Informazioni di riferimento sulle API di gestione degli avvisi per le console di gestione locali

Questo articolo elenca le API REST di gestione degli avvisi supportate per le console di gestione locali di Microsoft Defender per IoT.

avvisi (recuperare informazioni sugli avvisi)

Usare questa API per recuperare tutti gli avvisi o filtrati da una console di gestione locale.

URI : /external/v1/alerts o /external/v2/alerts

OTTIENI

richiesta

parametri di query:

Nome	Descrizione	Esempio	Obbligatorio/Facoltativo
stato	Ottiene solo avvisi gestiti o non gestiti. Valori supportati: - handled - unhandled Tutti gli altri valori vengono ignorati.	/api/v1/alerts?state=handled	Opzionale
fromTime	Ottenere gli avvisi creati a partire da un determinato momento, in millisecondi dall'ora Epoch e nel fuso orario UTC.	/api/v1/alerts?fromTime=<epoch>	Opzionale
toTime	Ottiene gli avvisi creati solo prima in un determinato momento, in millisecondi dall'ora Epoch e nel fuso orario UTC.	/api/v1/alerts?toTime=<epoch>	Opzionale
siteId	Sito in cui è stato individuato l'avviso.	/api/v1/alerts?siteId=1	Opzionale
zoneId	Area in cui è stato individuato l'avviso.	/api/v1/alerts?zoneId=1	Opzionale
sensorId	Sensore in cui è stato individuato l'avviso.	/api/v1/alerts?sensorId=1	Opzionale

Nota

Potrebbe non essere presente l'ID del sito e dell'area. In questo caso, eseguire prima una query su tutti i dispositivi per recuperare l'ID sito e zona. Per altre informazioni, vedere Informazioni di riferimento sull'API di integrazione per le console di gestione locali (anteprima pubblica).

response

tipo: JSON

Elenco di avvisi con i campi seguenti:

Nome	Digitare	Nullable/Not nullable	Elenco di valori
id	Numerico	Non nullable	-
sensorId	Numerico	Non nullable	-
zoneId	Numerico	Non nullable	-
'ora	Numerico	Non nullable	Millisecondi da periodo, in fuso orario UTC
titolo	Corda	Non nullable	-
messaggio	Corda	Non nullable	-
di gravità	Corda	Non nullable	Warning, Minor, Majoro Critical
del motore di	Corda	Non nullable	Protocol Violation, Policy Violation, Malware, Anomalyo Operational
sourceDevice	Numerico	Nullable	ID dispositivo
destinationDevice	Numerico	Nullable	ID dispositivo
correzioneSteps	Corda	Nullable	Procedura di correzione illustrata nell'avviso
additionalInformation	Oggetto informazioni aggiuntivo	Nullable	-
gestito	Valore booleano, stato dell'avviso	Non nullable	true o false

Campi di informazioni aggiuntivi:

Nome	Digitare	Nullable/Not nullable	Elenco di valori
descrizione	Corda	Non nullable	-
informazioni	Matrice JSON	Non nullable	Corda

Aggiunta perV2 :

Nome	Digitare	Nullable/Not nullable	Elenco di valori
sourceDeviceAddress	Corda	Nullable	Indirizzo IP o MAC
destinationDeviceAddress	Corda	Nullable	Indirizzo IP o MAC
correzioneSteps	Matrice JSON	Non nullable	Stringhe, passaggi di correzione descritti nell'avviso
sensorName	Corda	Non nullable	Nome del sensore definito dall'utente
zoneName	Corda	Non nullable	Nome della zona associata al sensore
siteName	Corda	Non nullable	Nome del sito associato al sensore

Per altre informazioni, vedere riferimento alla versione dell'API Sensor.

Esempio di risposta

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

comando cURL

tipo: GET

'API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

esempio:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (Gestire gli avvisi in base all'UUID)

Usare questa API per eseguire un'azione specificata su un avviso specifico rilevato da Defender per IoT.

Ad esempio, è possibile usare questa API per creare una regola di inoltro che inoltra i dati a QRadar. Per altre informazioni, vedere Integrare Qradar con Microsoft Defender per IoT.

