使用应用程序活动仪表板

本文解释如何使用应用程序活动仪表板来监控SaaS应用程序中的活动。应用程序活动仪表板是在Cato管理应用程序内的一个标签页，用于应用程序监控。

概览

应用程序活动仪表板提供了SaaS应用程序中用户活动的集中和全面可见性，适用于您的生态系统。该仪表板包含来自多个功能的数据，用于结合在线和带外监控的被批准和未批准的应用程序。这使您能够检测任何异常活动，确保合规性，并简化跨单一仪表板的事件响应。

应用程序活动仪表板让您可以监控：

影子IT和被批准应用程序中的用户活动
- 基于来自您的应用控制策略的在线流量检查，您可以查看每个用户采取的活动
- 如果启用应用控制和TLS检查，这些数据仅在云活动仪表板中显示
- 有关详细信息，请参见云访问安全代理（CASB）
非管理用户和管理用户的每个活动
- 基于与批准的应用程序的API集成
- 有关详细信息，请参阅什么是应用活动
登录批准的应用程序
- 基于用户使用单点登录进行应用程序登录以及与您的身份提供者的API集成
- 支持Entra ID
- 有关详细信息，请参阅配置Microsoft Entra ID（Azure AD）连接器和配置Microsoft Entra ID保护连接器用于登录异常数据

注意

注意： 仪表板中的某些小部件需要应用控制已启用一项规则，监控所有云应用程序的云活动。

访问应用活动仪表板

应用活动仪表板是Cato管理应用程序（CMA）中应用程序监控的一个标签页。有关其他标签页的详细信息，请参阅使用应用程序仪表板。

访问应用活动仪表板：

从导航菜单中，点击安全性 > 应用程序。
点击活动标签页。

了解应用活动仪表板的一般组件

审核活动部分中的小部件包含两个组件，以帮助您识别使用趋势：

内联/API切换： 这个切换可以在被内联监控的应用程序和通过API监控的应用程序之间切换数据。
增长/下降指标： 如果特定的度量在定义的期间内变化超过100%，指标旁边将出现一个箭头。如果有增加，则有一个红色箭头向上。如果有下降，则有一个绿色箭头向下。通过移动到度量上，您可以查看精确的百分比变化。
活动类别： 在应用程序中采取的活动在仪表板中分组为活动类别。这让您能够跟踪、过滤和可视化SaaS活动，以高效管理和调查用户行为。有关详细信息，请参阅什么是通过API进行的应用控制与审核活动？。

用例

这些是你可以从应用活动仪表板小部件获得的洞察示例：

可疑下载： 检测大规模或异常的数据下载。例如，某个特定员工下载的数据显著多于平常，这可能指示数据泄露或内部威胁。
权限变更： 跟踪和审查用户权限被更改的实例，有助于识别未经授权的访问或权限提升。

开始使用应用活动仪表板

应用活动仪表板被分为三个部分：

概述： 您的生态系统中使用的应用程序数量的高级汇总
审核活动： 执行的操作、涉及的应用程序以及执行操作的用户在内联和带外应用程序中的汇总。
SSO登录： 您的组织的Microsoft Entra ID租户中的SSO登录事件可视化

这些表格解释了应用活动仪表板中的小部件。

了解概述部分

该表解释了概述部分中的小部件：

名称	描述
内联监控的应用程序	由云访问安全代理解决方案监控的应用程序数量。当您更改时间范围或过滤器时，此值不会受影响。
通过API监控的应用程序	由API监控的应用程序数量。当您更改时间范围或过滤器时，此值不会受影响。
未经批准的	在您的帐户中使用的未经批准的应用程序数量。当您更改时间范围或过滤器时，此值不会受影响。
在非卡托网络中访问的	在卡托之外访问的应用数量（例如在云应用程序中 – 仅当配置了EntraID时才出现）。

了解审核活动部分

该表解释了审核活动部分中的小部件：

名称	描述
活动随时间变化	在时间范围和过滤器中每个活动类别出现的频率。
用户	每个用户完成一项活动的频率。
活动分布	每项活动的分布占总活动的百分比。
应用程序	每个应用程序中活动发生的频率。
文件	已上传或下载的文件。

理解SaaS异常活动部分

SaaS异常活动部分包含两个小工具，SaaS发现，显示按其标题或严重程度分类的SaaS异常活动事件数量。应用程序小工具显示检测到SaaS异常活动的应用程序。

理解SSO登录部分

本表解释了SSO登录部分中的小部件：

名称	描述
批准的应用程序登录活动	显示您的组织使用SSO的所有批准的SaaS应用程序的SSO登录信息。您可以点击应用程序行以显示为该应用程序的登录事件预过滤的事件页面。这些是小部件列： # 登录 - 应用程序的总登录次数，包括成功和失败的登录 # 外部 Cato - 表示直接通过公共互联网而不是通过 Cato 云进行应用程序认证的用户。通过公共互联网的应用流量未受 Cato 云安全服务保护。 # 登录失败 - 应用程序的登录失败尝试次数 # 租户数量 - 与此应用程序的登录关联的 Entra ID 租户数量。如果您已配置外部 ID 跨租户访问，并且登录来自外部来源，则此数字可能包括组织外部的租户。将鼠标悬停在租户数量上，然后悬停在工具提示上以显示租户 ID，如它们在应用程序的登录事件中出现时一样。您可以使用租户 ID 过滤事件页面以显示该租户的事件。如果登录来自您组织外部的来源，您可以使用租户 ID 查看关联事件中有关外部来源的详细信息点击应用程序行以显示为该应用程序的登录事件预过滤的事件页面
按国家划分的活动类别	显示每个国家的登录信息如下： # 登录 - 国内总登录次数，包括成功和失败的登录 # 登录失败 - 国内登录失败尝试次数
登录失败的顶级用户	列出单一应用程序登录失败次数最多的用户，包括应用程序名称和登录失败次数。
卡托网络外的顶级登录	列出在卡托网络外单一应用程序登录次数最多的用户，包括应用程序名称和登录失败次数。
最高登录异常	列出拥有最多登录异常的用户。
随时间变化的登录活动	在时间线上绘制总登录和登录失败次数将鼠标悬停在图表上以显示时间线上某个点的登录详细信息点击切换按钮以显示或隐藏图表点击并拖动以在以下位置放大：登录时间登录次数
异常	您在Entra ID租户中的异常登录可能指示恶意活动。异常类型包括：非典型旅行，异常令牌，可疑浏览器，不熟悉的登录属性，恶意IP地址，可疑的收件箱操作规则，密码喷洒，不可能的旅行，新国家，从匿名IP地址的活动，可疑的收件箱转发，对敏感文件的大规模访问，已验证的威胁行为者IP，检测到额外的风险，匿名IP地址，管理员确认用户被攻击，Microsoft Entra威胁情报。
按操作系统的登录分布	显示在每个操作系统上执行的应用程序登录次数。将鼠标悬停在图表部分上可显示该操作系统的登录次数及其在总登录中的百分比。
按浏览器分类的登录统计	显示在每个浏览器上执行的应用程序登录次数。将鼠标悬停在图表部分上可显示该浏览器的登录次数及其在总登录中的百分比。