OT 監視センサーのアラート管理 API リファレンス

この記事では、Microsoft Defender for IoT OT 監視センサーでサポートされているアラート管理 REST API の一覧を示します。

alerts (アラート情報を取得する)

この API を使用して、Defender for IoT センサーによって検出されたすべてのアラートの一覧を要求します。

URI: /api/v1/alerts

GET

Request

クエリ パラメーター

名前	説明	例	必須/省略可能
状態	処理されたか処理されなかったアラートのみを取得します。 サポートされる値: - handled - unhandled	/api/v1/alerts?state=handled	オプション
fromTime	指定した時刻 (エポック時間からのミリ秒数で UTC タイムゾーン) 以降に作成されたアラートを取得します。	/api/v1/alerts?fromTime=<epoch>	オプション
toTime	指定した時刻 (エポック時間からのミリ秒数で UTC タイムゾーン) 以前に作成されたアラートのみを取得します。	/api/v1/alerts?toTime=<epoch>	オプション
type	特定の種類のアラートのみを取得します。 サポートされる値: - unexpected new devices - disconnections 他のすべての値は無視されます。	/api/v1/alerts?type=disconnections	オプション

Response

型: JSON

次のフィールドを含むアラートの一覧。

名前	Type	Null 許容 / Null 非許容	［値の一覧］
ID	数値	NULL 値は許可されません	-
time	数値	NULL 値は許可されません	エポック時間からのミリ秒数 (UTC タイムゾーン)
title	String	NULL 値は許可されません	-
message	String	NULL 値は許可されません	-
severity	String	NULL 値は許可されません	Warning、Minor、Major、または Critical
engine	String	NULL 値は許可されません	Protocol Violation、Policy Violation、Malware、Anomaly、または Operational
sourceDevice	数値	Nullable	デバイス ID
destinationDevice	数値	Nullable	デバイス ID
additionalInformation	追加情報オブジェクト	Nullable	-

追加情報フィールド

名前	Type	Null 許容 / Null 非許容	［値の一覧］
description	String	NULL 値は許可されません	-
information	JSON 配列	NULL 値は許可されません	String

V2 に追加されたもの:

名前	Type	Null 許容 / Null 非許容	［値の一覧］
sourceDeviceAddress	String	Nullable	IP または MAC アドレス
destinationDeviceAddress	String	Nullable	IP または MAC アドレス
remediationSteps	JSON 配列	NULL 値は許可されません	文字列。アラートで説明されている修復手順

詳しくは、「Sensor API バージョン リファレンス」をご覧ください。

応答の例

[
    {
        "engine": "Policy Violation",
        "severity": "Major",
        "title": "Internet Access Detected",
        "additionalinformation": {
            "information": [
                "170.60.50.201 over port BACnet (47808)"
            ],
            "description": "External Addresses"
        },
        "sourceDevice": null,
        "destinationDevice": null,
        "time": 1509881077000,
        "message": "Device 192.168.0.13 tried to access an external IP address which is an address in the Internet and is not allowed by policy. It is recommended to notify the security officer of the incident.",
        "id": 1
    },
    {
        "engine": "Protocol Violation",
        "severity": "Major",
        "title": "Illegal MODBUS Operation (Exception Raised by Master)",
        "sourceDevice": 3,
        "destinationDevice": 4,
        "time": 1505651605000,
        "message": "A MODBUS master 192.168.110.131 attempted to initiate an illegal operation.\nThe operation is considered to be illegal since it incorporated function code \#129 which should not be used by a master.\nIt is recommended to notify the security officer of the incident.",
        "id": 2,
        "additionalInformation": null,
    }
]

cURL コマンド

型: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/api/v1/alerts?state=<STATE>&fromTime=<FROM_TIME>&toTime=<TO_TIME>&type=<TYPE>'

例:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/api/v1/alerts?state=unhandled&fromTime=1594550986000&toTime=1594550986001&type=disconnections'

events (タイムライン イベントの取得)

