Ruft Sicherheitsereignisprotokolle der Dienste ab, die von Cloud App Security geschützt werden.
HTTPS-Anforderung
GET https://<serviceURL>/v1/siem/security_events
Anforderungsparameter
Die Anforderung muss die erforderlichen Parameter enthalten.
|
Parameter |
Beschreibung |
|---|---|
|
Erforderlicher Parameter |
|
|
service |
Name des geschützten Diensts, dessen Protokolle Sie abrufen möchten. Wichtig:
Geben Sie jeweils nur einen Dienst an. Zu den Optionen gehören:
|
|
event |
Typ des Sicherheitsereignisses, dessen Protokolle Sie abrufen möchten. Zu den Optionen gehören:
Wichtig:
Geben Sie jeweils nur einen Ereignistyp an. |
|
Optionaler Parameter |
|
|
start end |
Start- und Endzeit, während der die Protokolle abgerufen werden sollen. Format: ISO 8601-Zeitstempel auf die Sekunde oder Millisekunde in UTC, yyyy-mm-ddThh: mm: SS[.MMM] Z. Zum Beispiel 2016-07-22T01:51:31Z oder 2016-07-22T01:51:31.001Z. Die Anforderung ruft Protokolle innerhalb von maximal 72 Stunden vor dem Zeitpunkt ab, an dem die Anforderung gemäß den Einstellungen start und end gesendet wird:
|
|
limit |
Anzahl der gleichzeitig anzuzeigenden Protokollelemente. Es sind maximal 500 Protokollelemente zulässig. Wenn nicht angegeben, wird der Wert standardmäßig auf 500 festgelegt. Wenn die Gesamtzahl der angeforderten Protokollelemente das angegebene Limit überschreitet, wird im Feld next_link in der Antwort eine URL angegeben. Verwenden Sie diese URL, um eine zweite Anforderung zu erstellen und die restlichen Protokollelemente für die vorherige Anforderung abzurufen. Wiederholen Sie dies, bis Sie alle Protokollelemente für die erste Anforderung erhalten haben. |
Beispiel anfordern
GET https://api.tmcas.trendmicro.com/v1/siem/security_events?service=exchange&event=dlp Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafe77
Beispiel 2: Abrufen von Protokollen für die Suche nach Sicherheitsrisiken von Exchange Online von 2018-09-23 03:35:07.000 bis 2018-09-25 05:47:07:000 (UTC), wobei die Anzahl der gleichzeitig anzuzeigenden Protokollelemente 10 beträgt
-
GET https://api.tmcas.trendmicro.com/v1/siem/security_events?service=exchange&event=securityrisk& start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10 Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafe77
-
Wenn die Gesamtzahl der angeforderten Protokollelemente 10 übersteigt, verwenden Sie die URL im Feld next_link in der Antwort, um eine zweite Anforderung wie folgt zu erstellen:
GET https://api.tmcas.trendmicro.com/v1/siem/security_events?service=exchange&event=securityrisk& start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10&page_id=<randomly generated value>= Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafe77
Antwort
Bei Erfolg sendet der Dienst eine HTTP 200-Antwort zurück und gibt einen Antworttext im JSON-Format zurück; andernfalls sendet der Dienst eine Fehlermeldung im JSON-Format mit Fehlerdetails zurück. Weitere Informationen zu Fehlern finden Sie unter API-Antworten.
