API Attività
Nota
Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.
Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.
L'API Attività offre visibilità su tutte le azioni eseguite nelle app cloud. I dati di questa API possono fornire informazioni su chi accede a quale app e quando, quali file vengono scaricati da posizioni sospette e così via.
Di seguito sono elencate le richieste supportate:
Filtri
Per informazioni sul funzionamento dei filtri, vedere Filtri.
La tabella seguente descrive i filtri supportati:
| Filtra | Tipo | Operatori | Descrizione |
|---|---|---|---|
| service | numero intero | eq, neq | Filtrare le attività correlate all'ID app del servizio specificato, ad esempio: 11770 |
| instance | numero intero | eq, neq | Filtrare le attività dalle istanze specificate |
| user.orgUnit | string | eq, neq, isset, isnotset | Filtrare le attività in base all'unità organizzativa dell'utente che esegue |
| activity.eventType | string | eq, neq | Filtrare le attività in base al tipo di evento |
| activity.id | string | eq | Trovare un'attività in base all'ID |
| activity.impersonated | boolean | eq | Se impostato su "true", restituisce solo gli eventi rappresentati, se impostato su "false", restituisce eventi non rappresentati |
| activity.type | boolean | eq | Se impostato su "true", restituisce solo gli eventi di amministrazione, se impostato su "false", restituisce eventi regolari |
| activity.takenAction | string | eq, neq | Filtrare le attività in base alle azioni eseguite su di esse. I valori possibili sono: blocco: bloccato proxy: reindirizzato al controllo sessione BypassProxy: Ignorare il controllo sessione encrypt: crittografato decrittografia: decrittografata verificato: verificato encryptionFailed: Crittografia non riuscita protezione: protetta verify: richiedere l'autenticazione dettagliata null: nessuna azione |
| device.type | string | eq, neq | Filtrare le attività in base al tipo di dispositivo. I valori possibili sono: DESKTOP: PC MOBILE: Mobile TABLET: tablet ALTRO: Altro null: nessun valore |
| device.tags | string | eq, neq | Filtrare le attività in base agli ID tag del dispositivo |
| userAgent.userAgent | string | contiene, n contiene | Filtrare le attività che eseguono o non contengono le stringhe fornite nell'agente utente |
| userAgent.tags | string | eq, neq | Filtrare le attività contenenti gli ID tag dell'agente utente specificati |
| location.country | string | eq, neq, isset, isnotset | Filtrare le attività provenienti dal codice paese/area geografica specificato |
| location.organizations | string | eq, neq, isset, isnotset, contains | Filtrare le attività provenienti dall'organizzazione specificata |
| ip.address | string | eq, startswith, doesnotstartwith, isset, isnotset, neq | Filtrare le attività provenienti dall'indirizzo IP specificato |
| fileSelector | file | eq, neq | Filtrare le attività contenenti il file o la cartella specificati |
| office365url | string | startswith, eq, endswith | Filtrare le attività in base agli URL di Office 365 |
| fileId | string | eq | Trovare un file in base all'ID |
| ip.category | numero intero | eq, neq | Filtrare le attività con le categorie di subnet specificate. I valori possibili sono: 1: Azienda 2: Amministrativo 3: Rischioso 4: VPN 5: Provider di servizi cloud 6: Altro |
| ip.tags | string | eq, neq | Filtrare le attività in base agli ID tag IP |
| text | string | eq, startswithsingle, text | Filtrare le attività eseguendo una ricerca di testo libero |
| Data | timestamp | lte, gte, range, lte_ndays, gte_ndays | Filtrare le attività che si sono verificate nell'intervallo di tempo specificato |
| Criterio | string | eq, neq, isset, isnotset | Filtrare le attività correlate ai criteri specificati |
| source | string | eq, neq | Filtrare tutte le attività in base al tipo di origine o all'ID flusso. Esempio: [{ "s:stream-id", "t:source-type" }] I possibili valori del tipo di origine includono:0: Controllo di accesso 1: Controllo sessione 2: Connettore app 3: analisi Connettore app 5: Individuazione 6: MDATP |
| activity.alertId | string | eq | Filtrare tutte le attività rilevanti per un ID avviso |
| activityObject | string | eq, neq | Filtrare le attività contenenti l'ID specificato |
| fileLabels | string | eq, neq | Filtrare i file contenenti gli ID di etichette file (tag) specificati |
| created | lte, gte, range, gt, lt, eq | Filtrare le attività create nell'intervallo di tempo specificato | |
| Entità | pk dell'entità | eq, neq, isset, isnotset, startswith | Filtrare le attività in base all'entità che ha eseguito l'attività. Esempio: [{ "id": "entity-id", "saas": 11161, "inst": 0 }] |
| user.username | string | eq, neq, isset, isnotset, startswith | Filtrare le attività in base all'utente che ha eseguito l'attività |
| user.tags | string | eq, neq, isset, isnotset, startswith | Filtrare le attività in base ai tag appartenenti all'utente che esegue. Richiede ID gruppo |
| user.domain | string | eq, neq, isset, isnotset | Filtrare le attività in base al dominio utente che esegue |
Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.