Quarantäne-Ereignisse abrufen

Ansichten:

Ruft Quarantäne-Ereignisse der Dienste ab, die Cloud App Security schützt.

HTTPS-Anforderung

GET https://<serviceURL>/v1/siem/quarantine_events

Anforderungsparameter

Wichtig:

Die Anforderung muss die erforderlichen Parameter enthalten.

Parameter	Beschreibung
Erforderlicher Parameter
`service`	Name des geschützten Diensts, dessen Quarantäne-Ereignisse Sie abrufen möchten. Derzeit muss der Wert exchange sein.
Optionaler Parameter
`start` `end`	Start- und Endzeit, während der Quarantäne-Ereignisse abgerufen werden sollen. Format: ISO 8601-Zeitstempel auf die Sekunde oder Millisekunde in UTC, yyyy-mm-ddThh: mm: SS[.MMM] Z. Zum Beispiel `2016-07-22T01:51:31Z` oder `2016-07-22T01:51:31.001Z`. Die Anforderung ruft Quarantäne-Ereignisse innerhalb von maximal 7 Tagen vor dem Zeitpunkt ab, zu dem die Anforderung entsprechend den Einstellungen für `start` und `end` gesendet wird: Wenn sowohl `start` als auch `end` nicht angegeben werden, ruft die Anforderung Quarantäne-Ereignisse innerhalb eines Tages vor dem Zeitpunkt ab, zu dem die Anforderung gesendet wird. Wenn sowohl `start` als auch `end` angegeben werden, ruft die Anforderung Quarantäne-Ereignisse innerhalb der konfigurierten Dauer ab. Stellen Sie sicher, dass die Endzeit (end) nicht vor der Startzeit (start) liegt. Wenn nur `start` angegeben wird, ruft die Anforderung Quarantäne-Ereignisse innerhalb eines Tages ab dem Zeitpunkt der konfigurierten Startzeit (start) ab. Wenn nur `end` angegeben wird, ruft die Anforderung Quarantäne-Ereignisse innerhalb eines Tages vor dem Zeitpunkt der konfigurierten Endzeit (end) ab.
`limit`	Die Anzahl der Quarantäne-Ereignisse, die gleichzeitig angezeigt werden sollen. Es sind maximal 500 Quarantäne-Ereignisse zulässig. Falls nicht angegeben, wird der Wert standardmäßig auf 500 festgelegt. Wenn die Anzahl der angeforderten Quarantäne-Ereignisse den angegebenen Grenzwert überschreitet, wird im Feld next_link in der Antwort eine URL angegeben. Verwenden Sie diese URL, um eine zweite Anforderung zu erstellen und die verbleibenden Quarantäne-Ereignisse für die vorherige Anforderung abzurufen. Wiederholen Sie diese Schritte, bis alle Quarantäne-Ereignisse für die erste Anforderung ermittelt wurden.

Beispiel anfordern

Beispiel 1: Abrufen aller Quarantäne-Ereignisse von Exchange Online innerhalb von fünf Minuten vor dem Zeitpunkt, zu dem die Anforderung gesendet wird

GET https://api.tmcas.trendmicro.com/v1/siem/quarantine_events?service=exchange
Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafed4

Beispiel 2: Abrufen von Quarantäne-Ereignissen von Exchange Online von 2018-09-23 03:35:07.000 bis 2018-09-25 05:47:07:000 (UTC), wobei die Anzahl der anzuzeigenden Ereignisse jeweils 10 beträgt

GET https://api.tmcas.trendmicro.com/v1/siem/quarantine_events?service=exchange&
start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10
Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafed4

Wenn die Gesamtzahl der angeforderten Quarantäne-Ereignisse 10 übersteigt, verwenden Sie die URL im Feld next_link in der Antwort, um eine zweite Anforderung wie folgt zu stellen:

GET https://api.tmcas.trendmicro.com/v1/siem/quarantine_events?service=exchange&
start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10&page_id=<randomly generated value>=
Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafed4

Antwort

Bei Erfolg sendet der Dienst eine HTTP 200-Antwort zurück und gibt einen Anforderungstext im JSON-Format zurück; andernfalls sendet der Dienst eine Fehlermeldung im JSON-Format mit Fehlerdetails zurück. Weitere Informationen zu Fehlern finden Sie unter API-Antworten.

