活动

  • 项目

注意

  • 我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客

  • Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的家。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps可让你了解已连接应用的所有活动。 使用应用连接器将Defender for Cloud应用连接到应用后,Defender for Cloud应用会扫描所发生的所有活动(追溯扫描时间段因应用而异),然后使用新活动不断更新。

注意

有关由Defender for Cloud应用监视的Office 365活动的完整列表,请参阅合规中心中的审核日志

可以筛选活动日志,以查找特定的活动。 可基于活动创建策略,然后定义想要收到警报的内容并对其采取操作。 可以搜索在特定文件上执行的活动。 活动类型和每个活动呈现的信息取决于应用及其可提供的数据类型。

例如,可以使用活动日志查找组织中使用操作系统或浏览器过期的用户,如下所示:将应用连接到活动日志页中的Defender for Cloud应用后,请使用高级筛选器并选择用户代理标记。 然后选择“过期浏览器”或“过期操作系统”

Activity outdated browser example.

基本筛选器提供了强大的工具来开始进行活动筛选。

basic activity log filter.

若要向下钻取到更具体的活动,可以通过选择 “高级”来扩展基本筛选器。

advanced activity log filter.

注意

旧标记被添加到任何使用旧“用户”筛选器的活动策略中。 此筛选器将继续正常工作。 如果要删除旧标记,可以删除筛选器,并使用新的“用户名”筛选器再次添加筛选器。

活动抽屉

使用活动抽屉

可以通过在活动日志中选择活动本身来查看有关每个活动的详细信息。 这会打开“活动”抽屉,其中提供了每个活动的以下附加操作和见解:

  • 匹配的策略:选择 “匹配的策略 ”链接以查看此活动匹配的策略列表。

  • 查看原始数据:选择 “查看原始数据 ”以查看从应用接收的实际数据。

  • 用户:选择用户以查看执行活动的用户的用户页面。

  • 设备类型:选择 设备类型 以查看原始用户代理数据。

  • 位置:选择要在必应地图中查看位置的位置。

  • IP 地址类别和标记:选择 IP 标记以查看此活动中找到的 IP 标记列表。 然后,可以筛选匹配此标记的所有活动。

活动抽屉中的字段提供了附加活动的上下文链接,并直接从抽屉向下钻取要执行的操作。 例如,如果在 IP 地址类别旁边移动光标,则可以使用“添加”筛选 图标 add to filter. 立即将 IP 地址添加到当前页的筛选器。 还可以使用弹出的设置齿轮图标 settings icon 直接到达修改其中一个字段的配置所需的设置页,例如 用户组

还可以使用选项卡顶部的图标来执行下列操作:

  • 查看同一类型的活动
  • 查看同一用户的所有活动
  • 查看来自同一 IP 地址的活动
  • 从同一地理位置查看活动
  • 查看同一时间段(48 小时)内的活动

activity drawer.

有关可用管理操作的列表,请参阅活动管理操作

用户见解

调查体验包括有关活动用户的见解。 单击一下,即可全面了解用户信息,其中包括他们的连接源位置、所涉及的未处理警报数及其元数据信息。

查看用户见解:

  1. 活动日志中选择活动本身。

  2. 然后选择“ 用户 ”选项卡。
    选择它将打开“活动抽屉 用户 ”选项卡,提供有关用户的以下见解:

    • 未处理警报:涉及用户的未处理警报数目。
    • 匹配数:用户拥有的文件的策略匹配数。
    • 活动:用户在过去 30 天内执行的活动数。
    • 国家/地区:过去 30 天内用户连接的源国家/地区数目。
    • ISP:过去 30 天内用户连接的源 ISP 数目。
    • IP 地址:过去 30 天内用户连接的源 IP 地址数目。

user insights in Defender for Cloud Apps.

IP 地址见解

由于 IP 地址信息对于几乎所有的调查而言都至关重要,因此可以在活动抽屉中查看 IP 地址的详细信息。 从特定活动内部,可以选择“IP 地址”选项卡以查看有关 IP 地址的合并数据,包括特定 IP 地址的打开警报数、最近活动的趋势图和位置图。 例如,在调查无法实现的行程警报时,这样即可轻松深入调查。 可以轻松了解 IP 地址的使用位置以及是否涉及可疑活动。 也可以直接在 IP 地址抽屉中执行操作,从而将 IP 地址标记为有风险、VPN 或公司,以便于以后进行调查或创建策略。

查看 IP 地址见解:

  1. 活动日志中选择活动本身。

  2. 然后选择 “IP 地址 ”选项卡。
    这会打开活动抽屉“IP 地址”选项卡,其中显示有关 IP 地址的以下见解:

    • 未处理警报:涉及此 IP 地址的未处理警报数。
    • 活动:IP 地址在过去 30 天内执行的活动数。
    • IP 位置:IP 地址在过去 30 天内进行连接的地理位置。
    • 活动:在过去 30 天内从此 IP 地址执行的活动数。
    • 管理活动:在过去 30 天内从此 IP 地址执行的管理活动数。
    • 可以执行下列 IP 地址操作:
      • 设置为公司 IP 并添加到允许列表
      • 设置为 VPN IP 地址并添加到允许列表
      • 设置为 Risky IP 并添加到 denylist

    注意

    为了避免员工通过公司 VPN 从家庭位置连接时引发 不可能的旅行 警报,建议将 IP 地址标记为 VPN

IP address insights in Defender for Cloud Apps.

导出活动

可以将所有用户活动导出到 CSV 文件。

活动日志中,在右上角,选择“ 导出 ”按钮。

export button.

注意

本文介绍如何删除设备或服务中的个人数据,并且可为 GDPR 下的任务提供支持。 如果正在查找有关 GDPR 的常规信息,请参阅服务信任门户的 GDPR 部分

后续步骤

保护云环境的日常活动

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证