活動篩選與查詢
本文提供 適用於雲端的 Defender Apps 活動篩選和查詢的描述和指示。
活動篩選
以下是可套用的活動篩選清單。 大部分篩選都支援多個值,以及 NOT ,為您提供強大的原則建立工具。
活動識別碼 - 依據識別碼,僅搜尋特定活動。 當您將 適用於雲端的 Microsoft Defender Apps 連線到 SIEM(使用 SIEM 代理程式),而且您想要進一步調查 適用於雲端的 Defender Apps 入口網站內的警示時,此篩選非常有用。
活動物件 – 搜尋活動已完成的對象物件。 此篩選適用於檔案、資料夾、使用者或應用程式物件。
活動物件識別碼 - 物件 (檔案、資料夾、使用者或應用程式識別碼) 的識別碼。
專案 - 可讓您依任何活動物件的名稱或標識子搜尋 (例如,使用者名稱、檔案、參數、網站)。 針對 [活動物件專案] 篩選,您可以選取是否要篩選包含、等於或以特定項目開頭的專案。
動作類型 - 搜尋應用程式中執行的更特定動作。
活動類型 - 搜尋應用程式活動。
注意
只有在該應用程式有活動時,才會將應用程式新增至篩選。
系統管理活動 – 僅搜尋管理活動。
注意
適用於雲端的 Defender 應用程式無法將 Google Cloud Platform (GCP) 系統管理活動標示為系統管理活動。
警示識別碼 - 依警示識別碼搜尋。
應用程式 – 只搜尋特定應用程式內的活動。
套用的動作 - 依套用的治理動作搜尋:封鎖、旁路 Proxy、解密、加密、加密失敗、無動作。
日期 – 活動發生的日期。 篩選支援日期前/後與日期範圍。
裝置標籤 - 依 Intune 相容、 已加入 Microsoft Entra 混合式或 有效的用戶端憑證進行搜尋。
裝置類型 - 僅搜尋使用特定裝置類型所完成的活動。 例如,搜尋來自行動裝置、電腦或平板電腦的所有活動。
檔案和資料夾 - 搜尋執行活動所在的文件和資料夾。
- 檔案識別碼 - 可讓您依執行活動所在的檔案識別碼來搜尋。
- 名稱 - 依檔案或資料夾名稱篩選。 您可以選取名稱是否 [結尾為]、[等於] 或 [開頭為] 您的搜尋值。
- 特定檔案或資料夾 - 您可以包含或排除特定檔案或資料夾。 選取檔案或資料夾時,您可以依 應用程式、 擁有者或部分 檔名來篩選清單。
IP 位址 - 執行活動來源的原始 IP 位址、類別或標記。
- 未經處理的 IP 位址 - 可讓您搜尋在未經處理的 IP 位址上或由其執行的活動。 未經處理的 IP 位址可等於、不等於、開頭為或開頭不為特定順序。
- IP 類別 - 活動執行所在的 IP 位址類別,例如,來自系統管理 IP 位址範圍的所有活動。 類別必須設定為包含相關的IP位址。 某些IP預設可能會分類。 例如,Microsoft 威脅情報來源會考慮的IP位址會分類為具風險。 若要了解如何設定 IP 類別,請參閱依據需求來組織資料。
- IP 標記 - 執行活動的來源 IP 位址標記;例如,來自匿名 Proxy IP 位址的所有活動。 適用於雲端的 Defender Apps 會建立一組無法設定的內建IP標籤。 此外,您可以設定IP標籤。 如需設定 IP 標籤的詳細資訊,請參閱 根據您的需求組織數據。
內建IP標籤包含下列專案:
- Microsoft 應用程式 (其中的 14 個)
- 匿名 Proxy
- 殭屍網路 (您會看到活動由殭屍網路所執行,並附有連結供您深入了解特定殭屍網路)
- Darknet 掃描 IP
- 惡意程式碼 C&C 伺服器
- Remote Connectivity Analyzer
- 衛星提供者
- 智慧型 Proxy 和存取 Proxy (故意省略)
- Tor 結束節點
- Zscaler
模擬活動 – 僅搜尋以其他使用者名稱所執行的活動。
執行個體 - 活動已執行或未執行的所在應用程式執行個體。
位置 – 活動執行所在的國家/地區。
比對原則 – 搜尋符合入口網站中設定之特定原則的活動。
已註冊的 ISP – 執行活動的來源 ISP。
