Filtry działań i zapytańActivity filters and queries

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ten artykuł zawiera opisy i instrukcje dotyczące filtrów działań w usłudze Cloud App Security i zapytań.This article provides descriptions and instructions for Cloud App Security activity filters and queries.

Filtry działańActivity filters

Poniżej znajduje się lista filtrów działań, które mogą być stosowane.Below is a list of the activity filters that can be applied. Większość filtrów obsługuje również wiele wartości, nie do przedstawienia zaawansowane narzędzie do tworzenia zasad.Most filters support multiple values as well as NOT to provide you with a powerful tool for policy creation.

  • Identyfikator działania — wyszukanie tylko konkretnych działań w oparciu o ich identyfikatory.Activity ID - Search only for specific activities by their ID. Ten filtr jest przydatny, gdy połączysz Microsoft Cloud App Security do rozwiązania SIEM (przy użyciu agenta SIEM), a chcesz dokładniej badać alerty w portalu usługi Cloud App Security.This filter is useful when you connect Microsoft Cloud App Security to your SIEM (using the SIEM agent), and you want to further investigate alerts within the Cloud App Security portal.

  • Obiekty aktywności — Wyszukaj obiekty, których działanie zostało zrobione na.Activity objects – Search for the objects the activity was done on. Ten filtr ma zastosowanie do obiektów w pliku, folderu, użytkownika lub aplikacji.This filter applies to file, folder, user, or app objects.

    • Identyfikator obiektu aktywności — identyfikator obiektu (pliku, folderu, użytkownika lub identyfikator aplikacji).Activity object ID - the ID of the object (file, folder, user, or app ID).
    • Element — umożliwia wyszukiwanie według nazwy lub identyfikatora dowolnego obiektu działania (na przykład: nazw użytkowników, plików, parametrów, witryn).Item - Enables you to search by the name or ID of any activity object (for example: user names, files, parameters, sites). Dla element obiektu działania filtr, można wybrać tego, czy chcesz filtrować elementy zawiera, równy, lub rozpoczyna się od określony element.For the Activity object Item filter, you can select whether you want to filter for items that Contain, Equal, or Starts with the specific item.
  • Typ działania — wyszukiwanie działań aplikacji.Activity type - Search for the app activity.

  • Działanie administracyjne — wyszukiwanie tylko działań administracyjnych.Administrative activity – Search only for administrative activities.

  • Identyfikator alertu — wyszukiwanie według identyfikatorów alertów.Alert ID - Search by alert ID.

  • Aplikacja — wyszukiwanie tylko działań w ramach określonych aplikacji.App – Search only for activities within specific apps.

  • Zastosowana akcja — wyszukiwanie według zastosowanych akcji ładu: Zablokowane, Pomiń serwer proxy, odszyfrowane, zaszyfrowane, szyfrowanie nie powiodło się, żadne działanie.Applied action - Search by governance action applied: Blocked, Bypass proxy, Decrypted, Encrypted, Encryption failed, No action.

  • Data — data wystąpienia działania.Date – The date when the activity occurred. Filtru obsługuje daty przed/po, a przedział czasu.Filter supports before/after dates and a date range.

  • Tag urządzenia — wyszukiwanie według urządzeń zgodnych, zarządzanych lub zweryfikowanych.Device tag - Search by compliant, managed or verified device.

  • Typ urządzenia — wyszukiwanie tylko działań, które zostały wykonane przy użyciu konkretnego typu urządzenia.Device type - Search only for activities that were done using a specific device type. Na przykład wyszukaj wszystkie działania z urządzeń przenośnych, komputerów lub tabletów.For example, search all activities from mobile devices, PCs, or Tablets.

  • Pliki i foldery — wyszukiwanie plików i folderów, których działanie zostało wykonane na.Files and folders - Search for files and folders the activity was performed on.

    • Identyfikator pliku — umożliwia do wyszukiwania przy użyciu pliku IDENTYFIKATORA działanie zostało wykonane na.File ID - Enables you to search by the File ID the activity was performed on.
    • Nazwa — filtry na nazwach plików lub folderów.Name - Filters on the name of files or folders. Możesz wybrać, jeśli nazwa kończy się, jest równa, lub rozpoczyna się od wartość wyszukiwania.You can select if the name ends with, equals, or starts with your search value.
    • Konkretne pliki lub foldery — pozwala na uwzględnianie lub wykluczanie określonych plików lub folderów.Specific files or folders - Allows you to include or exclude specific files or folders. Podczas wybierania plików lub folderów, można filtrować listę według aplikacji, właściciela, lub jego część nazwy pliku.When selecting files or folders, you can filter the list by App, Owner, or partial File Name.
  • Adres IP — pierwotny adres IP, kategoria lub tag, z którego wykonano działanie.IP address – The raw IP address, category, or tag from which the activity was performed.