Antwortbeispiel
HTTP/1.1 200
Content-Type: application/json
{
"current_link": "https://api.tmcas.trendmicro.com/v1/siem/security_events?service=exchange&event=securityrisk&
start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=1",
"next_link": "https://api.tmcas.trendmicro.com/v1/siem/security_events?service=exchange&event=securityrisk&
start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=1&page_id=<randomly generated value>=",
"last_log_item_generation_time": "2018-09-25T02:14:40Z",
"security_events": [
{
"log_item_id": "NdGBDmYBWu4z8GKN0Jhl",
"service": "exchange",
"event": "security_risk_scan",
"message": {
"scan_type": "Real-time scan",
"affected_user": "username1@example1.onmicrosoft.com",
"location": "username1@example1.onmicrosoft.com\\Junk Email",
"detection_time": "2018-09-25T02:14:40Z",
"triggered_policy_name": "phishing test from jimmy",
"triggered_security_filter": "Web Reputation",
"action": "Quarantine",
"action_result": "success",
"mail_message_id": "<0ee59974fb7c48538b3e077f5c40b877@trendmicro.com>",
"mail_message_sender": "<username2@example2.com>",
"mail_message_recipient": [
"\"username1\"<username1@example1.onmicrosoft.com>"
],
"mail_message_submit_time": "2018-09-25T02:14:25.818Z",
"mail_message_delivery_time": "2018-09-25T02:14:24",
"mail_message_subject": "aaaa",
"mail_message_file_name": "filename.exe",
"security_risk_name": "Spyware: http://wrs21.winshipway.com",
"detected_by": "Web Reputation",
"risk_level": "Dangerous"
}
}
]
}
Antwortfelder
In der folgenden Tabelle werden die verfügbaren Felder für den Antworttext beschrieben. Weitere Informationen über Felder im Zusammenhang mit Sicherheitsereignissen finden Sie unter Protokolle und Berichte in der Cloud App Security-Online-Hilfe.
Alle zeitbezogenen Felder in der Tabelle sind auf Coordinated Universal Time (UTC) eingestellt.
|
Feld |
Datentyp |
Beschreibung |
|---|---|---|
|
current_link |
Zeichenfolge |
URL in der aktuellen Anforderung |
|
next_link |
Zeichenfolge |
URL für die Nachfolgeanforderung, wenn die angeforderten Protokolle die festgelegte Grenze für die gleichzeitige Anzeige überschreiten. Verwenden Sie diese URL, um eine zweite Anforderung zu erstellen und die restlichen Protokollelemente für die vorherige Anforderung abzurufen. Wiederholen Sie dies, bis Sie alle Protokollelemente für die erste Anforderung erhalten haben. |
|
last_log_item_generation_time |
ISO 8601-Zeitstempel |
Datum und Uhrzeit, wann das letzte Protokollelement in der aktuellen Anforderung generiert wurde, d. h. die Erkennungszeit (detection_time) des letzten Protokollelements in der aktuellen Anforderung |
|
security_events |
JSON-Array |
Details der angeforderten Elemente des Sicherheitsereignisprotokolls |
|
security_events/log_item_id |
Zeichenfolge |
ID, die ein Protokollelement eindeutig identifiziert |
|
security_events/service |
Zeichenfolge |
Name des angeforderten Diensts |
|
security_events/event |
Zeichenfolge |
Typ des angeforderten Sicherheitsereignisses |
|
security_events/message |
JSON-Objekt |
Details eines Elements des Sicherheitsereignisprotokolls |
|
Allgemeine Felder in "Nachricht" |
||
|
security_events/message/scan_type |
Zeichenfolge |
Ob es sich um eine Echtzeitsuche oder eine manuelle Suche handelt, die das Sicherheitsereignis erkannt hat |
|
security_events/message/affected_user |
Zeichenfolge |
Postfach, das eine E-Mail-Nachricht mit dem Auslösen des Sicherheitsereignisses oder eines Benutzerkontos empfangen hat, das eine Datei hochgeladen oder geändert hat, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/location |
Zeichenfolge |
Speicherort, in dem das Sicherheitsereignis entdeckt wurde |
|
security_events/message/detection_time |
ISO 8601-Zeitstempel |
Datum und Uhrzeit, wann das Sicherheitsereignis entdeckt wurde |
|
security_events/message/triggered_policy_name |
