Investigar atividades
O Microsoft Defender para Aplicativos de Nuvem proporciona visibilidade de todas as atividades de seus aplicativos conectados. Depois de conectar o Defender para Aplicativos de Nuvem a um aplicativo usando o Conector de aplicativos, o Defender para Aplicativos de Nuvem examinará todas as atividades que ocorreram – o período de tempo de verificação retroativo é diferente de acordo com o aplicativo – e, em seguida, ele será constantemente atualizado com novas atividades.
Observação
Para obter uma lista completa das atividades do Microsoft 365 monitoradas pelo Defender para Aplicativos de Nuvem, consulte Pesquisar o log de auditoria no centro de conformidade.
O Log de atividades pode ser filtrado para permitir que você encontre atividades específicas. Crie políticas com base nas atividades e, em seguida, defina sobre o que você deseja ser alertado e agir. É possível pesquisar atividades executadas em determinados arquivos. O tipo de atividades e as informações que recebemos para cada atividade dependem do aplicativo e do tipo de dados que ele pode fornecer.
Por exemplo, é possível usar o Log de atividades para encontrar usuários na sua organização que estejam usando sistemas operacionais ou navegadores desatualizados da seguinte maneira: depois de conectar um aplicativo ao Defender para Aplicativos de Nuvem, na página Log de atividades, use o filtro avançado e selecione Marcação do agente do usuário. Em seguida, selecione Navegador desatualizado ou Sistema operacional desatualizado.
O filtro básico fornece excelentes ferramentas para começar a usar a filtragem de suas atividades.
Você pode expandir o filtro básico selecionando Filtros avançados para fazer uma busca detalhada de atividades mais específicas.
Observação
A tag Legacy é adicionada a qualquer política de atividade que use o filtro "usuário" mais antigo. Esse filtro continuará funcionando normalmente. Se quiser remover a marca Legacy, remova o filtro e adicione-o novamente usando o novo filtro Nome de usuário.
Em alguns casos raros, a contagem dos eventos apresentados no registro de atividades pode mostrar um número ligeiramente maior do que o número real de eventos que se aplicam ao filtro e que estão sendo apresentados.
A Gaveta de atividades
Trabalhando com a Gaveta de atividades
Você pode exibir mais informações sobre cada atividade selecionando a própria atividade no log de atividades. Isso abre a Gaveta de atividades, que fornece as seguintes ações adicionais e informações para cada atividade:
Políticas correspondentes: selecione o link Políticas correspondentes para ver uma lista de políticas nessa atividade correspondente.
Exibir dados brutos: selecione Exibir dados brutos para ver os dados reais que foram recebidos do aplicativo.
Usuário: selecione o usuário para exibir a página do usuário que executou a atividade.
Tipo de dispositivo: selecione Tipo de dispositivo para visualizar os dados brutos do agente do usuário.
Local: selecione o local para exibir o local no Bing Mapas.
Marcas e categoria de endereço IP: selecione a tag de IP para exibir a lista de marcas de IP encontradas nessa atividade. Em seguida, você pode filtrar por todas as atividades correspondentes nessa marca.
Os campos na gaveta Atividade fornecem links contextuais para atividades adicionais e análises detalhadas que você talvez queira executar diretamente na gaveta. Por exemplo, se você mover o cursor para próximo da categoria de endereço IP, pode usar o ícone para adicionar filtro para adicionar imediatamente o endereço IP ao filtro da página atual. Você também pode usar o ícone de engrenagem de configurações que aparece diretamente na página de configurações necessária para alterar a configuração de um dos campos, como Grupos de usuários.
Use os ícones na parte superior da guia para:
- Exibir atividades do mesmo tipo
- Exibir todas as atividades do mesmo usuário
- Exibir atividades do mesmo endereço IP
- Visualizar atividades da mesma localização geográfica
- Exibir atividades do mesmo período (48 horas)
Para obter uma lista das ações de governança disponíveis, consulte Ações de governança de atividade.
Informações de usuário
A experiência de investigação inclui insights sobre o usuário em ação. Com um único clique, é possível obter uma visão abrangente do usuário, incluindo por meio de qual local ele se conectou, com quantos alertas em aberto ele está envolvido e suas informações de metadados.
Para exibir informações de usuário:
Selecione a atividade em si no Log de atividades.
Em seguida, selecione a guia Usuário.
Selecioná-lo abre a Gaveta de atividades. A guia Usuário fornece os seguintes insights sobre o usuário:- Abrir alertas: o número de alertas abertos envolvendo o usuário.
- Corresponde: ao número de correspondências de política para arquivos pertencentes ao usuário.
- Atividades: o número de atividades executadas pelo usuário nos últimos 30 dias.
- Países: o número de países dos quais o usuário se conectou nos últimos 30 dias.
- ISPs: o número de ISPs dos quais o usuário se conectou nos últimos 30 dias.
- Endereços IP: o número de endereços IP dos quais o usuário se conectou nos últimos 30 dias.
Informações sobre endereço IP
Como as informações de endereço IP são cruciais para quase todas as investigações, você pode exibir informações detalhadas sobre endereços IP na Gaveta de atividades. De dentro de uma atividade específica, você pode selecionar a guia de endereço IP para exibir os dados consolidados sobre o endereço IP, incluindo o número de alertas abertos para o endereço IP específico, um gráfico de tendência de atividade recente e um mapa do local. Isso permite fazer uma busca detalhada ao investigar alertas de viagens impossíveis, por exemplo. Além disso, você pode compreender facilmente onde o endereço IP foi usado e se estava envolvido em atividades suspeitas. Você também pode executar ações diretamente na gaveta do endereço IP que permite que você marque um endereço IP como arriscado, VPN ou corporativo para facilitar a criação de políticas e a futura investigação.
Para exibir as informações sobre endereço IP:
Selecione a atividade em si no Log de atividades.
Em seguida, selecione a guia Endereço IP.
Esse recurso abre a guia Endereço IP da Gaveta de atividades, que fornece as seguintes informações sobre o endereço IP:
Abrir alertas: o número de alertas abertos envolvendo o endereço IP.
Atividades: o número de atividades executadas pelo endereço IP nos últimos 30 dias.
Localização do IP: as localizações geográficas a partir das quais o endereço IP foi conectado nos últimos 30 dias.
Atividades: o número de atividades executadas a partir do endereço IP nos últimos 30 dias.
Atividades administrativas: o número de atividades administrativas executadas a partir do endereço IP nos últimos 30 dias. Você pode executar as seguintes ações de endereço IP:
- Definir como IP corporativo e adicionar à lista de permitidos
- Definir como endereço IP de VPN e adicionar à lista de permitidos
- Definir como IP arriscado e adicionar à lista de bloqueio
Observação
- Os endereços IP IPv4 ou IPv6 internos auditados pelos aplicativos de nuvem conectados com a API podem indicar comunicações de serviços internos dentro da rede do aplicativo de nuvem e não devem ser confundidos com IPs internos da rede de origem da qual o dispositivo se conectou, pois o aplicativo de nuvem não está exposto aos IPs internos dos dispositivos.
- Para evitar gerar alertas de viagem impossível quando os funcionários se conectam de seus locais de origem via VPN corporativa, é recomendável marcar o endereço IP como VPN.
Exportar atividades
Você pode exportar todas as atividades do usuário para um arquivo CSV.
No Log de atividades, selecione o botão Exportar no canto superior direito.
Observação
Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Se você estiver buscando informações gerais sobre o GDPR, confira a seção GDPR do portal do serviço de confiança.
Próximas etapas
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.