Investigar as atividades com a API
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Pode utilizar as AP's de Atividades para investigar as atividades realizadas pelos seus utilizadores através de aplicações de nuvem conectadas.
O modo API de atividades está otimizado para digitalização e recuperação de grandes quantidades de dados (mais de 5.000 atividades). A API consulta os dados da atividade repetidamente até que todos os resultados tenham sido digitalizados.
Nota
Para grandes quantidades de atividades e implantações em larga escala, recomendamos que utilize o agente SIEM para digitalização de atividades.
Para usar o script de digitalização de atividade
- Execute a consulta nos seus dados.
- Se houver mais registos do que os que podem ser listados numa única varredura, receberá um comando de retorno com
nextQueryFilterso que deve executar. Receberá este comando cada vez que digitalizar até que a consulta devolva todos os resultados.
Solicitar parâmetros corporais
- "Filtros": Filtrar objetos com todos os filtros de pesquisa para o pedido, ver filtros de atividade para obter mais informações. Para evitar que os seus pedidos sejam acelerados, certifique-se de incluir uma limitação na sua consulta, por exemplo, consultar as atividades do último dia, ou filtrar para uma determinada aplicação.
- "isScan": Boolean. Ativa o modo de digitalização.
- "ordenardirection": A direção de triagem, os valores possíveis são "asc" e "desc"
- "SortField": Campos usados para classificar atividades. Os valores possíveis são:
- data - A data em que ocorreu a atividade (este é o padrão).
- criado - A hora de se estimar quando a atividade foi salva.
- "Limite": Inteiro. No modo de digitalização, entre 500 e 5000 (predefinição a 500). Controla o número de iterações utilizadas para digitalizar todos os dados.
Parâmetros de resposta
- "Dados": os dados devolvidos. Irá conter até "limitar" o número de registos de cada iteração. Se houver mais registos a serem retirados (hasNext=true), os últimos registos serão retirados para garantir que todos os dados sejam listados apenas uma vez.
- "hasNext": Boolean. Denota se é necessária outra iteração dos dados.
- "NextQueryFilters": Se for necessária outra iteração, contém a consulta JSON consecutiva a ser executada. Utilize isto como parâmetro "filtros" no próximo pedido. Note que se o parâmetro "hasNext" estiver definido como Falso, este parâmetro desaparecerá uma vez que você iterou sobre todos os dados.
O exemplo python seguinte recebe todas as atividades do dia passado de Exchange Online.
import requests
import json
ACTIVITIES_URL = 'https://<your_tenant>.<tenant_region>.portal.cloudappsecurity.com/api/v1/activities/'
your_token = '<your_token>'
headers = {
'Authorization': 'Token {}'.format(your_token),
}
filters = {
# optionally, edit to match your filters
'date': {'gte_ndays': 1},
'service': {'eq': [20893]}
}
request_data = {
'filters': filters,
'isScan': True
}
records = []
has_next = True
while has_next:
content = json.loads(requests.post(ACTIVITIES_URL, json=request_data, headers=headers).content)
response_data = content.get('data', [])
records += response_data
print('Got {} more records'.format(len(response_data)))
has_next = content.get('hasNext', False)
request_data['filters'] = content.get('nextQueryFilters')
print('Got {} records in total'.format(len(records)))
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.