Zeichenfolge |
Name einer konfigurierten Richtlinie, die verletzt wurde |
|
security_events/message/triggered_security_filter |
Zeichenfolge |
Name des Sicherheitsfilters, der das Sicherheitsereignis entdeckt hat |
|
security_events/message/action |
Zeichenfolge |
Aktion, die von Cloud App Security nach Erkennung eines Sicherheitsereignisses durchgeführt wird |
|
security_events/message/action_result |
Zeichenfolge |
Ob die Aktion erfolgreich durchgeführt wurde oder nicht |
|
E-Mail-bezogene Felder in "Nachricht" |
||
|
security_events/message/mail_message_id |
Zeichenfolge |
ID der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/mail_message_sender |
Zeichenfolge |
E-Mail-Adresse des Absenders |
|
security_events/message/mail_message_recipient |
Array |
E-Mail-Adresse(n) des/der Empfänger(s) |
|
security_events/message/mail_message_submit_time |
ISO 8601-Zeitstempel |
Datum und Uhrzeit der Empfangsbestätigung der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/mail_message_delivery_time |
ISO 8601-Zeitstempel |
Datum und Uhrzeit für das Senden der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/mail_message_subject |
Zeichenfolge |
Betreff der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/mail_message_file_name |
Zeichenfolge |
Name des E-Mail-Anhangs, der das Sicherheitsereignis ausgelöst hat |
|
Dateibezogene Felder in "Nachricht" |
||
|
security_events/message/file_name |
Zeichenfolge |
Name der Datei, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/file_upload_time |
ISO 8601-Zeitstempel |
Datum und Uhrzeit, zu der die Datei, die das Sicherheitsereignis ausgelöst hat, hochgeladen wurde |
|
Protokolltypbezogene Felder in "Nachricht" |
||
|
Suche nach Sicherheitsrisiken |
||
|
security_events/message/security_risk_name |
Zeichenfolge |
Name des entdeckten Sicherheitsrisikos |
|
security_events/message/detected_by |
Zeichenfolge |
Technologie oder Methode, mit Hilfe derer die E-Mail-Nachricht oder die Datei, die das Sicherheitsereignis ausgelöst hat, entdeckt wurde |
|
security_events/message/risk_level |
Zeichenfolge |
Web Reputation-Risikostufe, die der analysierten URL zugewiesen wurde, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/file_sha1 |
Zeichenfolge |
SHA-1-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/file_sha256 |
Zeichenfolge |
SHA-256-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat |
|
Virtual Analyzer |
||
|
security_events/message/virus_name |
Zeichenfolge |
Name des erkannten Virus |
|
security_events/message/file_sha1 |
Zeichenfolge |
SHA-1-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/risk_level |
Zeichenfolge |
Virtual Analyzer-Risikostufe, die dem analysierten Objekt zugewiesen wurde, das das Sicherheitsereignis ausgelöst hat |
|
security_events/message/detection_type |
Zeichenfolge |
Typ des verdächtigen Objekts, das das Sicherheitsereignis ausgelöst hat |
|
security_events/message/file_sha256 |
Zeichenfolge |
SHA-256-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat |
|
security_events/message/va_report_link |
Zeichenfolge |
Link für den von Virtual Analyzer generierten Zusammenfassungsbericht. Dieses Feld wird nur zurückgegeben, wenn der Wert des Felds risk_level Hohes Risiko, Mittleres Risiko oder Geringes Risiko lautet. Um den Bericht abzurufen, müssen Sie die Berichts-ID in diesem Link verwenden, um die Get Virtual Analyzer-Berichts-API aufzurufen. Weitere Informationen finden Sie unter Virtual Analyzer-Bericht abrufen. |
|
Ransomware |
||
|
security_events/message/ransomware_name |
Zeichenfolge |
Name der erkannten Ransomware |
|
Prävention vor Datenverlust |
||
|
security_events/message/triggered_dlp_template |
Array |
Einzelheiten der Vorlage zur Einhaltung von Richtlinien, gegen die verstoßen wurde, um das Sicherheitsereignis auszulösen |