Tevékenységek API
Megjegyzés:
Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.
A Tevékenység API-val áttekintheti a felhőalkalmazásokban végrehajtott összes műveletet. Az API-ból származó adatok információt szolgáltathatnak arról, hogy ki melyik alkalmazásba és mikor jelentkezik be, mely fájlokat töltik le gyanús helyekről, és így tovább.
Az alábbiakban a támogatott kéréseket soroljuk fel:
Filters
A szűrők működéséről további információt a Szűrők című témakörben talál.
Az alábbi táblázat a támogatott szűrőket ismerteti:
| Szűrő | Type | Operators | Leírás |
|---|---|---|---|
| service | egész szám | eq, neq | A megadott szolgáltatásalkalmazás-azonosítóhoz kapcsolódó tevékenységek szűrése, például: 11770 |
| példány | egész szám | eq, neq | Tevékenységek szűrése megadott példányokból |
| user.orgUnit | sztring | eq, neq, isset, isotset | Tevékenységek szűrése az előadó felhasználó szervezeti egysége szerint |
| actionType | sztring | Tartalmazza, eq, neq, isset, isotset | Tevékenységek szűrése konkrétabb művelettípus szerint |
| activity.eventActionType | sztring | eq, neq | Tevékenységek szűrése eseménytípus szerint |
| activity.id | sztring | eq | Tevékenység keresése azonosító alapján |
| activity.megszemélyesített | Logikai | eq | Ha igaz értékre van állítva, akkor csak megszemélyesített eseményeket ad vissza, ha hamis értékre van állítva, akkor nem ismétlődő eseményeket ad vissza. |
| actionType | sztring | Tartalmazza, eq, neq, isset, isotset | Tevékenységek szűrése konkrétabb művelettípus szerint |
| activity.type | Logikai | eq | Ha igaz értékre van állítva, csak a rendszergazdai eseményeket adja vissza, ha hamis értékre van állítva, normál eseményeket ad vissza |
| activity.takenAction | sztring | eq, neq | Tevékenységek szűrése a rajtuk végrehajtott műveletek alapján. Lehetséges értékek: blokk: Letiltva proxy: Átirányítva a munkamenet-vezérléshez BypassProxy: A munkamenet-vezérlés megkerülése titkosítás: Titkosított visszafejtés: Visszafejtve ellenőrzött: Ellenőrzött encryptionFailed: A titkosítás nem sikerült védelem: Védett ellenőrzés: Lépésenkénti hitelesítés megkövetelése null: Nincs művelet |
| device.type | sztring | eq, neq | Tevékenységek szűrése eszköztípus szerint. Lehetséges értékek: ASZTAL: PC MOBIL: Mobil TÁBLAGÉP: Táblagép EGYÉB: Egyéb null: Nincs érték |
| device.tags | sztring | eq, neq | Tevékenységek szűrése eszközcímke-azonosítók alapján |
| userAgent.userAgent | sztring | tartalmaz, ncontains | Olyan tevékenységek szűrése, amelyek a felhasználói ügynök adott sztringeit tartalmazzák vagy nem tartalmazzák |
| userAgent.tags | sztring | eq, neq | A megadott felhasználói ügynökcímkék azonosítóit tartalmazó tevékenységek szűrése |
| location.country | sztring | eq, neq, isset, isotset | A megadott ország-/régiókódból származó tevékenységek szűrése |
| location.organizations | sztring | eq, neq, isset, isotset, contains | A megadott szervezettől származó tevékenységek szűrése |
| ip.address | sztring | eq, startswith, doesnotstartwith, isset, isotset, neq | A megadott IP-címről származó tevékenységek szűrése |
| fileSelector | fájl | eq, neq | A megadott fájlt/mappát tartalmazó tevékenységek szűrése |
| office365url | sztring | startswith, eq, endswith | Tevékenységek szűrése a Microsoft 365 URL-címeivel |
| fileId | sztring | eq | Fájl keresése azonosító szerint |
| ip.category | egész szám | eq, neq | Tevékenységek szűrése a megadott alhálózati kategóriákkal. Lehetséges értékek: 1: Vállalati 2: Rendszergazda istrative 3: Kockázatos 4: VPN 5: Felhőszolgáltató 6: Egyéb |
| ip.tags | sztring | eq, neq | Tevékenységek szűrése IP-címkeazonosítók alapján |
| text | sztring | eq, startswithsingle, text | Tevékenységek szűrése ingyenes szöveges kereséssel |
| dátum: | Időbélyeg | lte, gte, tartomány, lte_ndays, gte_ndays | A megadott időtartományban végrehajtott tevékenységek szűrése |
| szabályzat | sztring | eq, neq, isset, isotset | A megadott szabályzatokhoz kapcsolódó tevékenységek szűrése |
| forrás | sztring | eq, neq | Az összes tevékenység szűrése forrástípus vagy streamazonosító szerint. Példa: [{ "s:stream-id", "t:source-type" }] Lehetséges forrástípusértékek:0: Hozzáférés-vezérlés 1: Munkamenet-vezérlés 2: Alkalmazás-összekötő 3: Alkalmazás-összekötő elemzés 5: Felderítés 6: MDATP |
| activity.alertId | sztring | eq | Riasztásazonosítóhoz kapcsolódó összes tevékenység szűrése |
| activityObject | sztring | eq, neq | A megadott azonosítót tartalmazó tevékenységek szűrése |
| fileLabels | sztring | eq, neq | A megadott fájlfeliratokat (címkéket) tartalmazó fájlok szűrése |
| Létrehozott | lte, gte, range, gt, lt, eq | A megadott időtartományban létrehozott tevékenységek szűrése | |
| Entitás | entitás pk | eq, neq, isset, isotset, startswith | A tevékenységet végrehajtó entitás tevékenységeinek szűrése. Example: [{ "id": "entity-id", "inst": 0 }] |
| user.username | sztring | eq, neq, isset, isotset, startswith | A tevékenységet végrehajtó felhasználó tevékenységeinek szűrése |
| user.tags | sztring | eq, neq, isset, isotset, startswith | Tevékenységek szűrése az előadó felhasználóhoz tartozó címkék szerint. Csoportazonosítókra van szükség |
| user.domain | sztring | eq, neq, isset, isotset | Tevékenységek szűrése az elvégzett felhasználói tartomány alapján |
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.