Filtros e consultas de atividade
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Este artigo fornece descrições e instruções para filtros e consultas de atividade de Cloud App Security.
Filtros de atividade
Segue-se uma lista dos filtros de atividade que podem ser aplicados. A maioria dos filtros suporta vários valores, bem como NÃO para fornecer-lhe uma ferramenta poderosa para a criação de políticas.
ID da atividade – procure apenas atividades específicas pelos respetivos ID. Este filtro é útil quando liga o Microsoft Cloud App Security ao seu SIEM (utilizando o agente SIEM) e pretende investigar mais alertas dentro do portal Cloud App Security.
Objetos de atividade – Procure os objetos em que a atividade foi feita. Este filtro aplica-se a objetos de ficheiro, pasta, utilizador ou aplicação.
- ID do objeto de atividade - o ID do objeto (ficheiro, pasta, utilizador ou ID da aplicação).
- Item – permite-lhe procurar o nome ou ID de qualquer objeto de atividade (por exemplo: nomes de utilizador, ficheiros, parâmetros, sites). Para o filtro de produto do objeto de atividade, pode selecionar se pretende filtrar itens que contenham, Iguais ou Comece com o item específico.
Tipo de atividade – procure a atividade de aplicações.
Atividade administrativa – procure apenas atividades administrativas.
ID de alerta – procure por ID de alerta.
Aplicação – procure apenas atividades de aplicações específicas.
Ação aplicada – procure por ação de governação aplicada: Bloqueada, Ignorar proxy, Desencriptada, Encriptada, Falha na encriptação, Nenhuma ação.
Data – a data em que a atividade ocorreu. O filtro suporta antes/depois das datas e um intervalo de datas.
Etiqueta de dispositivo - Search by Intune compliant, Hybrid Azure AD ad ou Certificado de cliente Válido.
Tipo de dispositivo - Procure apenas por atividades que foram feitas utilizando um tipo de dispositivo específico. Por exemplo, pesquise todas as atividades a partir de dispositivos móveis, computadores ou tablets.
Ficheiros e pastas - Procure por ficheiros e pastas em que a atividade foi realizada.
- ID de ficheiro - Permite-lhe pesquisar pelo ID do ficheiro em que a atividade foi realizada.
- Nome - Filtros no nome de ficheiros ou pastas. Pode selecionar se o nome termina com, igual ou começa com o seu valor de pesquisa.
- Ficheiros ou pastas específicos - Permite incluir ou excluir ficheiros ou pastas específicos. Ao selecionar ficheiros ou pastas, pode filtrar a lista por App, Proprietário ou Nome de Ficheiro parcial.
Endereço IP – O endereço IP bruto, categoria ou etiqueta a partir do qual a atividade foi realizada.
- Endereço IP cru - Permite-lhe pesquisar atividades realizadas em ou por endereços IP crus. Os IPs crus podem ser iguais, não iguais, começar com, ou não começar com uma sequência particular.
- Categoria do IP – a categoria do endereço IP a partir do qual foi realizada a atividade, por exemplo, todas as atividades do intervalo de endereços IP administrativos. As categorias devem ser configuradas para incluir os endereços IP relevantes, com exceção da categoria "Risky", que é pré-configurada e inclui duas tags IP - Procuração Anónima e Tor. Para saber como configurar as categorias de IP, veja Organizar os dados de acordo com as suas necessidades.
- Etiqueta do IP – a etiqueta do endereço IP a partir do qual foi efetuada a atividade, por exemplo, todas as atividades de endereços IP de proxy anónimo. Cloud App Security cria um conjunto de tags IP incorporadas que não são configuráveis. Além disso, pode configurar as suas próprias etiquetas IP. Para obter mais informações sobre como configurar as suas próprias etiquetas IP, veja Organizar os dados de acordo com as suas necessidades.
As etiquetas IP incorporadas incluem:
- Aplicações da Microsoft (14)
- Proxy anónimo
- Botnet (você verá que a atividade foi realizada por uma botnet com um link para saber mais sobre a botnet específica)
- IP de análise da Darknet
- Servidor C&C de software maligno
- Remote Connectivity Analyzer
- Fornecedores de satélite
- Smart proxy e Access proxy (excluídos propositadamente)
- Nós de saída de Tor
- Zscaler
Atividade representada – procure apenas as atividades que tenham sido efetuadas em nome de outro utilizador.
Instância - A aplicação em que a atividade foi ou não realizada.
Localização – País/região de onde a atividade foi realizada.
Política correspondente – procure as atividades correspondentes numa política específica que foi configurada no portal.
ISP registado – o ISP a partir do qual foi efetuada a atividade.
Origem – procure a origem em que a atividade foi detetada. A origem pode ser uma das seguintes:
- Conector de aplicação - registos vindos diretamente do conector API da aplicação.
- Análise do conector da aplicação – melhoramentos do Cloud App Security com base na análise de informações efetuada pelo conector da API.
Utilizador – O utilizador que realizou a atividade, que pode ser filtrada em domínio, grupo, nome ou organização. Para filtrar atividades sem um utilizador específico, pode utilizar o operador "não está definido".
- Domínio de utilizador – procure um domínio de utilizador específico.
- Organização do utilizador – a unidade organizacional do utilizador que executou a atividade, por exemplo, todas as atividades executadas pelos utilizadores de EMEA_marketing. Isto só é relevante para instâncias conectadas do Google Workspace utilizando unidades organizacionais.
- Grupo de utilizadores – grupos de utilizadores específicos que pode importar de aplicações ligadas, por exemplo, administradores do Office 365.
- Nome de utilizador – procure um nome de utilizador específico. Para ver uma lista de utilizadores num grupo de utilizadores específico, na gaveta Atividades, selecione o nome do grupo de utilizadores. Clicar irá levá-lo para a página Contas que lista todos os utilizadores do grupo. A partir daí, pode aprofundar os detalhes das contas de utilizadores específicos do grupo.
- Os filtros Grupo de utilizadores e Nome de utilizador podem ser filtrados de forma mais aprofundada através do filtro Como e selecionar a função do utilizador, que pode ser qualquer uma das seguintes:
- Apenas objeto de atividade - o que significa que o utilizador ou grupo de utilizadores selecionado não executou a atividade em questão, eles foram objeto da atividade.
- Apenas ator - o que significa que o utilizador ou grupo de utilizadores realizou a atividade.
- Qualquer papel - O que significa que o utilizador ou grupo de utilizadores estiveram envolvidos na atividade, quer como a pessoa que realizou a atividade, quer como objeto da atividade.
Agente do utilizador – o agente do utilizador a partir do qual a atividade foi realizada.
Tag de agente utilizador – Etiqueta de agente de utilizador incorporado, por exemplo, todas as atividades de sistemas operativos desatualizados ou navegadores desatualizados.
Nota
Cloud App Security considera desatualizada duas versões mais antigas do que a versão atual. Por exemplo, se a versão atual do Edge for 90, então a versão 88 e anterior estão desatualizadas.
Consultas de atividade
Para tornar a investigação ainda mais simples, você pode agora criar consultas personalizadas e guardá-las para uso posterior.
Na página de registo de Atividade, utilize os filtros como descrito acima para perfurar as suas aplicações, se necessário.
Depois de ter terminado a sua consulta, selecione o Botão Guardar como botão no canto superior direito dos filtros.
No pop-up save questionry, diga a sua consulta.

