alert ID - Search by alert ID.

  • Aplikacja — wyszukiwanie tylko działań w ramach określonych aplikacji.App – Search only for activities within specific apps.

  • Zastosowana akcja — wyszukiwanie według zastosowanych akcji ładu: Zablokowane, Pomiń serwer proxy, Odszyfrowane, Zaszyfrowane, Szyfrowanie nie powiodło się, Brak akcji.Applied action - Search by governance action applied: Blocked, Bypass proxy, Decrypted, Encrypted, Encryption failed, No action.

  • Data — data wystąpienia działania.Date – The date when the activity occurred. Filtr obsługuje daty przed/po, a także zakres dat.Filter supports before/after dates as well as date range.

  • Opis — określone słowo kluczowe w opisie działania, np. wszystkie działania, które zawierają ciąg użytkownik w swoim opisie.Description – Specific keyword in the activity description, for example, all activities that include the string user in their description.

  • Tag urządzenia — wyszukiwanie według urządzeń zgodnych, zarządzanych lub zweryfikowanych.Device tag - Search by compliant, managed or verified device.

  • Typ urządzenia — wyszukiwanie tylko działań, które wykonano przy użyciu konkretnego typu urządzenia, na przykład wszystkich działań z urządzeń przenośnych, komputerów lub tabletów.Device type - Search only for activities that were performed using a specific device type, for example, all activities from mobile devices, PCs or Tablets.

  • Adres IP — pierwotny adres IP, kategoria lub tag, z których wykonano działanie.IP address – The raw IP address, category or tag from which the activity was performed.

    • Pierwotny adres IP — umożliwia wyszukiwanie działań wykonanych na pierwotnych adresach IP lub przez takie adresy (równe lub nierówne, rozpoczynające się lub nierozpoczynające się określoną sekwencją albo pierwotne adresy IP, które są lub nie są ustawione).Raw IP address - Enables you to search for activities that were performed on or by raw IP addresses that equal, don't equal or start with or don't start with a particular sequence, or raw IP addresses that are or are not set.
    • Kategoria IP — kategoria adresu IP, z którego wykonano działanie, na przykład wszystkie działania z zakresu administracyjnych adresów IP.IP category - The category of the IP address from which the activity was performed, for example, all activities from administrative IP address range. Skonfigurowane kategorie muszą obejmować odpowiednie adresy IP. Wyjątkiem jest wstępnie skonfigurowana kategoria „Ryzykowne”, która zawiera dwa tagi IP — anonimowy serwer proxy i Tor.The categories need to be configured to include the relevant IP addresses, except for the "Risky" category which is pre-configured and includes two IP tags - Anonymous proxy and Tor. Aby dowiedzieć się, jak skonfigurować kategorie adresów IP, zobacz Organizowanie danych zgodnie z potrzebami.To learn how to configure the IP categories, see Organize the data according to your needs.
    • Tag IP — tag adresu IP, z którego wykonano działanie, np. wszystkie działania z anonimowych adresów IP proxy.IP tag - The tag of the IP address from which the activity was performed, for example, all activities from anonymous proxy IP addresses. Usługa Cloud App Security tworzy zestaw wbudowanych tagów IP, których nie można konfigurować.Cloud App Security creates a set of built-in IP tags that are not configurable. Ponadto można konfigurować własne tagi IP.In addition, you can configure your own IP tags. Aby uzyskać więcej informacji o konfigurowaniu własnych tagów IP, zobacz Organizowanie danych zgodnie z potrzebami.For more information about configuring your own IP tags, see Organize the data according to your needs. Wbudowane tagi IP obejmują:The built-in IP tags include:
    • Aplikacje firmy Microsoft (14 aplikacji)Microsoft apps (14 of them)
    • Anonimowy serwer proxyAnonymous proxy
    • Botnet (zobaczysz wykonano działanie przez botnet łącze aby dowiedzieć się więcej o określonych botnet)Botnet (you will see that the activity was performed by a botnet with a link to learn more about the specific botnet)
    • Zakres skanowania adresów IP w sieci DarknetDarknet scanning IP
    • Serwer sterowania C&C złośliwego oprogramowaniaMalware C&C server
    • Analizator połączeń zdalnychRemote Connectivity Analyzer
    • Dostawcy satelitarniSatellite providers
    • Inteligentny serwer proxy i serwer proxy dostępu (opuszczone celowo)Smart proxy and access proxy (left out on purpose)
    • Węzły końcowe TorTor exit nodes
    • ZscalerZscaler
  • Działanie personifikowane — wyszukiwanie tylko działań, które były wykonywane w imieniu innego użytkownika.Impersonated activity – Search only for activities that were performed in the name of another user.

  • Lokalizacja — kraj, z którego wykonano działanie.Location – The country from which the activity was performed.

