Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
API действий позволяет просматривать все действия, выполняемые в облачных приложениях. Данные из этого API могут содержать сведения о том, кто входит в какое приложение и когда, какие файлы скачиваются из подозрительных расположений и т. д.
Ниже перечислены поддерживаемые запросы.
Фильтры
Сведения о работе фильтров см. в разделе Фильтры.
В следующей таблице описаны поддерживаемые фильтры.
| Filter | Тип | Операторы | Описание |
|---|---|---|---|
| служба | integer | eq, neq | Фильтрация действий, связанных с указанным идентификатором приложения службы, например: 11770 |
| экземпляр | integer | eq, neq | Фильтрация действий из указанных экземпляров |
| user.orgUnit | string | eq, neq, isset, isotset | Фильтрация действий по подразделению организации выполняющего пользователя |
| actionType | string | Contains, eq, neq, isset, isotset | Фильтрация действий по более конкретному типу действия |
| activity.eventActionType | string | eq, neq | Фильтрация действий по типу события |
| activity.id | string | eq | Поиск действия по идентификатору |
| activity.impersonated | логический | eq | Если задано значение true, возвращает только олицетворенные события, если задано значение false, возвращает неимперсонированные события. |
| actionType | string | Contains, eq, neq, isset, isotset | Фильтрация действий по более конкретному типу действия |
| activity.type | логический | eq | Если задано значение true, возвращает только события администратора, если задано значение false, возвращает обычные события. |
| activity.takenAction | string | eq, neq | Фильтрация действий по действиям, выполняемым с ними. Возможные значения: block: Заблокировано proxy: перенаправлено в элемент управления сеансом BypassProxy: обход управления сеансом encrypt: Encrypted расшифровка: расшифровка проверено: проверено encryptionFailed: сбой шифрования protect: Защищено проверка: требовать пошаговой проверки подлинности null: нет действия |
| device.type | string | eq, neq | Фильтрация действий по типу устройства. Возможные значения: НАСТОЛЬНЫЙ КОМПЬЮТЕР: ПК MOBILE: Mobile ПЛАНШЕТ: Планшет ПРОЧЕЕ: Другое null: нет значения |
| device.tags | string | eq, neq | Фильтрация действий по идентификаторам тегов устройств |
| userAgent.userAgent | string | содержит, ncontains | Фильтрация действий, которые выполняют или не содержат заданные строки в агенте пользователя |
| userAgent.tags | string | eq, neq | Действия фильтра, содержащие указанные идентификаторы тегов агента пользователя |
| location.country | string | eq, neq, isset, isotset | Фильтрация действий, исходящих из указанного кода страны или региона |
| location.organizations | string | eq, neq, isset, isotset, contains | Фильтрация действий, исходящих из указанной организации |
| ip.address | string | eq, startswith, doesnotstartwith, isset, isotset, neq | Фильтрация действий, исходящих из заданного IP-адреса |
| fileSelector | file | eq, neq | Фильтрация действий, содержащих указанный файл или папку |
| office365url | string | startswith, eq, endswith | Фильтрация действий по URL-адресам Microsoft 365 |
| fileId | string | eq | Поиск файла по идентификатору |
| ip.category | integer | eq, neq | Фильтрация действий с указанными категориями подсети. Возможные значения: 1. Корпоративный 2. Административный 3: рискованные 4. VPN 5. Поставщик облачных служб 6: Другое |
| ip.tags | string | eq, neq | Фильтрация действий по идентификаторам IP-тегов |
| текст | string | eq, startswithsingle, text | Фильтрация действий путем поиска свободного текста |
| date | timestamp | lte, gte, range, lte_ndays, gte_ndays | Фильтрация действий, произошедших в указанном диапазоне времени |
| policy | string | eq, neq, isset, isotset | Фильтрация действий, связанных с указанными политиками |
| source | string | eq, neq | Фильтрация всех действий по типу источника или идентификатору потока. Пример. [{ "s:stream-id", "t:source-type" }] Возможные значения исходного типа:0: управление доступом 1. Элемент управления сеансом 2. Соединитель приложений 3. Анализ соединителя приложений 5. Обнаружение 6. MDATP |
| activity.alertId | string | eq | Фильтрация всех действий, относящихся к идентификатору оповещения |
| activityObject | string | eq, neq | Фильтрация действий, содержащих указанный идентификатор |
| создано | lte, gte, range, gt, lt, eq | Фильтрация действий, созданных в указанном диапазоне времени | |
| . | сущности pk | eq, neq, isset, isotset, startswith | Фильтрация действий по сущности, которая выполнила действие. Пример: [{ "id": "entity-id", "inst": 0 }] |
| user.username | string | eq, neq, isset, isotset, startswith | Фильтрация действий по пользователю, выполнившему действие |
| user.tags | string | eq, neq, isset, isotset, startswith | Фильтрация действий по тегам, принадлежащим выполняющим действия пользователям. Требуются идентификаторы групп |
| user.domain | string | eq, neq, isset, isotset | Фильтрация действий по домену выполняющего пользователя |
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.