    • Pierwotny adres IP — umożliwia wyszukiwanie działań wykonanych przez pierwotne adresy IP.Raw IP address - Enables you to search for activities that were performed on or by raw IP addresses. Pierwotne adresy IP można równe, nie równa się, zaczynać się lub nie rozpoczynać określonej sekwencji.The raw IPs can equal, don't equal, start with, or don't start with a particular sequence.
    • Kategoria IP — kategoria adresu IP, z którego wykonano działanie, na przykład wszystkie działania z zakresu administracyjnych adresów IP.IP category - The category of the IP address from which the activity was performed, for example, all activities from administrative IP address range. Kategorie muszą zawierać odpowiednie adresy IP, z wyjątkiem kategorii "Ryzykowne", który jest wstępnie skonfigurowana i zawiera dwa tagi IP — anonimowy serwer proxy i Tor.The categories need to be configured to include the relevant IP addresses, except for the "Risky" category, which is pre-configured and includes two IP tags - Anonymous proxy and Tor. Aby dowiedzieć się, jak skonfigurować kategorie adresów IP, zobacz Organizowanie danych zgodnie z potrzebami.To learn how to configure the IP categories, see Organize the data according to your needs.
    • Tag IP — tag adresu IP, z którego wykonano działanie, np. wszystkie działania z anonimowych adresów IP proxy.IP tag - The tag of the IP address from which the activity was performed, for example, all activities from anonymous proxy IP addresses. Usługa cloud App Security tworzy zestaw wbudowanych tagów IP, które nie są konfigurowalne.Cloud App Security creates a set of built-in IP tags that aren't configurable. Ponadto można konfigurować własne tagi IP.Additionally, you can configure your own IP tags. Aby uzyskać więcej informacji o konfigurowaniu własnych tagów IP, zobacz Organizowanie danych zgodnie z potrzebami.For more information about configuring your own IP tags, see Organize the data according to your needs. Wbudowane tagi IP obejmują:The built-in IP tags include:
    • Aplikacje firmy Microsoft (14 aplikacji)Microsoft apps (14 of them)
    • Anonimowy serwer proxyAnonymous proxy
    • Botnet (zobaczysz czy działanie zostało wykonane przez botnet z linkiem do dalszych informacji na temat określonych botnet)Botnet (you'll see that the activity was performed by a botnet with a link to learn more about the specific botnet)
    • Zakres skanowania adresów IP w sieci DarknetDarknet scanning IP
    • Serwer sterowania C&C złośliwego oprogramowaniaMalware C&C server
    • Analizator połączeń zdalnychRemote Connectivity Analyzer
    • Dostawcy satelitarniSatellite providers
    • Inteligentny serwer proxy i serwer proxy dostępu (opuszczone celowo)Smart proxy and access proxy (left out on purpose)
    • Węzły końcowe TorTor exit nodes
    • ZscalerZscaler
  • Działanie personifikowane — wyszukiwanie tylko działań, które były wykonywane w imieniu innego użytkownika.Impersonated activity – Search only for activities that were performed in the name of another user.

  • Wystąpienia — wystąpienie aplikacji, w którym działanie zostało lub nie została wykonana.Instance - The app instance where the activity was or wasn't performed.

  • Lokalizacja — kraj, z którego wykonano działanie.Location – The country from which the activity was performed.

  • Dopasowane zasady — wyszukiwanie działań, które są dopasowane do konkretnych zasad ustawionych w portalu.Matched policy – Search for activities that matched on a specific policy that was set in the portal.

  • Zarejestrowany usługodawca internetowy — usługodawca internetowy, za pośrednictwem którego wykonano działanie.Registered ISP – The ISP from which the activity was performed.

