Informations de référence sur l’API de gestion des alertes pour les consoles de gestion locales

Cet article répertorie les API REST de gestion des alertes prises en charge pour les consoles de gestion locales Microsoft Defender pour IoT.

alertes (Récupérer les informations d’alerte)

Utilisez cette API pour récupérer toutes les alertes ou les alertes filtrées à partir d’une console de gestion locale.

URI : /external/v1/alerts ou /external/v2/alerts

GET

Requête

Paramètres de requête :

Nom	Description	Exemple	Obligatoire/facultatif
state	Obtenir uniquement les alertes gérées ou non gérées. Valeurs prises en charge : - handled - unhandled Toutes les autres valeurs sont ignorées.	/api/v1/alerts?state=handled	Facultatif
fromTime	Obtenez des alertes créées à partir d’un moment donné, en millisecondes à partir de l’heure Epoch et dans le fuseau horaire UTC.	/api/v1/alerts?fromTime=<epoch>	Facultatif
toTime	Obtenez des alertes créées uniquement avant à un moment donné, en millisecondes à partir de l’heure Epoch et dans le fuseau horaire UTC.	/api/v1/alerts?toTime=<epoch>	Facultatif
siteId	Site sur lequel l’alerte a été découverte.	/api/v1/alerts?siteId=1	Facultatif
zoneId	Zone dans laquelle l’alerte a été découverte.	/api/v1/alerts?zoneId=1	Facultatif
sensorId	Capteur sur lequel l’alerte a été découverte.	/api/v1/alerts?sensorId=1	Facultatif

Notes

Vous ne disposez peut-être pas de l’ID de site et de zone. Si tel est le cas, interrogez d’abord tous les appareils pour récupérer l’ID de site et de zone. Pour plus d’informations, consultez les Informations de référence sur l’API d’intégration pour les consoles de gestion locales (préversion publique).

Réponse

Type : JSON

Liste d’alertes avec les champs suivants :

Nom	Type	Autorise la valeur Null/N’accepte pas la valeur Null	Liste de valeurs
Id	Numérique	N'accepte pas la valeur null	-
sensorId	Numérique	N'accepte pas la valeur null	-
zoneId	Numérique	N'accepte pas la valeur null	-
time	Numérique	N'accepte pas la valeur null	Millisecondes depuis l’heure Epoch, en fuseau horaire UTC
title	String	N'accepte pas la valeur null	-
message	String	N'accepte pas la valeur null	-
severity	String	N'accepte pas la valeur null	Warning, Minor, Major ou Critical
engine	String	N'accepte pas la valeur null	Protocol Violation, Policy Violation, Malware, Anomaly ouOperational
sourceDevice	Numérique	Nullable	ID de périphérique
destinationDevice	Numérique	Nullable	ID de périphérique
remediationSteps	String	Nullable	Étapes de correction affichées dans l’alerte
additionalInformation	Objet d’informations supplémentaires	Nullable	-
handled	Booléen, état de l’alerte	N'accepte pas la valeur null	true ou false

Champs d’informations supplémentaires :

Nom	Type	Autorise la valeur Null/N’accepte pas la valeur Null	Liste de valeurs
description	String	N'accepte pas la valeur null	-
information	Tableau JSON	N'accepte pas la valeur null	String

Ajouté pour la V2 :

Nom	Type	Autorise la valeur Null/N’accepte pas la valeur Null	Liste de valeurs
sourceDeviceAddress	String	Nullable	Adresse IP ou MAC
destinationDeviceAddress	String	Nullable	Adresse IP ou MAC
remediationSteps	Tableau JSON	N'accepte pas la valeur null	Chaînes, étapes de correction décrites dans l’alerte
sensorName	String	N'accepte pas la valeur null	Le nom du capteur défini par l’utilisateur
zoneName	String	N'accepte pas la valeur null	Le nom de la zone associée au capteur
siteName	String	N'accepte pas la valeur null	Le nom du site associé au capteur

Pour plus d’informations, consultez la référence de la version de l’API de capteur.

Exemple de réponse

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

Commande cURL

Type : GET

API :

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

Exemple :

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (Gérer les alertes en fonction de l’UUID)

Utilisez cette API pour effectuer une action spécifiée sur une alerte spécifique détectée par Defender pour IoT.

Par exemple, vous pouvez utiliser cette API pour créer une règle de transfert qui transfère des données à QRadar. Pour plus d’informations, consultez Intégrer Qradar avec Microsoft Defender pour IoT.

