Cloud App Security stellt zahlreiche Optionen zum Speichern oder Anzeigen von Protokolldaten nach der Durchführung einer Suche bereit.
In der folgenden Abbildung und Tabelle werden die Optionen erläutert, die unterhalb der Suchleiste verfügbar sind.
log-search-options.jpg
Protokollergebnisoptionen

Beschreibungen der Protokollergebnisoptionen

Optionen
Beschreibung
log-search-options-s.jpg
Speichern Sie die Protokolldaten als Bericht, der zu einem späteren Zeitpunkt angezeigt werden kann.
log-search-options-e.jpg
Exportieren Sie die Protokolldaten in eine CSV-Datei, um sie als Tabelle anzuzeigen oder in ein anderes Produkt zu importieren.
  • Wählen Sie Aktuelle Ansicht aus, um alle Protokolldatensätze in der aktuellen Ansicht zu exportieren.
  • Wählen Sie Alle Datensätze aus, um alle Protokolldatensätze des ausgewählten Typs zu exportieren. Jedes Mal können maximal 10.000 Datensätze exportiert werden.
log-search-options-p.jpg
Zeigen Sie die Protokolldaten im Browser in der Vorschau an, bevor Sie sie als Bericht speichern.
log-search-options-t.jpg
Zeigen Sie die Protokolldaten in einem Diagramm- oder Tabellenformat an.
In der folgenden Abbildung wird das Sortieren von Protokolldaten beschrieben.
log-sort.jpg
Sortieroptionen für Protokolldaten
Sortieren Sie die Protokolldaten in aufsteigender oder absteigender Reihenfolge auf eine der folgenden Arten:
  • Klicken Sie gegebenenfalls auf den Titelbereich einer Spalte.
  • Klicken Sie gegebenenfalls auf den nach unten weisenden Pfeil rechts neben dem Titelbereich einer Spalte und klicken Sie dann auf Aufsteigend sortieren oder Absteigend sortieren.
Hinweis
Hinweis
Die Sortierung wird für bestimmte Spalten nicht unterstützt, wie z. B. Zusammenfassungsbericht im Protokolltyp Virtual Analyzer, Name des Sicherheitsrisikos im Protokolltyp Suche nach Sicherheitsrisiken und Ransomware-Name im Protokolltyp Ransomware.
Klicken Sie zum Abbrechen der aktuellen Sortierung auf den Titelbereich einer anderen Spalte und sortieren Sie die Protokolldaten neu oder klicken Sie auf den nach unten weisenden Pfeil rechts neben dem Titelbereich und dann auf Sortierung entfernen.
Klicken Sie zum Ausblenden einer Spalte rechts neben dem Titelbereich auf den nach unten weisenden Pfeil und dann auf Spalte ausblenden.
Klicken Sie zum Anzeigen einer ausgeblendeten Spalte auf den Titelbereich einer anderen Spalte.
In der folgenden Abbildung wird erläutert, wie Sie eine ausgelöste Richtlinie oder in Quarantäne befindliche Elemente anzeigen, die sich auf einen betroffenen Benutzer beziehen.
link-to-policy-and-q.jpg
Verknüpfung mit Richtlinien- und Quarantäneoptionen
Klicken Sie im Detailbereich des Protokolls unter Betroffener Benutzer auf den Kontonamen eines Protokollelements. Die Seite Quarantäne wird mit den in Quarantäne befindlichen Elementen geöffnet, die sich auf diesen betroffenen Benutzer beziehen.
Klicken Sie im Detailbereich des Protokolls unter Ausgelöste Richtlinie auf den Richtliniennamen eines Protokollelements. Die Seite mit den Richtlinieneinstellungen für diese Richtlinie wird angezeigt.
In der folgenden Abbildung wird die Anzeige eines BEC-Berichts erläutert, wenn eine E-Mail-Nachricht als BEC-Angriff erkannt wird.
bec-report.jpg
Option „BEC-Bericht“
  1. Wählen Sie Suche nach Sicherheitsrisiken in der Dropdown-Liste Typ und Exchange Online oder Gmail im Protokoll-Facet Suchquelle aus.
  2. Bewegen Sie im Detailbereich des Protokolls unter Name des Sicherheitsrisikos den Mauszeiger über das Element, das die Spam-Kategorie BEC enthält. Der angezeigte BEC-Bericht enthält die möglichen Ursachen, anhand derer die E-Mail-Nachricht als BEC-Angriff eingestuft wird.
Hinweis
Hinweis
Eine E-Mail-Nachricht kann von Cloud App Security in mehrere Spam-Kategorien eingeordnet werden. In diesem Fall
  • werden die Spam-Kategorien nach Priorität der Aktion aufgelistet, die für jede Kategorie festgelegt wurde.
  • Spam-Kategorien mit derselben Aktionspriorität werden gemäß ihren Auswirkungen auf Benutzer in Übereinstimmung mit dem Ergebnis der Trend Micro Anti-Spam-Engine aufgelistet.
In der folgenden Abbildung wird die Anzeige eines umfassenden Berichts für jede Erkennung von vorausschauendem Maschinenlernen erläutert.
predictive-machine-l.jpg
Option „Vorausschauendes Maschinenlernen – Protokolldetails“
  1. Wählen Sie Suche nach Sicherheitsrisiken in der Dropdown-Liste Typ und Vorausschauendes Maschinenlernen im Protokoll-Facet Erkannt von aus.
  2. Klicken Sie im Detailbereich des Protokolls unter Erkannt von auf den Link Vorausschauendes Maschinenlernen.
    Das Fenster Protokolldetails für vorausschauendes Maschinenlernen wird angezeigt und besteht aus zwei Abschnitten:
    • Oberes Banner: Spezielle Details mit Bezug auf die jeweilige Erkennung
    • Steuerelemente der unteren Registerkarte: Details zur Bedrohung durch vorausschauendes Maschinenlernen, einschließlich Bedrohungswahrscheinlichkeiten, potenziellen Bedrohungstypen und Dateiinformationen.

