Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’API Activité vous donne une visibilité sur toutes les actions effectuées dans vos applications cloud. Les données de cette API peuvent fournir des informations sur qui se connecte à quelle application et quand, quels fichiers sont téléchargés à partir d’emplacements suspects, etc.
Voici la liste des demandes prises en charge :
Filtres
Pour plus d’informations sur le fonctionnement des filtres, consultez Filtres.
Le tableau suivant décrit les filtres pris en charge :
| Filter | Type | Opérateurs | Description |
|---|---|---|---|
| service | entier | eq, neq | Filtrer les activités liées à l’appID de service spécifié, par exemple : 11770 |
| instance | entier | eq, neq | Filtrer les activités à partir d’instances spécifiées |
| user.orgUnit | string | eq, neq, isset, isnotset | Filtrer les activités en fonction de l’unité organization de l’utilisateur exécutant |
| actionType | string | Contains, eq, neq, isset, isnotset | Filtrer les activités par type d’action plus spécifique |
| activity.eventActionType | string | eq, neq | Filtrer les activités par type d’événement |
| activity.id | string | eq | Rechercher une activité par ID |
| activity.impersonated | valeur booléenne | eq | Si la valeur est true, retourne uniquement les événements d’emprunt d’identité, si la valeur est false, retourne des événements non personnifiés |
| actionType | string | Contains, eq, neq, isset, isnotset | Filtrer les activités par type d’action plus spécifique |
| activity.type | valeur booléenne | eq | Si la valeur est true, retourne uniquement les événements d’administration, si la valeur est false, retourne des événements réguliers |
| activity.takenAction | string | eq, neq | Filtrez les activités en fonction des actions effectuées sur celles-ci. Les valeurs admises sont les suivantes : block : bloqué proxy : redirigé vers le contrôle de session BypassProxy : Ignorer le contrôle de session chiffre : chiffré decrypt : Déchiffré vérifié : Vérifié encryptionFailed : échec du chiffrement protéger : protégé verify : Exiger l’authentification par étape null : aucune action |
| device.type | string | eq, neq | Filtrer les activités par type d’appareil. Les valeurs admises sont les suivantes : BUREAU : PC MOBILE : Mobile TABLETTE : Tablette AUTRES : Autres null : aucune valeur |
| device.tags | string | eq, neq | Filtrer les activités par ID d’étiquette d’appareil |
| userAgent.userAgent | string | contains, ncontains | Filtrer les activités qui contiennent ou ne contiennent pas les chaînes données dans l’agent utilisateur |
| userAgent.tags | string | eq, neq | Filtrer les activités contenant les ID de balise d’agent utilisateur spécifiés |
| location.country | string | eq, neq, isset, isnotset | Filtrer les activités provenant du code de pays/région spécifié |
| location.organizations | string | eq, neq, isset, isnotset, contains | Filtrer les activités provenant du organization spécifié |
| ip.address | string | eq, startswith, doesnotstartwith, isset, isnotset, neq | Filtrer les activités provenant de l’adresse IP donnée |
| fileSelector | file | eq, neq | Filtrer les activités contenant le fichier/dossier spécifié |
| office365url | string | startswith, eq, endswith | Filtrer les activités par URL Microsoft 365 |
| fileId | string | eq | Rechercher un fichier par ID |
| ip.category | entier | eq, neq | Filtrez les activités avec les catégories de sous-réseaux spécifiées. Les valeurs admises sont les suivantes : 1 : Entreprise 2 : Administration 3 : Risqué 4 : VPN 5 : Fournisseur de cloud 6 : Autres |
| ip.tags | string | eq, neq | Filtrer les activités par ID de balise IP |
| text | string | eq, startswithsingle, text | Filtrer les activités en effectuant une recherche en texte libre |
| date | timestamp | lte, gte, range, lte_ndays, gte_ndays | Filtrer les activités qui se sont produites dans l’intervalle de temps spécifié |
| stratégie | string | eq, neq, isset, isnotset | Filtrer les activités liées aux stratégies spécifiées |
| source | string | eq, neq | Filtrez toutes les activités par type de source ou ID de flux. Exemple : [{ "s:stream-id", "t:source-type" }] Les valeurs de type source possibles sont les suivantes :0 : Contrôle d’accès 1 : Contrôle de session 2 : Connecteur d’application 3 : Analyse du connecteur d’application 5 : Découverte 6 : MDATP |
| activity.alertId | string | eq | Filtrer toutes les activités pertinentes pour un ID d’alerte |
| activityObject | string | eq, neq | Filtrer les activités contenant l’ID spécifié |
| créé | lte, gte, range, gt, lt, eq | Filtrer les activités créées dans l’intervalle de temps spécifié | |
| entité | entité pk | eq, neq, isset, isnotset, startswith | Filtrez les activités en fonction de l’entité qui a effectué l’activité. Exemple : [{ "id": "entity-id", "inst": 0 }] |
| user.username | string | eq, neq, isset, isnotset, startswith | Filtrer les activités par l’utilisateur qui a effectué l’activité |
| user.tags | string | eq, neq, isset, isnotset, startswith | Filtrer les activités par balises appartenant à l’utilisateur exécutant. Nécessite des ID de groupe |
| user.domain | string | eq, neq, isset, isnotset | Filtrer les activités par domaine d’utilisateur exécutant |
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.