來源 - 依據偵測到其中有活動的來源進行搜尋。 來源可以是下列任一項:
- 應用程式連線程式 - 直接從應用程式的 API 連接器取得的記錄。
- 應用程式連線程式 分析 - 根據 API 連接器掃描的資訊,適用於雲端的 Defender Apps 擴充。
使用者 - 執行活動的使用者,可使用網域、群組、名稱或組織進行篩選。 若要篩選沒有特定用戶的活動,您可以使用 「未設定」運算符。
- 使用者網域 - 搜尋特定使用者網域。
- 使用者組織 – 執行活動之使用者所屬的組織單位,例如 EMEA_marketing 使用者所執行的所有活動。 這隻適用於使用組織單位的已連線 Google 工作區實例。
- 使用者群組 – 您可以從連線的應用程式匯入的特定使用者群組,例如 Microsoft 365 系統管理員。
- 使用者名稱 - 搜尋特定的使用者名稱。 若要查看特定使用者群組中的使用者清單,請在 活動選單中選取使用者群組的名稱。 按兩下會帶您前往 [帳戶] 頁面,其中會列出群組中的所有使用者。 您可以從該處向下鑽研群組中特定使用者的帳戶詳細資料。
- [使用者群組] 和 [使用者名稱篩選] 可以使用 [身分篩選] 和選取使用者的角色進一步篩選,這可以是下列任一項:
- 僅限活動物件 - 表示選取的用戶或使用者群組未執行有問題的活動;它們是活動的物件。
- 僅活動執行者 - 這表示使用者或使用者群組執行了活動。
- 任何角色 - 表示使用者或使用者群組參與活動,可以是執行活動的人員或活動物件。
使用者代理程式 – 執行活動的來源使用者代理程式。
使用者代理程式標籤 – 內建的使用者代理程式標籤,例如來自過時作業系統或過時瀏覽器的所有活動。
活動查詢
為更簡化調查,您現在可以建立自訂的查詢,並儲存以供日後使用。
- 如有需要,在 [活動記錄] 頁面中,使用上文描述的篩選向下鑽研至您的應用程式。
完成查詢建置之後,請選取 [ 另存新檔] 按鈕。
在 [ 儲存查詢] 彈出視窗中,為您的查詢命名。
日後若要再次使用這項查詢,請在 [查詢] 下向下捲動至 [儲存查詢],並選取您的查詢。
適用於雲端的 Defender Apps 也提供您建議的查詢。 建議的查詢可提供您篩選活動的建議調查途徑。 您可以編輯這些查詢,並將其儲存為自定義查詢。 下列是選用的建議查詢:
管理員 活動 - 篩選所有活動,只顯示涉及系統管理員的活動。
下載活動 - 篩選您的所有活動,只顯示下載活動的這些活動,包括將使用者清單下載為.csv檔案、下載共享內容,以及下載資料夾。
登入失敗 - 篩選所有活動,只顯示失敗的登入和透過 SSO 失敗的登入
檔案和資料夾活動 - 篩選所有活動,只顯示涉及檔案和資料夾的活動。 篩選包括上傳、下載和存取資料夾,以及建立、刪除、上傳、下載、隔離,以及存取檔案和傳輸內容。
模擬活動 - 篩選所有活動,只顯示模擬活動。
密碼變更和重設要求 - 篩選所有活動,只顯示涉及密碼重設、變更密碼,以及強制使用者在下次登入時變更密碼的活動。
共用活動 - 篩選您的所有活動,只顯示涉及共用資料夾和檔案的活動,包括建立公司連結、建立匿名連結,以及授與讀取/寫入許可權。
成功登入 - 篩選所有活動,只顯示涉及成功登入的活動,包括模擬動作、模擬登入、單一登錄,以及從新裝置登入。
此外,您也可以使用建議的查詢開始新的查詢。 首先,選取其中一個建議的查詢。 然後,視需要進行變更,最後選取 [ 另存新檔 ] 以建立新的 已儲存查詢。
查詢活動六個月回來
若要調查超過 30 天的活動,您可以流覽至 [活動記錄 ],然後選取 畫面右上角的 [調查 6 個月 ]:
您可以從該處定義篩選,如同使用活動記錄檔一般完成,但有下列差異:
日期篩選是必要條件,且限制為一周範圍。 這表示,雖然您可以查詢最多六個月的活動,但一次只能執行一周的時間。
只有下列欄位支援查詢超過 30 天的時間:
- 活動識別碼
- 活動類型
- 動作類型
- 應用程式
- IP 位址
- Location
- 使用者名稱
例如:
