활동 API
참고
Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.
Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.
활동 API를 사용하면 클라우드 앱에서 수행되는 모든 작업을 볼 수 있습니다. 이 API의 데이터는 앱에 로그인하는 사용자 및 시기, 의심스러운 위치에서 다운로드되는 파일 등에 대한 정보를 제공할 수 있습니다.
다음은 지원되는 요청을 나열합니다.
필터
필터 작동 방식에 대한 자세한 내용은 필터를 참조하세요.
다음 표에서는 지원되는 필터에 대해 설명합니다.
| 필터 | 유형 | 연산자 | 설명 |
|---|---|---|---|
| service | integer | eq, neq | 지정된 서비스 appID와 관련된 작업 필터링(예: 11770) |
| 인스턴스 | integer | eq, neq | 지정된 인스턴스에서 활동 필터링 |
| user.orgUnit | 문자열 | eq, neq, isset, isnotset | 수행 중인 사용자의 조직 단위별로 활동 필터링 |
| activity.eventType | 문자열 | eq, neq | 이벤트 유형별 활동 필터링 |
| activity.id | 문자열 | eq | ID별 활동 찾기 |
| activity.impersonated | boolean | eq | "true"로 설정하면 가장된 이벤트만 반환하고, "false"로 설정된 경우 가장되지 않은 이벤트를 반환합니다. |
| activity.type | boolean | eq | "true"로 설정하면 관리 이벤트만 반환하고"false"로 설정된 경우 일반 이벤트를 반환합니다. |
| activity.takenAction | 문자열 | eq, neq | 작업을 수행한 작업별로 필터링합니다. 가능한 값은 다음과 같습니다. 블록: 차단됨 proxy: 세션 제어로 리디렉션됨 BypassProxy: 세션 제어 우회 encrypt: Encrypted decrypt: 암호 해독됨 확인됨: 확인됨 encryptionFailed: 암호화 실패 protect: Protected 확인: 단계별 인증 필요 null: 작업 없음 |
| device.type | 문자열 | eq, neq | 디바이스 유형별로 활동을 필터링합니다. 가능한 값은 다음과 같습니다. 데스크톱: PC 모바일: 모바일 태블릿: 태블릿 기타: 기타 null: 값 없음 |
| device.tags | 문자열 | eq, neq | 디바이스 태그 ID별로 활동 필터링 |
| userAgent.userAgent | 문자열 | contains, ncontains | 사용자 에이전트에서 지정된 문자열을 포함하거나 포함하지 않는 작업 필터링 |
| userAgent.tags | 문자열 | eq, neq | 지정된 사용자 에이전트 태그 ID를 포함하는 작업 필터링 |
| location.country | 문자열 | eq, neq, isset, isnotset | 지정된 국가/지역 코드에서 시작된 작업 필터링 |
| location.organizations | 문자열 | eq, neq, isset, isnotset, contains | 지정된 조직에서 시작된 작업 필터링 |
| ip.address | 문자열 | eq, startswith, doesnotstartwith, isset, isnotset, neq | 지정된 IP 주소에서 시작된 작업 필터링 |
| fileSelector | 파일 | eq, neq | 지정된 파일/폴더를 포함하는 필터 활동 |
| office365url | 문자열 | startswith, eq, endswith | Office 365 URL별로 활동 필터링 |
| fileId | 문자열 | eq | ID로 파일 찾기 |
| ip.category | integer | eq, neq | 지정된 서브넷 범주를 사용하여 활동을 필터링합니다. 가능한 값은 다음과 같습니다. 1: 회사 2: 관리 3: 위험 4: VPN 5: 클라우드 공급자 6: 기타 |
| ip.tags | 문자열 | eq, neq | IP 태그 ID별로 활동 필터링 |
| text | 문자열 | eq, startswithsingle, text | 무료 텍스트 검색을 수행하여 활동 필터링 |
| date | timestamp | lte, gte, range, lte_ndays, gte_ndays | 지정된 시간 범위에서 발생한 작업 필터링 |
| policy | 문자열 | eq, neq, isset, isnotset | 지정된 정책과 관련된 작업 필터링 |
| source | 문자열 | eq, neq | 모든 활동을 원본 유형 또는 스트림 ID별로 필터링합니다. 예: [{ "s:stream-id", "t:source-type" }] 가능한 소스 형식 값은 다음과 같습니다.0: 액세스 제어 1: 세션 제어 2: 앱 커넥터 3: 앱 커넥터 분석 5: 검색 6: MDATP |
| activity.alertId | 문자열 | eq | 경고 ID와 관련된 모든 활동 필터링 |
| activityObject | 문자열 | eq, neq | 지정된 ID를 포함하는 작업 필터링 |
| fileLabels | 문자열 | eq, neq | 지정된 파일 레이블(태그) ID를 포함하는 파일 필터링 |
| created | lte, gte, range, gt, lt, eq | 지정된 시간 범위에서 만든 필터 활동 | |
| 엔터티 | 엔터티 pk | eq, neq, isset, isnotset, startswith | 활동을 수행한 엔터티별로 활동을 필터링합니다. 예: [{ "id": "entity-id", "saas": 11161, "inst": 0 }] |
| user.username | 문자열 | eq, neq, isset, isnotset, startswith | 활동을 수행한 사용자별 활동 필터링 |
| user.tags | 문자열 | eq, neq, isset, isnotset, startswith | 수행 중인 사용자에 속하는 태그로 활동을 필터링합니다. 그룹 ID 필요 |
| user.domain | 문자열 | eq, neq, isset, isnotset | 수행 중인 사용자 도메인별 작업 필터링 |
문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.