  • Źródło — wyszukiwanie według źródeł, z których wykryto działanie.Source - Search by the source from which the activity was detected. Źródłem może być dowolny z poniższych elementów:Source can be any of the following:

    • Łącznik aplikacji — dzienniki pochodzące bezpośrednio z łącznika interfejsu API aplikacji.App connector - logs coming directly from the app’s API connector.
    • Analiza łącznika aplikacji — wzbogacanie usługi Cloud App Security na podstawie skanu informacji wykonanego przez łącznik interfejsu API.App connector analysis - Cloud App Security enrichments based on information scan by the API connector.
  • Użytkownik — użytkownik, który wykonał działanie, które można filtrować według domeny, grupy, nazw lub organizacji.User – The user who performed the activity, which can be filtered into domain, group, name, or organization. Aby filtrować działania bez określonego użytkownika, możesz użyć operatora „nie ustawiono”.In order to filter activities with no specific user, you can use the ‘is not set’ operator.

    • Domena użytkownika — wyszukiwanie określonej domeny użytkownika.User domain - Search for a specific user domain.
    • Organizacja użytkownika — jednostka organizacyjna użytkownika, który wykonał działanie, np. wszystkie działania wykonywane przez użytkowników z grupy EMEA_marketing.User organization – The organizational unit of the user who performed the activity, for example, all activities performed by EMEA_marketing users.
    • Grupa użytkowników — określone grupy użytkowników, które można importować z połączonych aplikacji, na przykład Administratorzy usługi Office 365.User group – Specific user groups that you can import from connected apps, for example, Office 365 administrators.
    • Nazwa użytkownika — wyszukiwanie określonej nazwy użytkownika.User name - Search for a specific username. Aby wyświetlić listę użytkowników w określonej grupie użytkowników, kliknij jej nazwę w szufladzie działań.To see a list of users in a specific user group, in the Activity drawer, click on the name of the user group. Kliknięcie spowoduje przejście do strony kont, który zawiera listę wszystkich użytkowników w grupie.Clicking will take you to the Accounts page that lists all the users in the group. Z tego miejsca można przejść do szczegółów do szczegółów kont konkretnych użytkowników w grupie.From there, you can drill down into the details of the accounts of specific users in the group.
      • Filtry Grupa użytkowników i Nazwa użytkownika można dalej filtrować, używając filtra Jako i wybierając rolę użytkownika, która może być dowolną z następujących:The User group and User name filters can be further filtered by using the As filter, and selecting the role of the user, which can be any of the following:
        • Tylko obiekt aktywności — oznacza, że użytkownik lub grupa użytkowników nie wykonała danego działania, ale byli obiektem działania.Activity object only - meaning that the user or user group selected didn't perform the activity in question, they were the object of the activity.
        • Tylko Aktor — oznacza, że użytkownik lub grupa użytkowników wykonali działanie.Actor only - meaning that the user or user group performed the activity.
        • Wszystkie role — oznacza to, że użytkownik lub grupa użytkowników byli zaangażowani w działanie jako osoba wykonująca działanie lub obiekt działania.Any role - Meaning that the user or user group were involved in the activity, either as the person who performed the activity or as the object of the activity.
  • Agent użytkownika — agent użytkownika, z którego poziomu zostało wykonane działanie.User agent – The user agent of from with the activity was performed.

  • Tag agenta użytkownika — wbudowany tag agenta użytkownika, na przykład wszystkie działania z nieaktualnej przeglądarki lub nieaktualnych systemów operacyjnych.User agent tag – Built-in user agent tag, for example, all activities from an outdated browser or outdated operating systems.

Działanie zapytańActivity queries

Aby ułatwić badanie jeszcze prostsze, można tworzyć zapytania niestandardowe i zapisywać je w celu późniejszego użycia.To make investigation even simpler, you can now create custom queries and save them for later use.

  1. W dziennika aktywności strony, Użyj filtrów, zgodnie z powyższym opisem, aby przejść do szczegółów w swoich aplikacjach zgodnie z potrzebami.In the Activity log page, use the filters as described above to drill down into your apps as necessary.

  2. Po zakończeniu tworzenia zapytania, kliknij przycisk Zapisz jako przycisk w prawym górnym rogu filtrów.After you've finished building your query, click the Save as button in the top right corner of the filters.

  3. W Zapisz zapytanie okna podręcznego, nazwę zapytania.In the Save query popup, name your query.

    nowe zapytanie

  4. To zapytanie ponownie użyć w przyszłości, w obszarze zapytania, przewiń w dół do zapisane kwerendy i wybierz swoje zapytanie.To use this query again in the future, under Queries, scroll down to Saved queries and select your query.

    Otwórz zapytanie

Usługa cloud App Security zapewnia sugerowane zapytania.Cloud App Security also provides you with Suggested queries. Sugerowane zapytania umożliwiają zalecane drogi prowadzące badania, które filtrują działań.Suggested queries provide you with recommended avenues of investigation that filter your activities. Można edytować te zapytania i Zapisz jako niestandardowe zapytania.You can edit these queries and save the as custom queries. Opcjonalne proponowanych zapytań są następujące:The following are optional suggested queries:

  • Działania administracyjne — filtrowanie wszystkich działań w celu wyświetlenia tylko tych działań, które Administratorzy.Admin activities - filters all your activities to display only those activities that involved admins.

  • Działania — wszystkie filtry działań mających na celu wyświetlenia tylko tych działań, które były Pobierz działań, w tym pobierania listy użytkowników jako CSV vile, pobieranie zawartości udostępnionej i pobieranie folderu pobierania.Download activities - filters all your activities to display only those activities that were download activities, including download user list as a .csv vile, downloading of shared content and downloading a folder.

  • Nieudane logowanie — filtruje wszystkie działania w celu wyświetlenia tylko nieudanych logowań i Niepowodzenie logowania za pomocą logowania jednokrotnegoFailed log in - filters all your activities to display only failed log ons and failed sign in via SSO

  • Działania plików i folderów — filtrowanie wszystkich działań w celu wyświetlenia tylko tych działań, które udział plików i folderów.File and folder activities - filters all your activities to display only those activities that involved files and folders. Filtr zawiera przekazywanie, pobieranie i uzyskiwanie dostępu do folderów, oraz tworzenie, usuwanie, przekazywanie, pobieranie, poddawanie kwarantannie, uzyskiwania dostępu do plików i przesyłania zawartości.The filter includes upload, download, and accessing folders, along with creating, deleting, uploading, downloading, quarantining, and accessing files, and transferring content.

  • Działania personifikacji — filtrowanie wszystkich działań mających na celu wyświetlania tylko działania personifikacji.Impersonation activities - filters all your activities to display only impersonation activities.

  • Działania dotyczące skrzynki pocztowej — wszystkie filtry działań mających na celu wyświetlania tylko działań, Microsoft Exchange Online, takich jak tworzenie elementu, Przeczyść wiadomości ze skrzynki pocztowej, zaktualizuj wiadomości i wysyłanie wiadomości przy użyciu uprawnień Wyślij jako (dokona personifikacji).Mailbox activities - filters all your activities to display only Microsoft Exchange Online activities such as create item, purge messages from mailbox, update message and send message using Send As permissions (impersonation).

  • Hasło zmiany i żądań resetowania — filtrowanie wszystkich działań w celu wyświetlenia tylko tych działań, że dotyczących resetowania hasła, Zmień hasło i wymusić użytkownika, aby zmienić hasło przy następnym logowaniu.Password changes and reset requests - filters all your activities to display only those activities that involving password reset, change password, and force user to change password on next sign-in.

  • Zagrożenia bezpieczeństwa — filtrowanie wszystkich działań w celu wyświetlenia tylko tych działań, zgodne z zasadami DLP.Security risks - filters all your activities to display only those activities that match DLP policies.

  • Działania udostępniania — filtrowanie wszystkich działań w celu wyświetlenia tylko tych działań, które obejmują udostępniania folderów i plików, w tym tworzenie łącza firmy, tworzenie anonimowych łącze i udzielanie uprawnień do odczytu/zapisu.Sharing activities - filters all your activities to display only those activities that involve sharing folders and files, including creating a company link, creating an anonymous link and granting read/write permissions.

  • Pomyślne logowanie — filtrowanie wszystkich działań mających na celu powoduje wyświetlenie wyłącznie tych działań, które obejmują pomyślnego logowania, w tym personifikacji akcji, personifikacji logowanie z pojedynczego logowania jednokrotnego logowania i zalogować z nowego urządzenia.Successful log in - filters all your activities to display only those activities that involve successful log ins, including impersonate action, impersonate log on, single sign-on log-on, and log on from new device.

działań dotyczących zapytania

Ponadto można użyć sugerowane zapytania jako punktu wyjścia dla nowego zapytania.Additionally, you can use the suggested queries as a starting point for a new query. Najpierw wybierz sugerowane zapytania.First, select one of the suggested queries. Następnie wprowadź wymagane zmiany, a na koniec kliknij Zapisz jako do tworzenia nowego zapisane zapytanie.Then, make changes as needed and finally click Save as to create a new Saved query.

Następne krokiNext steps

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium można również utworzyć nowy problem bezpośrednio z poziomu Premier portalu.Premier customers can also create a new issue directly from the Premier portal.