SIEM-API
Die SIEM-API stellt Workspace-Audit-Ereignisse als paginierten JSON-Feed bereit, der mit dem CEF-Standard (Common Event Format) kompatibel ist. Verwenden Sie sie, um Altium 365-Auditprotokolle in Ihr SIEM-System (Security Information and Event Management) oder ein externes Compliance-Tooling aufzunehmen.
Finden Ihres Endpunkts und Ihrer Anmeldeinformationen
Jeder Workspace hat seine eigene Audit-Endpunkt-URL und Anmeldeinformationen. So finden Sie sie:
-
Gehen Sie zu
Admin → Settings → Audit Export in Ihrem Arbeitsbereich. -
Kopieren Sie die
Endpoint URL ,Client ID , undSecret Key .
Sie können den Geheimschlüssel auf dieser Seite jederzeit neu generieren oder widerrufen. Wenn Sie einen Schlüssel neu generieren, wird der vorherige Schlüssel sofort ungültig.
Authentifizierung
Für jede Anfrage sind zwei benutzerdefinierte Header erforderlich:
|
Ihre Workspace-Client-ID |
|
Ihr geheimer Workspace-Schlüssel |
Abrufen von Ereignissen
GET {Ihr-Audit-Endpunkt}?Offset=0&Limit=500
ClientId: {Ihre-client-id}
ClientSecret: {Ihr-geheimer-Schlüssel}
Abfrage-Parameter
Parameter |
Erforderlich |
Beschreibung |
|
Nein |
Startposition in der Ergebnismenge. Voreinstellung: |
|
Nein |
Maximale Anzahl von Ereignissen, die zurückgegeben werden sollen. Kann das API-Maximum nicht überschreiten; bei dessen Überschreitung wird |
Curl Beispiel
curl -G '{Ihr-Audit-Endpunkt}' \
-H 'ClientId: {Ihre-client-id}' \
-H 'ClientSecret: {Ihr-geheimer-Schlüssel}' \
--data-urlencode 'Versatz=0' \
--data-urlencode 'Begrenzung=500'
Antwort-Format
{
"TotalCount": 2,
"Ereignisse": [
{
"CefVersion": "1",
"DeviceVendor": "Altium",
"DeviceProduct": "365 Plattform",
"DeviceVersion": "Cloud",
"DeviceEventClassId": "",
"Name": "Benutzeranmeldung",
"Extension": {
"dvchost": "host.domain.com",
"msg": "Benutzer erfolgreich angemeldet",
"rt": "2024-01-10T14:30:00Z",
"dtz": "UTC+00:00",
"suser": "sampleuser",
"act": "login",
"externalId": "45678",
"cat": "authentication"
}
}
]
}
Felder der obersten Ebene
Feld |
Typ |
Beschreibung |
|
ganzzahl |
Gesamtzahl der verfügbaren Ereignisse auf allen Seiten |
|
array |
Ereignisse auf der aktuellen Seite |
Ereignis-Felder
Feld |
Typ |
Beschreibung |
|
string |
CEF-Version |
|
zeichenfolge |
Immer |
|
zeichenfolge |
Immer |
|
zeichenfolge |
Immer |
|
zeichenfolge |
Kennung der Ereignisklasse |
|
string |
Von Menschen lesbarer Ereignisname (z. B. |
|
objekt |
Detaillierte Ereignisdaten - siehe unten |
Felder der Erweiterung
Feld |
Typ |
Beschreibung |
|
string |
Vollständig qualifizierter Domänenname des Arbeitsbereichs |
|
string |
Von Menschen lesbare Ereignisbeschreibung |
|
string |
Zeitstempel des Ereignisses (ISO 8601) |
|
zeichenfolge |
Zeitzone (z.B. |
|
zeichenfolge |
Mit dem Ereignis verbundener Benutzername |
|
zeichenfolge |
Durchgeführte Aktion (z. B. |
|
zeichenfolge |
ID der Ursprungseinrichtung |
|
zeichenfolge |
Ereigniskategorie (z.B.. |
Paginierung
Verwenden Sie TotalCountOffsetLimit
Seite 1: Offset=0, Limit=500 → Ereignisse 1-500 Seite 2: Offset=500, Limit=500 → Ereignisse 501-1000 ...
HTTP Status Codes
Code |
Bedeutung |
|
Ereignisse erfolgreich zurückgegeben |
|
|
|
Ungültige Anmeldedaten oder Enterprise-Lizenz nicht aktiv |
Weitere Lektüre
Audit-Export in Altium 365 - Einrichtung und Konfiguration des Workspace-Administrators.
AI-localized