Undersöka aktiviteter med hjälp av API:etInvestigate activities using the API

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Du kan använda API: erna för aktiviteter för att undersöka de aktiviteter som utförs av användarna i anslutna molnappar.You can use the Activities APIs to investigate the activities performed by your users across connected cloud apps.

API-läget för aktiviteter optimeras för genomsökning och hämtning av stora data mängder (över 5 000 aktiviteter).The activities API mode is optimized for scanning and retrieval of large quantities of data (over 5,000 activities). API-genomsökningen frågar efter aktivitets data upprepade gånger tills alla resultat har genomsökts.The API scan queries the activity data repeatedly until all the results have been scanned.

Anteckning

För stora mängder aktiviteter och storskaliga distributioner rekommenderar vi att du använder Siem-agenten för aktivitets genomsökning.For large quantities of activities and large scale deployments, we recommended that you use the SIEM agent for activity scanning.

Använda skriptet för aktivitets genomsökningTo use the activity scan script

  1. Kör frågan på dina data.Run the query on your data.
  2. Om det finns fler poster än vad som kan finnas med i en enda skanning får du ett retur kommando nextQueryFilters som du bör köra.If there are more records than could be listed in a single scan, you will get a return command with nextQueryFilters that you should run. Du får det här kommandot varje gång du skannar tills frågan har returnerat alla resultat.You will get this command each time you scan until the query has returned all the results.

Begär ande text parametrarRequest body parameters

  • "filter": Filtrera objekt med alla Sök filter för begäran, se aktivitets filter för mer information."filters": Filter objects with all the search filters for the request, see Activity filters for more information. För att undvika att dina begär Anden begränsas bör du ta med en begränsning i frågan, till exempel fråga den senaste dagens aktiviteter eller filtrera efter en viss app.To avoid having your requests be throttled, make sure to include a limitation on your query, for example, query the last day's activities, or filter for a particular app.
  • "isScan": Boolean."isScan": Boolean. Aktiverar genomsöknings läget.Enables the scanning mode.
  • "sortDirection": sorterings riktningen, möjliga värden är "ASC" och "DESC""sortDirection": The sorting direction, possible values are "asc" and "desc"
  • "sortField": fält som används för att sortera aktiviteter."sortField": Fields used to sort activities. Möjliga värden:Possible values are:
    • datum – datumet då aktiviteten inträffade (detta är standard).date - The date when then the activity occurred (this is the default).
    • skapat – tidsstämpeln när aktiviteten sparades.created - The timestamp when the activity was saved.
  • "gräns": heltal."limit": Integer. I genomsöknings läge, mellan 500 och 5000 (Standardvärdet är 500).In scan mode, between 500 and 5000 (defaults to 500). Styr antalet iterationer som används för att genomsöka alla data.Controls the number of iterations used for scanning all the data.

Svars parametrarResponse parameters

  • "data": returnerade data."data": the returned data. Innehåller upp till "begränsa" antal poster varje iteration.Will contain up to "limit" number of records each iteration. Om det finns fler poster som ska hämtas (hasNext = true), kommer de sista posterna att tas bort för att säkerställa att alla data endast visas en gång.If there are more records to be pulled (hasNext=true), the last few records will be dropped to ensure that all data is listed only once.
  • "hasNext": Boolean."hasNext": Boolean. Anger om en annan iteration av data behövs.Denotes whether another iteration on the data is needed.
  • "nextQueryFilters": om en annan iteration behövs innehåller den den efterföljande JSON-frågan som ska köras."nextQueryFilters": If another iteration is needed, it contains the consecutive JSON query to be run. Använd detta som parameter "filter" i nästa förfrågan.Use this as the "filters" parameter in the next request.

Följande python-exempel hämtar alla aktiviteter från den senaste dagen från Exchange Online.The following Python example gets all the activities from the past day from Exchange Online.

import requests
import json
ACTIVITIES_URL = 'https://<your_tenant>.<tenant_region>.contoso.com/api/v1/activities/'

your_token = '<your_token>'
headers = {
'Authorization': 'Token {}'.format(your_token),
}

filters = {
  # optionally, edit to match your filters
  'date': {'gte_ndays': 1},
  'service': {'eq': [20893]}
}
request_data = {
  'filters': filters,
  'isScan': True
}

records = []
has_next = True
while has_next:
    content = json.loads(requests.post(ACTIVITIES_URL, json=request_data, headers=headers).content)
    response_data = content.get('data', [])
    records += response_data
    print('Got {} more records'.format(len(response_data)))
    has_next = content.get('hasNext', False)
    request_data['filters'] = content.get('nextQueryFilters')

print('Got {} records in total'.format(len(records)))

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.