URI : /external/v1/alerts/<UUID>

PUT

Requête

Type : JSON

Paramètres de requête :

Nom	Description	Exemple	Obligatoire/facultatif
UUID	Définit l’identificateur unique universel (UUID) de l’alerte que vous souhaitez gérer ou gérer et apprendre.	/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0	Obligatoire

Paramètres du corps

Name	Description	Exemple	Obligatoire/facultatif
action	String	handle ou handleAndLearn	Obligatoire

Exemple de requête

{
    "action": "handle"
}

Réponse

Type : JSON

Tableau d'objets JSON qui représentent les appareils.

Champs de réponse :

Nom	Type	Obligatoire/facultatif	Description
content / error	String	Obligatoire	Si la requête réussit, la propriété content s’affiche. Dans le cas contraire, la propriété error s’affiche.

Valeurs content possibles :

Code d’état	Message	Description
200	La requête de mise à jour d’alerte s’est terminée correctement.	La requête de mise à jour s’est terminée correctement. Aucun commentaire.
200	L’alerte a déjà été gérée (handle).	L’alerte a déjà été gérée lors de la réception d’une requête handle pour l’alerte. L’alerte reste à l’état handled.
200	L’alerte a déjà été gérée et acquise (handleAndLearn).	L’alerte a déjà été gérée et acquise lors de la réception d’une requête handleAndLearn. L’alerte reste à l’état handledAndLearn.
200	L’alerte a déjà été gérée (handled). La gestion et l’acquisition (handleAndLearn) ont été exécutées sur l’alerte.	L’alerte a déjà été gérée lors de la réception d’une requête handleAndLearn. L’alerte prend l’état handleAndLearn.
200	L’alerte a déjà été gérée et acquise (handleAndLearn). Requête handle ignorée.	L’alerte a déjà pris l’état handleAndLearn lors de la réception d’une requête de gestion de l’alerte. L’alerte reste à l’état handleAndLearn.
500	Action non valide.	L’action qui a été envoyée n’est pas une action valide à effectuer sur l’alerte.
500	Une erreur inattendue s'est produite.	Une erreur inattendue s’est produite. Pour résoudre le problème, contactez le support technique.
500	Impossible d’exécuter la requête, car aucune alerte n’a été trouvée pour cet UUID.	L’UUID d’alerte spécifié est introuvable dans le système.

Exemple de réponse : Réussite

{
    "content": "Alert update request finished successfully"
}

Exemple de réponse : Échec

{
    "error": "Invalid action"
}

Commande cURL

Type : PUT

API :

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

Exemple :

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (Créer des exclusions d’alerte)

Gère les fenêtres de maintenance, sous lesquelles les alertes ne seront pas envoyées. Utilisez cette API pour définir et mettre à jour les heures d’arrêt et de démarrage, les appareils ou sous-réseaux qui doivent être exclus lors du déclenchement d’alertes ou les moteurs Defender pour IoT qui doivent être exclus.

Par exemple, au cours d’une fenêtre de maintenance, vous souhaiterez peut-être arrêter l’envoi de toutes les alertes, à l’exception des alertes de programmes malveillants sur les appareils critiques.

Les fenêtres de maintenance définies avec l’API maintenanceWindow apparaissent dans la fenêtre Exclusions d’alerte de la console de gestion locale comme règle d’exclusion en lecture seule, nommée avec la syntaxe suivante : Maintenance-{token name}-{ticket ID}

Important

Cette API est prise en charge uniquement à des fins de maintenance pour une durée limitée, et n’est pas destinée à être utilisée à la place des règles d’exclusion d’alerte. Utilisez cette API pour les opérations de maintenance temporaires et ponctuelles uniquement.

URI : /external/v1/maintenanceWindow

POST

Crée une fenêtre de maintenance.

Requête

Paramètres du corps :

Nom	Description	Exemple	Obligatoire/facultatif
ticketId	Chaîne. Définit l’ID du ticket de maintenance dans les systèmes de l’utilisateur. Assurez-vous que l’ID de ticket n’est pas lié à une fenêtre ouverte existante.	2987345p98234	Obligatoire
ttl	Entier positif. Définit la durée de vie (TTL), qui correspond à la durée de la fenêtre de maintenance, en minutes. Une fois la période définie terminée, la fenêtre de maintenance est terminée et le système se comporte à nouveau normalement.	180	Obligatoire
engines	Tableau JSON de chaînes. Définit le moteur pour lequel supprimer les alertes pendant la fenêtre de maintenance. Valeurs possibles : - ANOMALY - MALWARE - OPERATIONAL - POLICY_VIOLATION - PROTOCOL_VIOLATION	ANOMALY,OPERATIONAL	Facultatif
sensorIds	Tableau JSON de chaînes. Définit les capteurs pour lesquels supprimer les alertes pendant la fenêtre de maintenance. Vous pouvez obtenir ces ID de capteur à partir de l’API appliances (Gérer les appliances de capteur OT).	1,35,63	Facultatif
Sous-réseaux	Tableau JSON de chaînes. Définit les sous-réseaux pour lesquels supprimer les alertes pendant la fenêtre de maintenance. Définissez chaque sous-réseau dans une notation CIDR.	192.168.0.0/16,138.136.80.0/14,112.138.10.0/8	Facultatif