Protokolldetails - Oberes Banner

Abschnitt
Beschreibung
Name der Erkennung
Gibt den Namen der Erkennung für vorausschauendes Maschinenlernen an
Erkennungszeitpunkt/Aktion
Gibt den Zeitpunkt des Auftretens dieser speziellen Erkennung und die gegen die Bedrohung ausgeführte Aktion an
Dateiname
Gibt den Namen der Datei an, die die Erkennung ausgelöst hat
Hinweis
Hinweis
Klicken Sie auf Zur Ausnahmeliste hinzufügen, um den SHA-1-Hashwert der betroffenen Datei schnell zur allgemeinen Ausnahmeliste für das vorausschauende Maschinenlernen hinzuzufügen.
Zeigen Sie die gesamte Ausnahmeliste über VerwaltungAllgemeine EinstellungenAusnahmeliste für das vorausschauende Maschinenlernen an.
Betroffener Benutzer
Bei Exchange Online und Gmail: Zeigt das Postfach eines geschützten Benutzers an, in dem eine E-Mail-Nachricht eingegangen ist oder gesendet wurde, die die Erkennung auslöst
Bei SharePoint Online, OneDrive, Microsoft Teams (Teams), Box, Dropbox und Google Drive: zeigt das Benutzerkonto an, das eine Datei hochgeladen oder geändert hat, die die Erkennung auslöst
Bei Salesforce: zeigt das Benutzerkonto an, das einen Objektdatensatz aktualisiert hat, der gegen eine Richtlinie verstößt
Bei Teams-Chat: zeigt den Benutzer an, der eine private Chat-Nachricht gesendet hat, die gegen eine Richtlinie verstößt