Para utilizar esta consulta novamente no futuro, em consultas, desloque-se até consultas Saved e selecione a sua consulta.

A Cloud App Security também lhe fornece consultas sugeridas. Consultas sugeridas fornecem-lhe as vias recomendadas de investigação que filtram as suas atividades. Pode editar estas consultas e guardar as consultas como personalizadas. Seguem-se consultas opcionais sugeridas:
Admin activities - filtra todas as suas atividades para exibir apenas as atividades que envolvem administradores.
Download de atividades - filtra todas as suas atividades para exibir apenas as atividades que foram descarregadas atividades, incluindo baixar a lista de utilizadores como um .csv ficheiro, descarregar conteúdos partilhados e descarregar uma pasta.
Início de sessão falhado - filtra todas as suas atividades para exibir apenas logins falhados e sessão falhada através de SSO
Atividades de arquivo e pasta - filtra todas as suas atividades para exibir apenas as atividades que envolvem ficheiros e pastas. O filtro inclui o upload, download e acesso a pastas, juntamente com a criação, eliminação, upload, download, quarentena e acesso a ficheiros e transferência de conteúdos.
Atividades de personificação - filtra todas as suas atividades para exibir apenas atividades de personificação.
Atividades da caixa de correio - filtra todas as suas atividades para exibir apenas atividades do Microsoft Exchange Online, tais como criar item, limpar mensagens a partir de caixa de correio, atualizar mensagem e enviar mensagens usando permissões de Envio como permissões (personificação).
Alterações de palavra-passe e pedidos de reset - filtra todas as suas atividades para exibir apenas as atividades que envolvem reset de palavra-passe, alterar palavra-passe e forçar o utilizador a alterar a palavra-passe no próximo s-in.
Riscos de segurança - filtra todas as suas atividades para exibir apenas as atividades que correspondem às políticas de DLP.
Sharing activities - filtra todas as suas atividades para exibir apenas as atividades que envolvem a partilha de pastas e ficheiros, incluindo a criação de uma ligação da empresa, a criação de um link anónimo e a concessão de permissões de leitura/escrita.
Login bem-sucedido - filtra todas as suas atividades para exibir apenas as atividades que envolvem logins bem-sucedidos, incluindo ação de personificação, fazer login, iniciar sessão de login único e iniciar sessão a partir de um novo dispositivo.

Além disso, pode utilizar as consultas sugeridas como ponto de partida para uma nova consulta. Primeiro, selecione uma das consultas sugeridas. Em seguida, faça alterações conforme necessário e, finalmente, selecione Save para criar uma nova consulta Saved.