URI: /external/v1/alerts/<UUID>

METTERE

richiesta

tipo: JSON

parametri di query:

Nome	Descrizione	Esempio	Obbligatorio/Facoltativo
UUID	Definisce l'identificatore univoco universale (UUID) per l'avviso che si vuole gestire o gestire e apprendere.	/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0	Obbligatorio

parametri body

Nome	Descrizione	Esempio	Obbligatorio/Facoltativo
'azione	Corda	handle o handleAndLearn	Obbligatorio

esempio di richiesta

{
    "action": "handle"
}

response

tipo: JSON

Matrice di oggetti JSON che rappresentano i dispositivi.

campi risposta:

Nome	Digitare	Obbligatorio/Facoltativo	Descrizione
contenuto/ di errore	Corda	Obbligatorio	Se la richiesta ha esito positivo, viene visualizzata la proprietà content. In caso contrario, viene visualizzata la proprietà error.

Possibili valori di contenuto:

Codice di stato	Messaggio	Descrizione
200	Richiesta di aggiornamento degli avvisi completata.	La richiesta di aggiornamento è stata completata correttamente. Nessun commento.
200	Avviso già gestito (handle).	L'avviso è già stato gestito quando è stata ricevuta una richiesta di handle per l'avviso. L'avviso rimane gestito.
200	Avviso già gestito e appreso (handleAndLearn).	L'avviso è già stato gestito e appreso quando è stata ricevuta una richiesta di handleAndLearn. L'avviso rimane nello stato handledAndLearn.
200	Avviso già gestito (gestito). Handle e learn (handleAndLearn) è stato eseguito sull'avviso.	L'avviso è già stato gestito quando è stata ricevuta una richiesta di handleAndLearn. L'avviso diventa handleAndLearn.
200	Avviso già gestito e appreso (handleAndLearn). Richiesta di handle ignorata.	L'avviso era già handleAndLearn quando è stata ricevuta una richiesta di gestione dell'avviso. L'avviso rimane handleAndLearn.
500	Azione non valida.	L'azione inviata non è un'azione valida da eseguire sull'avviso.
500	Si è verificato un errore imprevisto.	Si è verificato un errore imprevisto. Per risolvere il problema, contattare il supporto tecnico.
500	Impossibile eseguire la richiesta perché non è stato trovato alcun avviso per questo UUID.	L'UUID dell'avviso specificato non è stato trovato nel sistema.

Esempio di risposta: Operazione riuscita

{
    "content": "Alert update request finished successfully"
}

Esempio di risposta: Non riuscito

{
    "error": "Invalid action"
}

comando cURL

tipo: PUT

API:

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

esempio:

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (Crea esclusioni di avvisi)

Gestisce le finestre di manutenzione, in cui gli avvisi non verranno inviati. Usare questa API per definire e aggiornare orari di arresto e avvio, dispositivi o subnet che devono essere esclusi durante l'attivazione di avvisi o definire e aggiornare i motori defender per IoT che devono essere esclusi.

Ad esempio, durante una finestra di manutenzione, è possibile interrompere il recapito degli avvisi di tutti gli avvisi, ad eccezione degli avvisi malware nei dispositivi critici.

Le finestre di manutenzione che definiscono con l'API maintenanceWindow vengono visualizzate nella finestra Esclusioni avvisi della console di gestione locale come regola di esclusione di sola lettura, denominata con la sintassi seguente: Maintenance-{token name}-{ticket ID}.

Importante

Questa API è supportata solo a scopo di manutenzione e per un periodo di tempo limitato e non deve essere usata invece di regole di esclusione degli avvisi. Usare questa API solo per operazioni di manutenzione temporanea monouso.

URI: /external/v1/maintenanceWindow

INSERISCI

Crea una nuova finestra di manutenzione.

richiesta

parametri body:

Nome	Descrizione	Esempio	Obbligatorio/Facoltativo
ticketId	Corda. Definisce l'ID del ticket di manutenzione nei sistemi dell'utente. Assicurarsi che l'ID ticket non sia collegato a una finestra aperta esistente.	2987345p98234	Obbligatorio
ttl	Numero intero positivo. Definisce il TTL (durata), ovvero la durata della finestra di manutenzione, espressa in minuti. Al termine del periodo di tempo definito, la finestra di manutenzione è finita e il sistema si comporta di nuovo normalmente.	180	Obbligatorio
motori	Matrice JSON di stringhe. Definisce il motore da cui eliminare gli avvisi durante la finestra di manutenzione. Valori possibili: - ANOMALY - MALWARE - OPERATIONAL - POLICY_VIOLATION - PROTOCOL_VIOLATION	ANOMALY,OPERATIONAL	Opzionale
sensorIds	Matrice JSON di stringhe. Definisce i sensori da cui eliminare gli avvisi durante la finestra di manutenzione. È possibile ottenere questi ID sensore dalle appliance (Gestisci appliance del sensore OT) API.	1,35,63	Opzionale
subnet	Matrice JSON di stringhe. Definisce le subnet da cui eliminare gli avvisi durante la finestra di manutenzione. Definire ogni subnet in una notazione CIDR.	192.168.0.0/16,138.136.80.0/14,112.138.10.0/8	Opzionale