Protokolldetails – Registerkarteninformationen

Registerkarten
Beschreibung
Bedrohungsindikatoren
Stellt die Ergebnisse der Analyse des vorausschauenden Maschinenlernens bereit
  • Bedrohungswahrscheinlichkeit: Gibt an, wie genau die Datei mit dem Malware-Modell übereinstimmt
  • Wahrscheinlicher Bedrohungstyp: Gibt die wahrscheinlichste Art der Bedrohung an, die in der Datei enthalten ist, nachdem die Analyse beim vorausschauenden Maschinenlernen mit anderen bekannten Bedrohungen verglichen wurde
  • Ähnliche bekannte Bedrohungen: Enthält eine Liste der bekannten Bedrohungstypen, die ähnliche Dateifunktionen wie die Erkennung aufweisen
Dateidetails
Enthält allgemeine Details zu den Dateieigenschaften für dieses spezielle Erkennungsprotokoll
(Nur Exchange Online) In der folgenden Abbildung wird gezeigt, wie eine unter Quarantäne gestellte E-Mail-Nachricht im Fenster Protokolle verwaltet wird.
quarantine-on-logs.jpg
Option zur Verwaltung der in Quarantäne befindlichen Elemente
  1. Wählen Sie Suche nach Sicherheitsrisiken in der Dropdown-Liste Typ aus, wählen Sie Exchange Online im Protokoll-Facet Suchquelle aus, wählen Sie Quarantäne im Protokoll-Facet Aktion aus und geben Sie bei Bedarf andere Protokoll-Facets an.
  2. Klicken Sie im Detailbereich des Protokolls unter Aktion für ein Element auf Quarantäne.
  3. Wählen Sie im daraufhin angezeigten Fenster das Element aus und stellen Sie es nach Bedarf wieder her, laden Sie es herunter oder löschen Sie es.
    Hinweis
    Hinweis
    Wenn kein Element im Fenster angezeigt wird, wurde das in Quarantäne befindliche Element möglicherweise bereits wiederhergestellt oder gelöscht. Klicken Sie auf >> Zurück zu den Protokollen und wählen Sie den Protokolltyp Quarantäne aus, um detaillierte Informationen anzuzeigen.
  4. Klicken Sie auf >> Zurück zu den Protokollen.
    Das Fenster Protokolle wird mit dem zuvor konfigurierten Suchkriterium und dem Suchergebnis angezeigt.
(Exchange Online – nur Inline-Modus) Nachfolgend wird beschrieben, wie die E-Mail-Nachverfolgungsprotokolle für eine E-Mail angezeigt werden, die an andere Benutzer als die ursprünglich beabsichtigten Empfänger umgeleitet wurde.
  1. Wählen Sie Prävention vor Datenverlust in der Dropdown-Liste Typ aus, wählen Sie Exchange Online (Inline-Modus) im Protokoll-Facet Suchquelle aus, wählen Sie Empfänger ändern im Protokoll-Facet Aktion aus und geben Sie bei Bedarf andere Protokoll-Facets an.
  2. Klicken Sie im Detailbereich des Protokolls unter Aktion für ein Element auf Empfänger ändern.
    Auf dem angezeigten Bildschirm können Sie die E-Mail-Nachverfolgungsprotokolle für diese E-Mail finden, einschließlich Informationen sowohl über den Benutzer, an den die E-Mail umgeleitet wird, als auch über die ursprünglich beabsichtigten Empfänger.
Nachfolgend wird beschrieben, wie der Virtual Analyzer-Bericht für erkannte bösartige Dateien oder URLs angezeigt wird.
  1. Wählen Sie Virtual Analyzer in der Dropdown-Liste Typ und wählen Sie Bösartige Dateien oder Bösartige URLs im Protokoll-Facet Bedrohungstyp aus.
  2. Klicken Sie unter Zusammenfassungsbericht auf Bericht herunterladen.
Nachfolgend wird beschrieben, wie die Quellinformationen über Ransomware angezeigt werden.
  1. Wählen Sie Ransomware in der Dropdown-Liste Typ aus.
  2. Bewegen Sie unter Ransomware-Name den Mauszeiger über eine Ransomware-Bedrohung und zeigen Sie die Domäne, die IP und den Ort der Ransomware an.