Ruft Quarantäne-Ereignisse der Dienste ab, die Cloud App Security schützt.

HTTPS-Anforderung

GET https://<serviceURL>/v1/siem/quarantine_events

Anforderungsparameter

Wichtig:

Die Anforderung muss die erforderlichen Parameter enthalten.

Parameter

Beschreibung

Erforderlicher Parameter

service

Name des geschützten Diensts, dessen Quarantäne-Ereignisse Sie abrufen möchten.

Derzeit muss der Wert exchange sein.

Optionaler Parameter

start

end

Start- und Endzeit, während der Quarantäne-Ereignisse abgerufen werden sollen. Format: ISO 8601-Zeitstempel auf die Sekunde oder Millisekunde in UTC, yyyy-mm-ddThh: mm: SS[.MMM] Z. Zum Beispiel 2016-07-22T01:51:31Z oder 2016-07-22T01:51:31.001Z.

Die Anforderung ruft Quarantäne-Ereignisse innerhalb von maximal 7 Tagen vor dem Zeitpunkt ab, zu dem die Anforderung entsprechend den Einstellungen für start und end gesendet wird:

  • Wenn sowohl start als auch end nicht angegeben werden, ruft die Anforderung Quarantäne-Ereignisse innerhalb eines Tages vor dem Zeitpunkt ab, zu dem die Anforderung gesendet wird.

  • Wenn sowohl start als auch end angegeben werden, ruft die Anforderung Quarantäne-Ereignisse innerhalb der konfigurierten Dauer ab. Stellen Sie sicher, dass die Endzeit (end) nicht vor der Startzeit (start) liegt.

  • Wenn nur start angegeben wird, ruft die Anforderung Quarantäne-Ereignisse innerhalb eines Tages ab dem Zeitpunkt der konfigurierten Startzeit (start) ab.

  • Wenn nur end angegeben wird, ruft die Anforderung Quarantäne-Ereignisse innerhalb eines Tages vor dem Zeitpunkt der konfigurierten Endzeit (end) ab.

limit

Die Anzahl der Quarantäne-Ereignisse, die gleichzeitig angezeigt werden sollen. Es sind maximal 500 Quarantäne-Ereignisse zulässig.

Falls nicht angegeben, wird der Wert standardmäßig auf 500 festgelegt.

Wenn die Anzahl der angeforderten Quarantäne-Ereignisse den angegebenen Grenzwert überschreitet, wird im Feld next_link in der Antwort eine URL angegeben. Verwenden Sie diese URL, um eine zweite Anforderung zu erstellen und die verbleibenden Quarantäne-Ereignisse für die vorherige Anforderung abzurufen. Wiederholen Sie diese Schritte, bis alle Quarantäne-Ereignisse für die erste Anforderung ermittelt wurden.

Beispiel anfordern

Beispiel 1: Abrufen aller Quarantäne-Ereignisse von Exchange Online innerhalb von fünf Minuten vor dem Zeitpunkt, zu dem die Anforderung gesendet wird
GET https://api.tmcas.trendmicro.com/v1/siem/quarantine_events?service=exchange
Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafed4

Beispiel 2: Abrufen von Quarantäne-Ereignissen von Exchange Online von 2018-09-23 03:35:07.000 bis 2018-09-25 05:47:07:000 (UTC), wobei die Anzahl der anzuzeigenden Ereignisse jeweils 10 beträgt

  • GET https://api.tmcas.trendmicro.com/v1/siem/quarantine_events?service=exchange&
start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10
Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafed4
  • Wenn die Gesamtzahl der angeforderten Quarantäne-Ereignisse 10 übersteigt, verwenden Sie die URL im Feld next_link in der Antwort, um eine zweite Anforderung wie folgt zu stellen: 
    GET https://api.tmcas.trendmicro.com/v1/siem/quarantine_events?service=exchange&
start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10&page_id=<randomly generated value>=
Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafed4

Antwort

Bei Erfolg sendet der Dienst eine HTTP 200-Antwort zurück und gibt einen Anforderungstext im JSON-Format zurück; andernfalls sendet der Dienst eine Fehlermeldung im JSON-Format mit Fehlerdetails zurück. Weitere Informationen zu Fehlern finden Sie unter API-Antworten.

