Atividades API
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
A API de Atividade dá-lhe visibilidade em todas as ações realizadas nas suas aplicações na nuvem. Os dados desta API podem fornecer informações sobre quem faz login em que app e quando, quais os ficheiros que estão a ser descarregados de locais suspeitos, e assim por diante.
As seguintes listas listam os pedidos suportados:
Filtros
Para obter informações sobre como funcionam os filtros, consulte Filtros.
A tabela a seguir descreve os filtros suportados:
| Filtro | Tipo | Operadores | Descrição |
|---|---|---|---|
| serviço | número inteiro | eq, neq | Atividades de filtragem relacionadas com o appID de serviço especificado, por exemplo: 11770 |
| exemplo | número inteiro | eq, neq | Filtrar atividades a partir de instâncias especificadas |
| user.orgUnit | string | eq, neq, isset, isnotset | Filtrar as atividades pela unidade de organização do utilizador performativo |
| atividade.eventType | string | eq, neq | Filtrar atividades por tipo de evento |
| activity.id | string | eq | Encontre uma atividade por ID |
| atividade.personificada | boolean | eq | Se definido como "verdadeiro", retorna apenas eventos personificados, se definidos como "falsos", devolve eventos não-personificados |
| atividade.tipo | boolean | eq | Se definido para "verdadeiro", retorna apenas eventos administrativos, se definidos como "falsos", retorna eventos regulares |
| atividade.takeAction | string | eq, neq | Filtrar as atividades pelas ações que lhes foram tomadas. Valores possíveis incluem: bloco: Bloqueado proxy: Redirecionado para o controlo da sessão BypassProxy: Controlo de sessão de bypass encriptação: Encriptado desencriptado: Desencriptado verificado: Verificado encriptaçãoFailed: A encriptação falhou proteger: Protegido verificar: Exigir autenticação de intensificação nulo: Nenhuma ação |
| dispositivo.tipo | string | eq, neq | Filtrar as atividades por tipo de dispositivo. Valores possíveis incluem: DESKTOP: PC MOBILE: Móvel TABLET: Tablet OUTROS: Outros nulo: Sem valor |
| dispositivo.tags | string | eq, neq | Atividades de filtragem por identificação de etiquetagem de dispositivo |
| userAgent.userAgent | string | contém, ncontains | Filtrar atividades que contêm ou não as cordas dadas no agente do utilizador |
| userAgent.tags | string | eq, neq | Atividades de filtragem que contenham os IDs de identificação de identificação de identificação de agente de utilizador especificados |
| localização.país | string | eq, neq, isset, isnotset | Atividades de filtragem originárias do código país/região especificado |
| localização.organizações | string | eq, neq, isset, isnotset, contém | Atividades de filtragem originárias da organização especificada |
| ip.endereço | string | eq, começa com, não iniciando, isset, isnotset, neq | Atividades de filtragem originárias do endereço IP dado |
| arquitetor | file | eq, neq | Filtrar as atividades que contenham o ficheiro/pasta especificado |
| office365url | string | começa com, eq, termina com | Filtrar atividades por URLs Office 365 |
| fileId | string | eq | Encontre um ficheiro por ID |
| ip.category | número inteiro | eq, neq | Filtrar as atividades com as categorias de sub-redes especificadas. Valores possíveis incluem: 1: Corporativo 2: Administrativo 3: Arriscado 4: VPN 5: Fornecedor de nuvem 6: Outros |
| ip.tags | string | eq, neq | Atividades de filtragem por IDs de marcação IP |
| texto | string | eq, começa com o comsingle, texto | Filtrar as atividades através da realização de uma pesquisa gratuita de texto |
| data | carimbo de data/hora | Ite, gte, alcance, lte_ndays, gte_ndays | Atividades de filtragem que ocorreram no intervalo de tempo especificado |
| política | string | eq, neq, isset, isnotset | Filtrar atividades relacionadas com as políticas especificadas |
| source | string | eq, neq | Filtrar todas as atividades por tipo de origem ou ID de fluxo. Exemplo: [{ "s:stream-id", "t:source-type" }] Os possíveis valores do tipo de origem incluem:0: Controlo de acesso 1: Controlo de sessão 2: Conector de aplicações 3: análise Conector de aplicações 5: Descoberta 6: MDATP |
| atividade.alertId | string | eq | Filtrar todas as atividades relevantes para um ID de alerta |
| atividadeObject | string | eq, neq | Atividades de filtragem que contenham o ID especificado |
| fileLabels | string | eq, neq | Ficheiros de filtro que contenham as etiquetas de ficheiros especificadas (tags) IDs |
| criado | Lte, gte, range, gt, lt, eq | Atividades de filtragem que foram criadas na faixa de tempo especificada | |
| entidade | entidade pk | eq, neq, isset, isnotset, começa com | Filtrar as atividades pela entidade que realizou a atividade. Exemplo: [{ "id": "entity-id", "saas": 11161, "inst": 0 }] |
| user.username | string | eq, neq, isset, isnotset, começa com | Filtrar as atividades do utilizador que realizou a atividade |
| user.tags | string | eq, neq, isset, isnotset, começa com | Filtrar as atividades por etiquetas pertencentes ao utilizador performativo. Requer iDs de grupo |
| user.domain | string | eq, neq, isset, isnotset | Filtrar as atividades pelo domínio do utilizador performativo |
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.