  • Dopasowane zasady — wyszukiwanie działań, które są dopasowane do konkretnych zasad ustawionych w portalu.Matched policy – Search for activities that matched on a specific policy that was set in the portal.

  • Zarejestrowany usługodawca internetowy — usługodawca internetowy, za pośrednictwem którego wykonano działanie.Registered ISP – The ISP from which the activity was performed.

  • Źródło — wyszukiwanie według źródeł, z których wykryto działanie.Source - Search by the source from which the activity was detected. Źródłem może być dowolny z poniższych elementów:Source can be any of the following:

    • Łącznik aplikacji — dzienniki pochodzące bezpośrednio z łącznika interfejsu API aplikacji.App connector - logs coming directly from the app’s API connector.
    • Analiza łącznika aplikacji — wzbogacanie usługi Cloud App Security na podstawie skanu informacji wykonanego przez łącznik interfejsu API.App connector analysis - Cloud App Security enrichments based on information scan by the API connector.
  • Użytkownik — użytkownik, który wykonał działanie (te informacje można filtrować według domen, grup, nazw lub organizacji).User – The user who performed the activity, which can be filtered into domain, group, name or organization. Aby filtrować działania bez określonego użytkownika, możesz użyć operatora „nie ustawiono”.In order to filter activities with no specific user, you can use the ‘is not set’ operator.

    • Domena użytkownika — wyszukiwanie określonej domeny użytkownika.User domain - Search for a specific user domain.
    • Organizacja użytkownika — jednostka organizacyjna użytkownika, który wykonał działanie, np. wszystkie działania wykonywane przez użytkowników z grupy EMEA_marketing.User organization – The organizational unit of the user who performed the activity, for example, all activities performed by EMEA_marketing users.
    • Grupa użytkowników — określone grupy użytkowników, które można importować z połączonych aplikacji, na przykład Administratorzy usługi Office 365.User group – Specific user groups that you can import from connected apps, for example, Office 365 administrators.
    • Nazwa użytkownika — wyszukiwanie określonej nazwy użytkownika.User name - Search for a specific username. Aby wyświetlić listę użytkowników w określonej grupie użytkowników, kliknij jej nazwę w szufladzie działań.To see a list of users in a specific user group, in the Activity drawer, click on the name of the user group. Spowoduje to przejście na stronę Konta, na której wyświetlana jest lista wszystkich użytkowników w grupie.This will take you to the Accounts page which lists all the users in the group. Z tego miejsca można przejść do szczegółów kont konkretnych użytkowników w grupie.From there you can drill down into the details of the accounts of specific users in the group.
      • Filtry Grupa użytkowników i Nazwa użytkownika można dalej filtrować, używając filtra Jako i wybierając rolę użytkownika, która może być dowolną z następujących:The User group and User name filters can be further filtered by using the As filter, and selecting the role of the user, which can be any of the following:
        • Tylko obiekt aktywności — oznacza to, że wybrany użytkownik lub grupa użytkowników nie wykonali danego działania, ale byli obiektem działania.Activity object only - this means that the user or user group selected did not perform the activity in question, they were the object of the activity
        • Tylko aktor — oznacza to, że użytkownik lub grupa użytkowników wykonali dane działanie.Actor only - this means that the user or user group performed the activity
        • Wszystkie role— oznacza to, że użytkownik lub grupa użytkowników byli zaangażowani w działanie jako osoba wykonująca działanie lub obiekt działania.Any role - this means that the user or user group were involved in the activity, either as the person who performed the activity or as the object of the activity
  • Agent użytkownika — agent użytkownika, z którego poziomu zostało wykonane działanie.User agent – The user agent of from with the activity was performed.

  • Tag agenta użytkownika — wbudowany tag agenta użytkownika, na przykład wszystkie działania z nieaktualnej przeglądarki lub nieaktualnych systemów operacyjnych.User agent tag – Built-in user agent tag, for example, all activities from an outdated browser or outdated operating systems.

Uwaga

Jeśli w dowolnym momencie chcesz wyczyścić filtry, możesz to zrobić, klikając ikonę Wyczyść filtry ikonę Wyczyść filtry.If at any point you want to clear the filters, you can do so by clicking the clear filters icon clear filters icon.

Działania zapytaniaActivity queries

Aby dochodzenia nawet prostszy, można tworzyć zapytania niestandardowe i zapisane w celu późniejszego użycia.To make investigation even simpler, you can now create custom queries and save them for later use.

  1. W dziennik aktywności Użyj filtrów, jak opisano powyżej, aby przejść do aplikacji w razie potrzeby.In the Activity log page, use the filters as described above to drill down into your apps as necessary.

  2. Po zostały osiągnięte zakładanych wyników, kliknij przycisk Zapisz jako przycisk w prawym górnym rogu filtrów.After you have achieved the desired results, click the Save as button in the top right corner of the filters.