Réponse

Code d’état	Message	Description
201 (Créé)	-	L’action s’est effectuée correctement.
400 (Requête incorrecte)	Pas de TicketId	La requête d’API n’a pas de valeur ticketId.
400 (Requête incorrecte)	Durée de vie non conforme	La requête d’API inclut une valeur TTL non positive ou non numérique.
400 (Requête incorrecte)	Impossible d’analyser la requête.	Problème d’analyse du corps, par exemple des paramètres incorrects ou des valeurs non valides.
400 (Requête incorrecte)	Une fenêtre de maintenance avec les mêmes paramètres existe déjà.	S’affiche lorsqu’une fenêtre de maintenance existe déjà avec les mêmes détails.
404 (Introuvable)	ID de capteur inconnu	L’un des capteurs répertoriés dans la requête n’existe pas.
409 (Conflit)	L’ID de ticket dispose déjà d’une fenêtre ouverte.	L’ID de ticket est lié à une autre fenêtre de maintenance ouverte.
500 (Erreur interne du serveur)	-	Autre erreur inattendue.

Commande cURL

Type : POST

API :

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Exemple :

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

Suppression

Ferme une fenêtre de maintenance existante.

Requête

Paramètres de requête :

Nom	Description	Exemple	Obligatoire/facultatif
ticketId	Définit l’ID du ticket de maintenance dans les systèmes de l’utilisateur. Assurez-vous que l’ID de ticket est lié à une fenêtre ouverte existante.	2987345p98234	Obligatoire

Réponse

Codes d’erreur :

Code	Message	Description
200 (OK)	-	L’action s’est effectuée correctement.
400 (Requête incorrecte)	Pas de TicketId	Le paramètre ticketId est manquant dans la requête.
404 (Introuvable) :	Fenêtre de maintenance introuvable.	L’ID de ticket n’est pas lié à une fenêtre de maintenance ouverte.
500 (Erreur interne du serveur)	-	Autre erreur inattendue.

Commande cURL

Type : DELETE

API :

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Exemple :

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

GET

Récupérez un journal de toutes les actions open (POST), close (DELETE) et update (PUT) effectuées à l’aide de cette API pour gérer les fenêtres de maintenance. T

Requête

Paramètres de requête :

Nom	Description	Exemple	Obligatoire/facultatif
fromDate	Filtre les journaux à partir de la date prédéfinie. Le format est YYYY-MM-DD.	2022-08-10	Facultatif
toDate	Filtre les journaux jusqu’à la date prédéfinie. Le format est YYYY-MM-DD.	2022-08-10	Facultatif
ticketId	Filtre les journaux liés à un ID de ticket spécifique.	9a5fe99c-d914-4bda-9332-307384fe40bf	Facultatif
tokenName	Filtre les journaux liés à un jeton spécifique.	quarterly-sanity-window	Facultatif

Codes d’erreur :

Code	Message	Description
200	Ok	L’action s’est effectuée correctement.
204 :	Pas de contenu	Aucune donnée à afficher.
400	Demande incorrecte	Le format de date est incorrect.
500	Erreur interne du serveur	Autre erreur inattendue.

Réponse

Type : JSON

Tableau d’objets JSON qui représentent les opérations de fenêtre de maintenance.

Structure de réponse :