response

Codice di stato	Messaggio	Descrizione
201 (creato)	-	L'azione è stata completata correttamente.
400 (richiesta non valida)	Nessun TicketId	Richiesta API mancante per un valore ticketId.
400 (richiesta non valida)	TTL non valido	La richiesta API includeva un valore TTL non positivo o non numerico.
400 (richiesta non valida)	Impossibile analizzare la richiesta.	Problema durante l'analisi del corpo, ad esempio parametri non corretti o valori non validi.
400 (richiesta non valida)	La finestra di manutenzione con gli stessi parametri esiste già.	Viene visualizzato quando esiste già una finestra di manutenzione esistente con gli stessi dettagli.
404 (non trovato)	ID sensore sconosciuto	Uno dei sensori elencati nella richiesta non esiste.
409 (conflitto)	L'ID ticket ha già una finestra aperta.	L'ID del ticket è collegato a un'altra finestra di manutenzione aperta.
500 (errore interno del server)	-	Qualsiasi altro errore imprevisto.

comando cURL

tipo: POST

'API:

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

esempio:

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

CANCELLARE

Chiude una finestra di manutenzione esistente.

richiesta

parametri di query:

Nome	Descrizione	Esempio	Obbligatorio/Facoltativo
ticketId	Definisce l'ID del ticket di manutenzione nei sistemi dell'utente. Assicurarsi che l'ID ticket sia collegato a una finestra aperta esistente.	2987345p98234	Obbligatorio

response

codici di errore:

Codice	Messaggio	Descrizione
200 (OK)	-	L'azione è stata completata correttamente.
400 (richiesta non valida)	Nessun TicketId	Il parametro ticketId non è presente nella richiesta.
404 (non trovato):	Finestra di manutenzione non trovata.	L'ID ticket non è collegato a una finestra di manutenzione aperta.
500 (errore interno del server)	-	Qualsiasi altro errore imprevisto.

comando cURL

tipo: DELETE

'API:

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

esempio:

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

OTTIENI

Recuperare un log di tutte le aperte (POST), chiudere (DELETE) e aggiornare (PUT) eseguite usando questa API per la gestione delle finestre di manutenzione. T

richiesta

parametri di query:

Nome	Descrizione	Esempio	Obbligatorio/Facoltativo
fromDate	Filtra i log dalla data predefinita e versioni successive. Il formato è YYYY-MM-DD.	2022-08-10	Opzionale
toDate	Filtra i log fino alla data predefinita. Il formato è YYYY-MM-DD.	2022-08-10	Opzionale
ticketId	Filtra i log correlati a un ID ticket specifico.	9a5fe99c-d914-4bda-9332-307384fe40bf	Opzionale
tokenName	Filtra i log correlati a un nome di token specifico.	finestra trimestrale di integrità	Opzionale

codici di errore:

Codice	Messaggio	Descrizione
200	OK	L'azione è stata completata correttamente.
204:	Nessun contenuto	Non sono presenti dati da visualizzare.
400	Richiesta non valida	Il formato della data non è corretto.
500	Errore interno del server	Qualsiasi altro errore imprevisto.

response

tipo: JSON

Matrice di oggetti JSON che rappresentano le operazioni della finestra di manutenzione.

