Investigar as atividades com a API

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Pode utilizar as AP's de Atividades para investigar as atividades realizadas pelos seus utilizadores através de aplicações de nuvem conectadas.

O modo API de atividades está otimizado para digitalização e recuperação de grandes quantidades de dados (mais de 5.000 atividades). A API consulta os dados da atividade repetidamente até que todos os resultados tenham sido digitalizados.

Nota

Para grandes quantidades de atividades e implantações em larga escala, recomendamos que utilize o agente SIEM para digitalização de atividades.

Para usar o script de digitalização de atividade

  1. Execute a consulta nos seus dados.
  2. Se houver mais registos do que os que podem ser listados numa única varredura, receberá um comando de retorno com nextQueryFilters o que deve executar. Receberá este comando cada vez que digitalizar até que a consulta devolva todos os resultados.

Solicitar parâmetros corporais

  • "Filtros": Filtrar objetos com todos os filtros de pesquisa para o pedido, ver filtros de atividade para obter mais informações. Para evitar que os seus pedidos sejam acelerados, certifique-se de incluir uma limitação na sua consulta, por exemplo, consultar as atividades do último dia, ou filtrar para uma determinada aplicação.
  • "isScan": Boolean. Ativa o modo de digitalização.
  • "ordenardirection": A direção de triagem, os valores possíveis são "asc" e "desc"
  • "SortField": Campos usados para classificar atividades. Os valores possíveis são:
    • data - A data em que ocorreu a atividade (este é o padrão).
    • criado - A hora de se estimar quando a atividade foi salva.
  • "Limite": Inteiro. No modo de digitalização, entre 500 e 5000 (predefinição a 500). Controla o número de iterações utilizadas para digitalizar todos os dados.

Parâmetros de resposta

  • "Dados": os dados devolvidos. Irá conter até "limitar" o número de registos de cada iteração. Se houver mais registos a serem retirados (hasNext=true), os últimos registos serão retirados para garantir que todos os dados sejam listados apenas uma vez.
  • "hasNext": Boolean. Denota se é necessária outra iteração dos dados.
  • "NextQueryFilters": Se for necessária outra iteração, contém a consulta JSON consecutiva a ser executada. Utilize isto como parâmetro "filtros" no próximo pedido. Note que se o parâmetro "hasNext" estiver definido como Falso, este parâmetro desaparecerá uma vez que você iterou sobre todos os dados.

O exemplo python seguinte recebe todas as atividades do dia passado de Exchange Online.

import requests
import json
ACTIVITIES_URL = 'https://<your_tenant>.<tenant_region>.portal.cloudappsecurity.com/api/v1/activities/'

your_token = '<your_token>'
headers = {
'Authorization': 'Token {}'.format(your_token),
}

filters = {
  # optionally, edit to match your filters
  'date': {'gte_ndays': 1},
  'service': {'eq': [20893]}
}
request_data = {
  'filters': filters,
  'isScan': True
}

records = []
has_next = True
while has_next:
    content = json.loads(requests.post(ACTIVITIES_URL, json=request_data, headers=headers).content)
    response_data = content.get('data', [])
    records += response_data
    print('Got {} more records'.format(len(response_data)))
    has_next = content.get('hasNext', False)
    request_data['filters'] = content.get('nextQueryFilters')

print('Got {} records in total'.format(len(records)))

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.