Nom	Type	Autorise la valeur Null/N’accepte pas la valeur Null	Liste de valeurs
id	Entier long	N'accepte pas la valeur null	ID interne du journal actuel
dateTime	String	N'accepte pas la valeur null	Heure à laquelle l’activité s’est produite, par exemple : 2022-04-23T18:25:43.511Z
ticketId	String	N'accepte pas la valeur null	L’ID de la fenêtre de maintenance. Par exemple : 9a5fe99c-d914-4bda-9332-307384fe40bf
tokenName	String	N'accepte pas la valeur null	Nom du jeton de fenêtre de maintenance. Par exemple : quarterly-sanity-window
engines	Tableau de chaînes	Nullable	Moteurs sur lesquels la fenêtre de maintenance s’applique, comme indiqué lors de la création de la fenêtre de maintenance : Protocol Violation, Policy Violation, Malware, Anomaly ou Operational
sensorIds	Tableau de chaînes	Nullable	Capteurs sur lesquels la fenêtre de maintenance s’applique, comme indiqué lors de la création de la fenêtre de maintenance.
Sous-réseaux	Tableau de chaînes	Nullable	Sous-réseaux sur lesquels la fenêtre de maintenance s’applique, comme indiqué lors de la création de la fenêtre de maintenance.
ttl	Numérique	Nullable	Durée de vie (TTL) de la fenêtre de maintenance, telle qu’elle est fournie lors de la création ou de la mise à jour de la fenêtre de maintenance.
operationType	String	N'accepte pas la valeur null	Peut prendre l’une des valeurs suivantes : OPEN, UPDATE et CLOSE

Commande cURL

Type : GET

API :

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

Exemple :

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

PUT

Permet la mise à jour de la durée de la fenêtre de maintenance après le démarrage du processus de maintenance en modifiant le paramètre ttl. La nouvelle définition de durée remplace l’ancienne.

Cette méthode est utile lorsque vous souhaitez définir une durée plus longue que la durée actuellement configurée. Par exemple, si vous avez défini à l’origine 180 minutes, que 90 minutes sont passées et que vous souhaitez ajouter 30 minutes supplémentaires, mettez à jour ttl à la 120 minute pour réinitialiser la durée.

Requête

Paramètres de requête :

Nom	Description	Exemple	Obligatoire/facultatif
ticketId	Chaîne. Définit l’ID du ticket de maintenance dans les systèmes de l’utilisateur.	2987345p98234	Obligatoire
ttl	Entier positif. Définit la durée de la fenêtre en minutes.	210	Obligatoire

Réponse

Codes d’erreur :

Code	Message	Description
200 (OK)	-	L’action s’est effectuée correctement.
400 (Requête incorrecte)	Pas de TicketId	La requête n’a pas de valeur ticketId.
400 (Requête incorrecte)	Durée de vie non conforme	La durée de vie définie n’est pas numérique ou n’est pas un entier positif.
400 (Requête incorrecte)	Impossible d’analyser la requête	Il manque une valeur de paramètre ttl dans la requête.
404 (Introuvable)	Fenêtre de maintenance introuvable	L’ID de ticket n’est pas lié à une fenêtre de maintenance ouverte.
500 (Erreur interne du serveur)	-	Autre erreur inattendue.

Commande cURL

Type : PUT

API :

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Exemple :

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (Demander un PCAP d’alerte)

Utilisez cette API pour demander un fichier PCAP lié à une alerte.

URI : /external/v2/alerts/

GET

Requête

Paramètres de requête :

Nom	Description	Exemple	Obligatoire/facultatif
id	ID d’alerte à partir de la console de gestion locale	/external/v2/alerts/pcap/<id>	Obligatoire

Réponse

Type : JSON

Chaîne de message avec les détails de l’état de l’opération :

Code d’état	Message	Description
200 (OK)	-	Objet JSON avec des données sur le fichier PCAP demandé. Pour plus d’informations, consultez Champs de données.
500 (Erreur interne du serveur)	Alerte introuvable	L’ID d’alerte fourni n’a pas été trouvé sur la console de gestion locale.
500 (Erreur interne du serveur)	Erreur lors de l’obtention du jeton pour l’ID xsense <number>	Une erreur s’est produite lors de l’obtention du jeton du capteur pour l’ID de capteur spécifié
500 (Erreur interne du serveur)	-	Autre erreur inattendue.

Champs de données

Nom	Type	Autorise la valeur Null/N’accepte pas la valeur Null	Liste de valeurs
id	Numérique	N'accepte pas la valeur null	ID d’alerte de la console de gestion locale
xsenseId	Numérique	N'accepte pas la valeur null	ID du capteur
xsenseAlertId	Numérique	N'accepte pas la valeur null	ID d’alerte de la console de capteur
downloadUrl	String	N'accepte pas la valeur null	URL utilisée pour télécharger le fichier PCAP
token	String	N'accepte pas la valeur null	Jeton du capteur à utiliser lors du téléchargement du fichier PCAP

Exemple de réponse : Réussite

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Exemple de réponse : Erreur

{
  "error": "alert not found"
}

Commande cURL

Type : GET

API

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

* Exemple :

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Étapes suivantes

Pour plus d’informations, consultez Vue d’ensemble de référence de l’API Defender pour IoT.