Struttura della risposta:

Nome	Digitare	Nullable/Not nullable	Elenco di valori
ID	Intero lungo	Non nullable	ID interno per il log corrente
dateTime	Corda	Non nullable	Ora in cui si è verificata l'attività, ad esempio: 2022-04-23T18:25:43.511Z
ticketId	Corda	Non nullable	ID finestra di manutenzione. Ad esempio: 9a5fe99c-d914-4bda-9332-307384fe40bf
tokenName	Corda	Non nullable	Nome del token della finestra di manutenzione. Ad esempio: quarterly-sanity-window
motori	Matrice di stringhe	Nullable	Motori su cui si applica la finestra di manutenzione, come specificato durante la creazione della finestra di manutenzione: Protocol Violation, Policy Violation, Malware, Anomalyo Operational
sensorIds	Matrice di stringhe	Nullable	Sensori su cui si applica la finestra di manutenzione, come specificato durante la creazione della finestra di manutenzione.
subnet	Matrice di stringhe	Nullable	Subnet in cui si applica la finestra di manutenzione, come specificato durante la creazione della finestra di manutenzione.
ttl	Numerico	Nullable	Durata (TTL) della finestra di manutenzione, come specificato durante la creazione o l'aggiornamento della finestra di manutenzione.
operationType	Corda	Non nullable	Uno dei valori seguenti: OPEN, UPDATEe CLOSE

comando cURL

tipo: GET

'API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

esempio:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

METTERE

Consente di aggiornare la durata della finestra di manutenzione dopo l'avvio del processo di manutenzione modificando il parametro ttl. La nuova definizione di durata sostituisce quella precedente.

Questo metodo è utile quando si desidera impostare una durata più lunga rispetto alla durata attualmente configurata. Ad esempio, se sono stati originariamente definiti 180 minuti, sono trascorsi 90 minuti e si desidera aggiungere altri 30 minuti, aggiornare il ttl a 120 minuto per reimpostare il conteggio della durata.

richiesta

parametri di query:

Nome	Descrizione	Esempio	Obbligatorio/Facoltativo
ticketId	Corda. Definisce l'ID del ticket di manutenzione nei sistemi dell'utente.	2987345p98234	Obbligatorio
ttl	Numero intero positivo. Definisce la durata della finestra in minuti.	210	Obbligatorio

response

codici di errore:

Codice	Messaggio	Descrizione
200 (OK)	-	L'azione è stata completata correttamente.
400 (richiesta non valida)	Nessun TicketId	La richiesta manca un valore ticketId.
400 (richiesta non valida)	TTL non valido	Il valore TTL definito non è numerico o non è un numero intero positivo.
400 (richiesta non valida)	Non è stato possibile analizzare la richiesta	La richiesta manca un valore del parametro ttl.
404 (non trovato)	Finestra di manutenzione non trovata	L'ID ticket non è collegato a una finestra di manutenzione aperta.
500 (errore interno del server)	-	Qualsiasi altro errore imprevisto.

comando cURL

tipo: PUT

'API:

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

esempio:

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (Richiesta di avviso PCAP)

Usare questa API per richiedere un file PCAP correlato a un avviso.

URI: /external/v2/alerts/

OTTIENI

richiesta

parametri di query:

Nome	Descrizione	Esempio	Obbligatorio/Facoltativo
ID	ID avviso dalla console di gestione locale	/external/v2/alerts/pcap/<id>	Obbligatorio

response

tipo: JSON

Stringa di messaggio con i dettagli dello stato dell'operazione:

Codice di stato	Messaggio	Descrizione
200 (OK)	-	Oggetto JSON con dati sul file PCAP richiesto. Per altre informazioni, vedere Campi dati.
500 (errore interno del server)	Avviso non trovato	L'ID avviso fornito non è stato trovato nella console di gestione locale.
500 (errore interno del server)	Errore durante il recupero del token per l'ID xsense <number>	Si è verificato un errore durante il recupero del token del sensore per l'ID sensore specificato
500 (errore interno del server)	-	Qualsiasi altro errore imprevisto.

Campi dati

Nome	Digitare	Nullable/Not nullable	Elenco di valori
ID	Numerico	Non nullable	ID avviso della console di gestione locale
xsenseId	Numerico	Non nullable	ID sensore
xsenseAlertId	Numerico	Non nullable	ID avviso della console del sensore
downloadUrl	Corda	Non nullable	URL usato per scaricare il file PCAP
token	Corda	Non nullable	Token del sensore da usare durante il download del file PCAP

Esempio di risposta: Success

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Esempio di risposta: Errore

{
  "error": "alert not found"
}

comando cURL

tipo: GET

API

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

* esempio:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Passaggi successivi

Per altre informazioni, vedere la panoramica delle informazioni di riferimento sull'API Defender per IoT.