  3. W Zapisz zapytanie menu podręczne, nazwę zapytania.In the Save query popup, name your query.

    nowe zapytanie

  4. Aby użyć tej kwerendy ponownie w przyszłości, w obszarze zapytania, przewiń w dół do zapisane kwerendy i wybierz zapytanie.To use this query again in the future, under Queries, scroll down to Saved queries and select your query.

    Otwórz zapytanie

Usługa cloud App Security zapewnia sugerowane zapytania i umożliwia zapisywanie zapytań niestandardowych, które są często używane.Cloud App Security also provides you with Suggested queries and enables you to save custom queries you frequently use. Sugerowane zapytania dostarczyć zalecane możliwości ataku postępowania, które filtrować działań przy użyciu następujących zapytań sugerowane opcjonalne:Suggested queries provide you with recommended avenues of investigation that filter your activities by using the following optional suggested queries:

  • Czynności administracyjne — filtry wszystkie działania w celu wyświetlenia tylko tych działań, które Administratorzy.Admin activities - filters all your activities to display only those activities that involved admins.

  • Pobierz działania — wszystkie filtry działań do wyświetlenia tylko tych działań, które były Pobierz działania, w tym pobierania listy użytkowników jako CSV vile, pobierania zawartości udostępnionej i pobieranie folderu.Download activities - filters all your activities to display only those activities that were download activities, including download user list as a .csv vile, downloading of shared content and downloading a folder.

  • Niepowodzenia logowania — filtry wszystkie działania w celu wyświetlenia tylko nieudanych logowań i nie logowania za pomocą logowania jednokrotnegoFailed log in - filters all your activities to display only failed log ons and failed sign in via SSO

  • Działania plików i folderów — filtry wszystkie działania w celu wyświetlenia tylko tych działań, które pliki i foldery, w tym przekazywanie i pobieranie folderów, uzyskiwanie dostępu do folderów; Tworzenie, usuwanie, przekazywanie, pobieranie, poddawania i uzyskiwania dostępu do plików. i przesyłania zawartości.File and folder activities - filters all your activities to display only those activities that involved files and folders, including upload and download folders, accessing folders; creating, deleting, uploading, downloading, quarantining and accessing files; and transferring content.

  • Personifikacja działania — filtry wszystkie działania do wyświetlenia tylko działania personifikacji.Impersonation activities - filters all your activities to display only impersonation activities.

  • Skrzynka pocztowa działania — wszystkie filtry działań do wyświetlenia tylko Microsoft Exchange Online działań, takich jak utworzyć element, czyszczenie wiadomości ze skrzynki pocztowej, zaktualizuj wiadomości i wysyłanie wiadomości przy użyciu uprawnień Wyślij jako (Personifikacja).Mailbox activities - filters all your activities to display only Microsoft Exchange Online activities such as create item, purge messages from mailbox, update message and send message using Send As permissions (impersonation).

  • Hasło zmiany i żądań resetowania — filtry wszystkie działania w celu wyświetlenia tylko tych działań, że dotyczących resetowania hasła, Zmień hasło i wymusić zmianę hasła przy następnym logowaniu użytkownika.Password changes and reset requests - filters all your activities to display only those activities that involving password reset, change password and force user to change password on next logon.

  • Zagrożenia bezpieczeństwa — filtry wszystkie działania do wyświetlenia tylko tych działań, które odpowiada zasady DLP.Security risks - filters all your activities to display only those activities that match DLP policies.

  • Udostępnianie działania — filtry wszystkie działania w celu wyświetlenia tylko tych działań, które wymagają udostępniania folderów i plików, w tym tworzenie łącza firmy, tworzenie anonimowych łącza i udzielanie uprawnień do odczytu/zapisu.Sharing activities - filters all your activities to display only those activities that involve sharing folders and files, including creating a company link, creating an anonymous link and granting read/write permissions.

  • Pomyślne logowanie - filtry wszystkich działań wyświetlenie tylko tych działań, które obejmują pomyślnego logowania, w tym personifikacji akcji personifikacji w dzienniku na dziennik rejestracji jednokrotnej i logowanie z nowego urządzenia.Successful log in - filters all your activities to display only those activities that involve successful log ins, including impersonate action, impersonate log on, single sign-on log on, and log on from new device.

Zapytanie działań

Ponadto można użyć zapytania sugerowane jako punkt początkowy dla nowego zapytania.In addition, you can use the suggested queries as a starting point for a new query. Najpierw wybierz sugerowane zapytania.First, select one of the suggested queries. Następnie wprowadź wymagane zmiany i na koniec kliknij Zapisz jako do tworzenia nowego zapisane kwerendy.Then, make changes as needed and finally click Save as to create a new Saved query.

Zobacz teżSee Also

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.