共用方式為

調查活動

  • 發行項

Microsoft Defender for Cloud Apps 可讓您查看連線應用程式中的所有活動。 使用應用程式連接器將 Defender for Cloud Apps 連線到應用程式之後,Defender for Cloud Apps 會掃描發生的所有活動 - 每個應用程式的追溯掃描期間不同 , 然後會以新的活動持續更新。

注意事項

如需 Defender for Cloud Apps 監視Microsoft 365 活動的完整清單,請參閱在合規性中心搜尋稽核記錄

您可以篩選 活動記錄 ,讓您尋找特定活動。 您會根據活動建立原則,然後定義您想要收到警示的內容並採取行動。 您可以搜尋在特定檔案上執行的活動。 我們針對每個活動取得的活動類型和資訊取決於應用程式,以及應用程式可以提供的數據類型。

例如,您可以使用活動記錄來尋找組織中使用過期操作系統或瀏覽器的使用者,如下所示:將應用程式連線至活動記錄頁面中的 Defender for Cloud Apps 之後,請使用進階篩選並選取 [使用者代理程式標籤]。 然後選取 [過期的瀏覽器 ] 或 [ 過期的操作系統]

活動過期瀏覽器範例。

基本篩選器提供絕佳的工具來開始篩選您的活動。

基本活動記錄篩選。

您可以選取 [ 進階篩選 ] 向下切入到更特定的活動,以展開基本篩選。

進階活動記錄篩選。

注意事項

  • 舊版標籤會新增至任何使用舊版「使用者」篩選的活動原則。 此篩選會繼續如往常般運作。 如果您想要移除舊版標籤,您可以移除篩選,然後使用新的 使用者名稱 篩選器再次新增篩選。

  • 在某些罕見的情況下,活動記錄檔中呈現的事件計數可能會顯示比套用篩選並呈現之事件的實際數目稍微高一點的數位。

活動隱藏式選取器

使用活動隱藏式選取器

您可以在 [活動記錄] 中選取 [活動本身],以檢視每個活動的詳細資訊。 這會開啟 [活動] 隱藏式選單,為每個活動提供下列其他動作和深入解析:

  • 相符的原則:選取 [相符的原則 ] 連結,以查看此活動相符的原則清單。

  • 檢視原始資料:選 取 [檢視原始資料 ] 以查看從應用程式收到的實際數據。

  • 用戶:選取使用者以檢視執行活動之用戶的用戶頁面。

  • 裝置類型:選取 [裝置類型 ] 以檢視原始使用者代理程序數據。

  • 位置:選取要在 Bing 地圖服務 中檢視位置的位置。

  • IP 位址類別和標籤:選取IP標籤以檢視在此活動中找到的IP標記清單。 然後,您可以依符合此標籤的所有活動進行篩選。

活動隱藏式選單中的欄位會提供您可能想要直接從隱藏式選單執行之其他活動和向下切入的內容連結。 例如,如果您將游標移到 [IP 位址] 類別旁邊,您可以使用 [新增] 篩選 圖示 新增到篩選 。以立即將 IP 位址新增至目前頁面的篩選。 您也可以使用快顯的設定齒輪圖示 設定圖示 ,直接抵達修改其中一個字段設定所需的設定頁面,例如 使用者群組

您也可以使用索引標籤的圖示來:

  • 檢視相同類型的活動
  • 檢視相同使用者的所有活動
  • 檢視來自相同IP位址的活動
  • 從確切的地理位置檢視活動
  • 檢視同一期間 (48 小時的活動)

活動隱藏式選取器。

如需可用的治理動作清單,請參閱 活動治理動作

使用者深入解析

調查體驗包含有關行動使用者的深入解析。 按兩下即可取得使用者的完整概觀,包括他們連線的位置、涉及的開啟警示數目,以及其元數據資訊。

若要檢視使用者深入解析:

  1. 在 [活動記錄] 中選取 [活動本身]

  2. 然後選取 [ 使用者] 索引 標籤。
    選取它會開啟 [活動] 隱藏式選單 [使用者 ] 索引標籤,提供下列有關使用者的深入解析:

    • 開啟警示:涉及用戶的開啟警示數目。
    • 相符專案:用戶擁有之檔案的原則相符項目數目。
    • 活動:用戶在過去 30 天內執行的活動數目。
    • 國家/地區:用戶在過去 30 天內連線的國家/地區數目。
    • ISP:使用者在過去 30 天內連線的 ISP 數目。
    • IP 位址:使用者在過去 30 天內連線的 IP 位址數目。

Defender for Cloud Apps 中的用戶見解。

IP 位址深入解析

因為IP位址資訊對幾乎所有調查都很重要,所以您可以在 [活動] 隱藏式選單中檢視IP位址的詳細資訊。 從特定活動內,您可以選取 [IP 位址] 索引標籤來檢視 IP 位址的合併數據,包括特定 IP 位址的開啟警示數目、最近活動的趨勢圖,以及位置對應。 例如,在調查不可能的移動警示時,這可讓您輕鬆向下切入。 此外,您可以輕鬆地瞭解IP位址的使用位置,以及其是否涉及可疑活動。 您也可以直接在IP位址隱藏式選單中執行動作,讓您將IP位址標記為具風險、VPN或公司,以簡化未來的調查和原則建立。

若要檢視 IP 位址深入解析:

  1. 在 [活動記錄] 中選取 [活動本身]

  2. 然後選取 [IP 位址] 索引標籤

    這會開啟 [活動隱藏式選單 IP 位址] 索引 標籤,以提供有關 IP 位址的下列深入解析:

    • 開啟警示:涉及IP位址的開啟警示數目。

    • 活動:過去 30 天內 IP 位址所執行的活動數目。

    • IP 位置:過去 30 天內 IP 位址連線的地理位置。

    • 活動:過去 30 天內從此 IP 位址執行的活動數目。

    • 管理員 活動:過去 30 天內從此 IP 位址執行的系統管理活動數目。 您可以執行下列 IP 位址動作:

      • 設定為公司 IP 並新增至 allowlist
      • 設定為 VPN IP 位址並新增至allowlist
      • 設定為具風險的IP並新增至封鎖清單

Defender for Cloud Apps 中的IP位址深入解析。

注意事項

  • 透過 API 連線的雲端應用程式稽核的內部 IPv4 或 IPv6 IP 位址,可能表示雲端應用程式網路內的內部服務通訊,不應與來自裝置所連線來源網路的內部 IP 混淆,因為雲端應用程式不會公開給裝置的內部 IP。
  • 若要避免在員工透過公司 VPN 從其住家位置連線時引發 不可能的移動 警示,建議您將 IP 位址標記為 VPN

匯出活動

您可以將所有用戶活動匯出至 CSV 檔案。

在 [ 活動記錄] 中,選取左上角的 [ 出] 按鈕。

匯出按鈕。

注意事項

本文提供如何從裝置或服務刪除個人資料的步驟,並可用來支援您在GDPR下的義務。 如果您要尋找 GDPR 的一般資訊,請參閱 服務信任入口網站的 GDPR 一節

後續步驟

保護組織的最佳做法

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證