Filtros e consultas de atividade

  • Artigo

Este artigo fornece descrições e instruções para filtros de atividade e consultas do Defender for Cloud Apps.

Filtros de atividade

Segue-se uma lista dos filtros de atividade que podem ser aplicados. A maioria dos filtros suporta vários valores, bem como NÃO para fornecer uma ferramenta poderosa para a criação de políticas.

  • ID da atividade – procure apenas atividades específicas pelos respetivos ID. Esse filtro é útil quando você conecta o Microsoft Defender for Cloud Apps ao seu SIEM (usando o agente SIEM) e deseja investigar alertas no portal do Defender for Cloud Apps.

  • Objetos de atividade – Pesquise os objetos nos quais a atividade foi feita. Esse filtro se aplica a arquivos, pastas, usuários ou objetos de aplicativo.

    • ID do objeto de atividade - o ID do objeto (arquivo, pasta, usuário ou ID do aplicativo).

    • Item - Permite pesquisar pelo nome ou ID de qualquer objeto de atividade (por exemplo, nomes de usuário, arquivos, parâmetros, sites). Para o filtro Item do objeto Atividade, você pode selecionar se deseja filtrar os itens que Contém, Igual ou Inicia com o item específico.

  • Tipo de ação - Procure uma ação mais específica executada em um aplicativo.

  • Tipo de atividade – procure a atividade de aplicações.

    Nota

    Os aplicativos são adicionados ao filtro somente se houver atividade para esse aplicativo.

  • Atividade administrativa – procure apenas atividades administrativas.

    Nota

    O Defender for Cloud Apps não pode marcar as atividades administrativas do Google Cloud Platform (GCP) como atividades administrativas.

  • ID de alerta – procure por ID de alerta.

  • Aplicação – procure apenas atividades de aplicações específicas.

  • Ação aplicada – procure por ação de governação aplicada: Bloqueada, Ignorar proxy, Desencriptada, Encriptada, Falha na encriptação, Nenhuma ação.

  • Data – a data em que a atividade ocorreu. O filtro suporta datas antes/depois e um intervalo de datas.

  • Etiqueta de dispositivo - Pesquise por compatível com o Intune, Microsoft Entra híbrido associado ou certificado de cliente válido.

  • Tipo de dispositivo - Pesquise apenas atividades que foram feitas usando um tipo de dispositivo específico. Por exemplo, pesquise todas as atividades a partir de dispositivos móveis, PCs ou Tablets.

  • Arquivos e pastas - Pesquise arquivos e pastas em que a atividade foi realizada.

    • ID do arquivo - Permite pesquisar pelo ID do arquivo em que a atividade foi executada.
    • Nome - Filtra o nome de arquivos ou pastas. Você pode selecionar se o nome termina com, é igual ou começa com seu valor de pesquisa.
    • Arquivos ou pastas específicos - Você pode incluir ou excluir arquivos ou pastas específicos. Você pode filtrar a lista por aplicativo, proprietário ou nomede arquivo parcial ao selecionar arquivos ou pastas.

  • Endereço IP – O endereço IP bruto, categoria ou tag a partir do qual a atividade foi executada.

    • Endereço IP bruto - Permite pesquisar atividades que foram executadas em ou por endereços IP brutos. Os IPs brutos podem igualar, não igualar, começar com ou não começar com uma sequência específica.
    • Categoria IP - A categoria do endereço IP a partir do qual a atividade foi executada, por exemplo, todas as atividades do intervalo de endereços IP administrativos. As categorias precisam ser configuradas para incluir os endereços IP relevantes. Alguns IPs podem ser categorizados por padrão. por exemplo, existem endereços IP que são considerados por fontes de inteligência de ameaças da Microsoft serão categorizados como arriscados. Para saber como configurar as categorias de IP, veja Organizar os dados de acordo com as suas necessidades.
    • Etiqueta do IP – a etiqueta do endereço IP a partir do qual foi efetuada a atividade, por exemplo, todas as atividades de endereços IP de proxy anónimo. O Defender for Cloud Apps cria um conjunto de tags IP integradas que não são configuráveis. Além disso, você pode configurar suas tags IP. Para obter mais informações sobre como configurar suas tags IP, consulte Organizar os dados de acordo com suas necessidades. As tags IP internas incluem o seguinte:
      • Aplicações da Microsoft (14)
      • O proxy é anónimo
      • Botnet (você verá que a atividade foi realizada por um botnet com um link para saber mais sobre o botnet específico)
      • IP de análise da Darknet
      • Servidor C&C de software maligno
      • Remote Connectivity Analyzer
      • Fornecedores de satélite
      • Smart proxy e Access proxy (excluídos propositadamente)
      • Nós de saída de Tor
      • Zscaler

  • Atividade representada – procure apenas as atividades que tenham sido efetuadas em nome de outro utilizador.

  • Instância - A instância do aplicativo em que a atividade foi ou não executada.

  • Localização – O país/região a partir do qual a atividade foi realizada.

  • Política correspondente – Pesquise atividades que correspondam a uma política específica definida no portal.

  • ISP registado – o ISP a partir do qual foi efetuada a atividade.

  • Origem – procure a origem em que a atividade foi detetada. A fonte pode ser qualquer uma das seguintes:

    • Conector de aplicativo - logs provenientes diretamente do conector de API do aplicativo.
    • Análise do conector do aplicativo - Enriquecimento do Defender for Cloud Apps com base nas informações verificadas pelo conector da API.

  • Usuário – O usuário que realizou a atividade, que pode ser filtrada em domínio, grupo, nome ou organização. Para filtrar atividades sem usuário específico, você pode usar o operador 'não está definido'.

    • Domínio de utilizador – procure um domínio de utilizador específico.
    • Organização do utilizador – a unidade organizacional do utilizador que executou a atividade, por exemplo, todas as atividades executadas pelos utilizadores de EMEA_marketing. Isso só é relevante para instâncias conectadas do Google Workspace que usam unidades organizacionais.
    • Grupo de usuários – Grupos de usuários específicos que você pode importar de aplicativos conectados, por exemplo, administradores do Microsoft 365.
    • Nome de utilizador – procure um nome de utilizador específico. Para ver uma lista de usuários em um grupo de usuários específico, na gaveta Atividade, selecione o nome do grupo de usuários. Ao clicar você será direcionado para a página Contas, que lista todos os usuários do grupo. A partir daí, você pode detalhar os detalhes das contas de usuários específicos no grupo.
    • Os filtros Grupo de usuários e Nome de usuário podem ser filtrados usando o filtro Como e selecionando a função do usuário, que pode ser qualquer uma das seguintes:
      • Somente objeto de atividade - o que significa que o usuário ou grupo de usuários selecionado não executou a atividade em questão; eles eram o objeto da atividade.
      • Somente ator - o que significa que o usuário ou grupo de usuários executou a atividade.
      • Qualquer função - Significa que o usuário ou grupo de usuários estava envolvido na atividade, seja como a pessoa que realizou a atividade ou como o objeto da atividade.

  • Agente do utilizador – o agente do utilizador a partir do qual a atividade foi realizada.

  • User agent tag – Tag de agente de usuário integrada, por exemplo, todas as atividades de sistemas operacionais desatualizados ou navegadores desatualizados.

Consultas de atividade

Para tornar a investigação ainda mais simples, agora você pode criar consultas personalizadas e salvá-las para uso posterior.

  1. Na página Registro de atividades , use os filtros conforme descrito acima para detalhar seus aplicativos conforme necessário.

Use filters to make query.

  1. Depois de concluir a criação da consulta, selecione o botão Salvar como .

  2. No pop-up Salvar consulta, nomeie sua consulta .

    new query.

  3. Para utilizar esta consulta novamente no futuro, em Consultas, desloque-se para baixo até Consultas guardadas e selecione a sua consulta.

    open query.

O Defender for Cloud Apps também fornece consultas sugeridas. As consultas sugeridas fornecem vias de investigação recomendadas que filtram suas atividades. Você pode editar essas consultas e salvá-las como consultas personalizadas. A seguir estão as consultas sugeridas opcionais:

  • Atividades de administrador - filtra todas as suas atividades para exibir apenas as atividades que envolvem administradores.

  • Atividades de download - filtra todas as suas atividades para exibir apenas as atividades que foram atividades de download, incluindo baixar a lista de usuários como um arquivo de .csv, baixar conteúdo compartilhado e baixar uma pasta.

  • Falha no login - filtra todas as suas atividades para exibir apenas logins com falha e logins com falha via SSO

  • Atividades de arquivos e pastas - filtra todas as suas atividades para exibir apenas aquelas que envolvem arquivos e pastas. O filtro inclui upload, download e acesso a pastas, além de criar, excluir, carregar, baixar, colocar em quarentena, acessar arquivos e transferir conteúdo.

  • Atividades de representação - filtra todas as suas atividades para exibir apenas as atividades de representação.

  • Alterações de senha e solicitações de redefinição - filtra todas as suas atividades para exibir apenas as atividades que envolvem redefinição de senha, alterar senha e forçar um usuário a alterar a senha no próximo login.

  • Atividades de compartilhamento - filtra todas as suas atividades para exibir apenas as atividades que envolvem o compartilhamento de pastas e arquivos, incluindo a criação de um link da empresa, a criação de um link anônimo e a concessão de permissões de leitura/gravação.

  • Início de sessão bem-sucedido - filtra todas as suas atividades para apresentar apenas as atividades que envolvem inícios de sessão bem-sucedidos, incluindo a ação de representação, o início de sessão de personificação, o início de sessão único e o início de sessão a partir de um novo dispositivo.

query activities.

Além disso, você pode usar as consultas sugeridas como ponto de partida para uma nova consulta. Primeiro, selecione uma das consultas sugeridas. Em seguida, faça as alterações necessárias e, finalmente, selecione Salvar como para criar uma nova consulta salva.

Atividades de consulta há seis meses

Para investigar atividades com mais de 30 dias, você pode navegar até o registro de atividades e selecionar Investigar 6 meses no canto superior direito da tela:

Select investigate 6 months back.

A partir daí, você pode definir os filtros como normalmente é feito com o Registro de Atividades, com as seguintes diferenças:

  • O filtro de data é obrigatório e está limitado a um período de uma semana. Isso significa que, embora você possa consultar atividades por até seis meses atrás, você só pode fazê-lo por um período de uma semana de cada vez.

  • A consulta há mais de 30 dias atrás é suportada apenas para os seguintes campos:

    • ID da Atividade
    • Tipo de atividade
    • Tipo de ação
    • Aplicação
    • Endereço IP
    • Localização
    • User name

Por exemplo:

Filter after selecting investigate 6 months back.

Próximos passos

Práticas recomendadas para proteger sua organização