Antwortbeispiel

HTTP/1.1 200
Content-Type: application/json

{
  "traceId": "ff20f32e-3bb2-4102-84d1-62f92c415901",
  "current_link": "https://api.tmcas.trendmicro.com/v1/siem/quarantine_events?service=exchange",
  "next_link": "",
  "last_log_item_generation_time": "2021-10-26T01:48:36.687Z",
  "quarantine_events": [
    {
      "service": "Exchange Online",
      "message": {
        "affected_user": "ewtestcas@emilyw.onmicrosoft.com",
        "mailbox": "ewtestcas@emilyw.onmicrosoft.com",
        "detection_time": "2021-10-25T09:51:26.697Z",
        "mail_unique_id": "AAkALgAAAAAAHYQDEapmEc2byACqAC-EWg0AJUMWJ_w_F0WJ1OxbHWzuuAABMEsyEwAA",
        "mail_log_id": "1d9f27ea-3579-11ec-8159-00224809f763",
        "mail_message_id": "<HK0PR02MB3698C584C7E6844016D0455C98839@HK0PR02MB3698.apcprd02.prod.outlook.com>",
        "mail_message_delivery_time": "2021-10-25T09:51:00.000Z",
        "mail_message_sender": "ewtestcas@emilyw.onmicrosoft.com",
        "mail_message_recipient": [
          "castest2@ewdevnew.onmicrosoft.com"
        ],
        "mail_message_subject": "FW: mitigation restore test  1025 1009",
        "mail_status": "Quarantined",
        "location": "ewtestcas@emilyw.onmicrosoft.com\\Sent Items",
        "mail_quarantine_type": "Quarantine",
        "triggered_security_filter": "File Blocking",
        "security_risk_name": "mitigation"
      }
    },
    {
      "service": "Exchange Online",
      "message": {
        "affected_user": "ewtestcas@emilyw.onmicrosoft.com",
        "mailbox": "ewtestcas@emilyw.onmicrosoft.com",
        "detection_time": "2021-10-26T01:48:36.687Z",
        "mail_unique_id": "AAkALgAAAAAAHYQDEapmEc2byACqAC-EWg0AJUMWJ_w_F0WJ1OxbHWzuuAABMEt6hwAA",
        "mail_log_id": "d485296b-35fe-11ec-8159-00224803dc63",
        "mail_message_id": "<HK0PR02MB36982A5C844EB294E01BCFE198849@HK0PR02MB3698.apcprd02.prod.outlook.com>",
        "mail_message_delivery_time": "2021-10-26T01:48:00.000Z",
        "mail_message_sender": "ewtestcas@emilyw.onmicrosoft.com",
        "mail_message_recipient": [
          "castest2@ewdevnew.onmicrosoft.com"
        ],
        "mail_message_subject": "FW: mitigation restore test  1026 0948",
        "mail_status": "Quarantined",
        "location": "ewtestcas@emilyw.onmicrosoft.com\\Sent Items",
        "mail_quarantine_type": "Quarantine",
        "triggered_security_filter": "File Blocking",
        "security_risk_name": "mitigation"
      }
    }
  ]
}

Antwortfelder

In der folgenden Tabelle werden die verfügbaren Felder für den Antworttext beschrieben. Weitere Informationen zu den Feldern für Quarantäne-Ereignisse finden Sie unter Quarantäne in der Cloud App Security-Online-Hilfe.

Anmerkung:

Alle zeitbezogenen Felder in der Tabelle sind auf Coordinated Universal Time (UTC) eingestellt.

Feld	Datentyp	Beschreibung
`current_link`	Zeichenfolge	URL in der aktuellen Anforderung
`next_link`	Zeichenfolge	URL für die Nachverfolgungsanforderung, wenn die angeforderten Quarantäne-Ereignisse die festgelegte Grenze für die gleichzeitige Anzeige überschreiten. Verwenden Sie diese URL, um eine zweite Anforderung zu erstellen und die verbleibenden Quarantäne-Ereignisse für die vorherige Anforderung abzurufen. Wiederholen Sie diese Schritte, bis alle Quarantäne-Ereignisse für die erste Anforderung ermittelt wurden.
`last_log_item_generation_time`	ISO 8601-Zeitstempel	Datum und Uhrzeit, wann das letzte Quarantäne-Ereignis in der aktuellen Anforderung generiert wurde, d. h. die Erkennungszeit (detection_time) des letzten Quarantäne-Ereignisses in der aktuellen Anforderung
`quarantine_events`	JSON-Array	Details zum angeforderten Quarantäne-Ereignis
`quarantine_events/service`	Zeichenfolge	Name des angeforderten Diensts
`quarantine_events/message`	JSON-Array	Details zu einem Quarantäne-Ereignis
`quarantine_events/message/affected_user`	Zeichenfolge	Postfach, das eine E-Mail-Nachricht mit dem Auslösen des Quarantäne-Ereignisses oder eines Benutzerkontos empfangen hat, das eine Datei hochgeladen oder geändert hat, die das Quarantäne-Ereignis ausgelöst hat
`quarantine_events/message/mailbox`	Zeichenfolge	E-Mail-Adresse einer E-Mail-Nachricht
`quarantine_events/message/detection_time`	ISO 8601-Zeitstempel	Datum und Uhrzeit der Erkennung des Quarantäne-Ereignisses
`quarantine_events/message/mail_unique_id`	Zeichenfolge	Eindeutige ID einer E-Mail-Nachricht
`quarantine_events/message/mail_log_id`	Zeichenfolge	ID, die ein Quarantäne-Ereignis eindeutig identifiziert
`quarantine_events/message/mail_message_id`	Zeichenfolge	ID der E-Mail-Nachricht, die das Quarantäne-Ereignis ausgelöst hat
`quarantine_events/message/mail_message_delivery_time`	ISO 8601-Zeitstempel	Datum und Uhrzeit der gesendeten E-Mail-Nachricht
`quarantine_events/message/mail_message_sender`	Zeichenfolge	E-Mail-Adresse des Absenders
`quarantine_events/message/mail_message_recipient`	Array	E-Mail-Adresse(n) des/der Empfänger(s)
`quarantine_events/message/mail_message_subject`	Zeichenfolge	Betreff der E-Mail-Nachricht, die das Quarantäne-Ereignis ausgelöst hat
`quarantine_events/message/action_source`	Zeichenfolge	Gibt an, dass die E-Mail-Nachricht über die API zur Bedrohungsabwehr in die Quarantäne verschoben wird. Der Wert lautet „API“.
`quarantine_events/message/mail_status`	Zeichenfolge	E-Mail-Status
`quarantine_events/message/location`	Zeichenfolge	Speicherort, in dem das Quarantäne-Ereignis entdeckt wurde
`quarantine_events/message/triggered_security_filter`	Zeichenfolge	Name des Sicherheitsfilters, der das Sicherheitsereignis entdeckt hat
`quarantine_events/message/security_risk_name`	Zeichenfolge	Name des entdeckten Sicherheitsrisikos
`quarantine_events/message/mail_quarantine_type`	Zeichenfolge	Der Wert lautet „Quarantäne“.