Antwortbeispiel

HTTP/1.1 200
Content-Type: application/json

{
  "traceId": "ff20f32e-3bb2-4102-84d1-62f92c415901",
  "current_link": "https://api.tmcas.trendmicro.com/v1/siem/quarantine_events?service=exchange",
  "next_link": "",
  "last_log_item_generation_time": "2021-10-26T01:48:36.687Z",
  "quarantine_events": [
    {
      "service": "Exchange Online",
      "message": {
        "affected_user": "ewtestcas@emilyw.onmicrosoft.com",
        "mailbox": "ewtestcas@emilyw.onmicrosoft.com",
        "detection_time": "2021-10-25T09:51:26.697Z",
        "mail_unique_id": "AAkALgAAAAAAHYQDEapmEc2byACqAC-EWg0AJUMWJ_w_F0WJ1OxbHWzuuAABMEsyEwAA",
        "mail_log_id": "1d9f27ea-3579-11ec-8159-00224809f763",
        "mail_message_id": "<HK0PR02MB3698C584C7E6844016D0455C98839@HK0PR02MB3698.apcprd02.prod.outlook.com>",
        "mail_message_delivery_time": "2021-10-25T09:51:00.000Z",
        "mail_message_sender": "ewtestcas@emilyw.onmicrosoft.com",
        "mail_message_recipient": [
          "castest2@ewdevnew.onmicrosoft.com"
        ],
        "mail_message_subject": "FW: mitigation restore test  1025 1009",
        "mail_status": "Quarantined",
        "location": "ewtestcas@emilyw.onmicrosoft.com\\Sent Items",
        "mail_quarantine_type": "Quarantine",
        "triggered_security_filter": "File Blocking",
        "security_risk_name": "mitigation"
      }
    },
    {
      "service": "Exchange Online",
      "message": {
        "affected_user": "ewtestcas@emilyw.onmicrosoft.com",
        "mailbox": "ewtestcas@emilyw.onmicrosoft.com",
        "detection_time": "2021-10-26T01:48:36.687Z",
        "mail_unique_id": "AAkALgAAAAAAHYQDEapmEc2byACqAC-EWg0AJUMWJ_w_F0WJ1OxbHWzuuAABMEt6hwAA",
        "mail_log_id": "d485296b-35fe-11ec-8159-00224803dc63",
        "mail_message_id": "<HK0PR02MB36982A5C844EB294E01BCFE198849@HK0PR02MB3698.apcprd02.prod.outlook.com>",
        "mail_message_delivery_time": "2021-10-26T01:48:00.000Z",
        "mail_message_sender": "ewtestcas@emilyw.onmicrosoft.com",
        "mail_message_recipient": [
          "castest2@ewdevnew.onmicrosoft.com"
        ],
        "mail_message_subject": "FW: mitigation restore test  1026 0948",
        "mail_status": "Quarantined",
        "location": "ewtestcas@emilyw.onmicrosoft.com\\Sent Items",
        "mail_quarantine_type": "Quarantine",
        "triggered_security_filter": "File Blocking",
        "security_risk_name": "mitigation"
      }
    }
  ]
}

Antwortfelder

In der folgenden Tabelle werden die verfügbaren Felder für den Antworttext beschrieben. Weitere Informationen zu den Feldern für Quarantäne-Ereignisse finden Sie unter Quarantäne in der Cloud App Security-Online-Hilfe.

Anmerkung:

Alle zeitbezogenen Felder in der Tabelle sind auf Coordinated Universal Time (UTC) eingestellt.

Feld

Datentyp

Beschreibung

current_link

Zeichenfolge

URL in der aktuellen Anforderung

next_link

Zeichenfolge

URL für die Nachverfolgungsanforderung, wenn die angeforderten Quarantäne-Ereignisse die festgelegte Grenze für die gleichzeitige Anzeige überschreiten. Verwenden Sie diese URL, um eine zweite Anforderung zu erstellen und die verbleibenden Quarantäne-Ereignisse für die vorherige Anforderung abzurufen. Wiederholen Sie diese Schritte, bis alle Quarantäne-Ereignisse für die erste Anforderung ermittelt wurden.

last_log_item_generation_time

ISO 8601-Zeitstempel

Datum und Uhrzeit, wann das letzte Quarantäne-Ereignis in der aktuellen Anforderung generiert wurde, d. h. die Erkennungszeit (detection_time) des letzten Quarantäne-Ereignisses in der aktuellen Anforderung

quarantine_events

JSON-Array

Details zum angeforderten Quarantäne-Ereignis

quarantine_events/service

Zeichenfolge

Name des angeforderten Diensts

quarantine_events/message

JSON-Array

Details zu einem Quarantäne-Ereignis

quarantine_events/message/affected_user

Zeichenfolge

Postfach, das eine E-Mail-Nachricht mit dem Auslösen des Quarantäne-Ereignisses oder eines Benutzerkontos empfangen hat, das eine Datei hochgeladen oder geändert hat, die das Quarantäne-Ereignis ausgelöst hat

quarantine_events/message/mailbox

Zeichenfolge

E-Mail-Adresse einer E-Mail-Nachricht

quarantine_events/message/detection_time

ISO 8601-Zeitstempel

Datum und Uhrzeit der Erkennung des Quarantäne-Ereignisses

quarantine_events/message/mail_unique_id

Zeichenfolge

Eindeutige ID einer E-Mail-Nachricht

quarantine_events/message/mail_log_id

Zeichenfolge

ID, die ein Quarantäne-Ereignis eindeutig identifiziert

quarantine_events/message/mail_message_id

Zeichenfolge

ID der E-Mail-Nachricht, die das Quarantäne-Ereignis ausgelöst hat

quarantine_events/message/mail_message_delivery_time

ISO 8601-Zeitstempel

Datum und Uhrzeit der gesendeten E-Mail-Nachricht

quarantine_events/message/mail_message_sender

Zeichenfolge

E-Mail-Adresse des Absenders

quarantine_events/message/mail_message_recipient

Array

E-Mail-Adresse(n) des/der Empfänger(s)

quarantine_events/message/mail_message_subject

Zeichenfolge

Betreff der E-Mail-Nachricht, die das Quarantäne-Ereignis ausgelöst hat

quarantine_events/message/action_source

Zeichenfolge

Gibt an, dass die E-Mail-Nachricht über die API zur Bedrohungsabwehr in die Quarantäne verschoben wird. Der Wert lautet „API“.

quarantine_events/message/mail_status

Zeichenfolge

E-Mail-Status

quarantine_events/message/location

Zeichenfolge

Speicherort, in dem das Quarantäne-Ereignis entdeckt wurde

quarantine_events/message/triggered_security_filter

Zeichenfolge

Name des Sicherheitsfilters, der das Sicherheitsereignis entdeckt hat

quarantine_events/message/security_risk_name

Zeichenfolge

Name des entdeckten Sicherheitsrisikos

quarantine_events/message/mail_quarantine_type

Zeichenfolge

Der Wert lautet „Quarantäne“.
Übergeordnetes Thema: Protokollabruf-API