イベント タイムラインに報告されたイベントの一覧を要求するには、この API を使用します。

注意

厳密に同じパラメーター値を使用して同じ時間内に同一の API を実行すると、キャッシュされた値が返されます。 この API を 1 時間に 2 回実行する場合は、更新された応答を取得するようにクエリ パラメーターを変更することをお勧めします。

URI: /api/v1/events

GET

Request

クエリ パラメーター

名前	説明	例	必須/省略可能
minutesTimeFrame	イベントが報告された特定の期間で結果をフィルター処理します。 現在時刻から過去に遡って定義します。 最大 = 4320 (3 日)。 より大きい値は、エラーなしで 4320 として扱われます	/api/v1/events?minutesTimeFrame=20	オプション
type	特定の種類のみになるように結果をフィルター処理します。 サポートされている型以外の値は無視されます。 詳細については、「イベントの type と title のリファレンス」を参照してください。	/api/v1/events?type=DEVICE_CONNECTION_CREATED /api/v1/events?type=REMOTE_ACCESS&minutesTimeFrame	省略可能

Response

型: JSON

最新のイベントが最初になるようにイベント タイムスタンプで並べ替えられた最新の 100 個のイベントを表す JSON オブジェクトの配列。

イベント フィールドには次のものが含まれます。

名前	Type	Null 許容 / Null 非許容	［値の一覧］
timestamp	数値	NULL 値は許可されません	エポック時間からのミリ秒数 (UTC タイムゾーン)
type	String	NULL 値は許可されません	サポートされている種類のいずれか
title	String	NULL 値は許可されません	サポートされているタイトルのいずれか
severity	String	NULL 値は許可されません	INFO、 NOTICE、または ALERT
所有者	String	Nullable	文字列 をオンにします。 イベントが手動で作成された場合、このフィールドにはイベントを作成したユーザー名が含まれます。
content	String	NULL 値は許可されません	イベントを説明する文字列。

応答の例

[
    {
        "severity": "INFO",
        "title": "Back to Normal",
        "timestamp": 1504097077000,
        "content": "Device 10.2.1.15 was found responsive, after being suspected as disconnected",
        "owner": null,
        "type": "BACK_TO_NORMAL"
    },
    {
        "severity": "ALERT",
        "title": "Alert Detected",
        "timestamp": 1504096909000,
        "content": "Device 10.2.1.15 is suspected to be disconnected (unresponsive).",
        "owner": null,
        "type": "ALERT_REPORTED"
    },
    {
        "severity": "ALERT",
        "title": "Alert Detected",
        "timestamp": 1504094446000,
        "content": "A DNP3 Master 10.2.1.14 attempted to initiate a request which is not allowed by policy.\nThe policy indicates the allowed function codes, address ranges, point indexes and time intervals.\nIt is recommended to notify the security officer of the incident.",
        "owner": null,
        "type": "ALERT_REPORTED"
    },
    {
        "severity": "NOTICE",
        "title": "PLC Program Update",
        "timestamp": 1504094344000,
        "content": "Program update detected, sent from 10.2.1.25 to 10.2.1.14",
        "owner": null,
        "type": "PROGRAM_DEVICE"
    }
]

cURL コマンド

型: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/api/v1/events?minutesTimeFrame=<TIME_FRAEM>&type=<TYPE>'

例:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/api/v1/events?minutesTimeFrame=20&type=DEVICE_CONNECTION_CREATED'`

イベントの type と title のリファレンス

このセクションでは、イベントの "種類" としてサポートされる値と、events API の "タイトル" 値の一覧を示します。

イベントの種類	イベント タイトル
DEVICE_CREATE	デバイスが検出されました
DEVICE_UPDATE	デバイス:が更新されました
ALERT_REPORTED	アラートが検出されました
ALERT_UPDATED	アラートが更新されました
SCAN	スキャン デバイスが検出されました
PROGRAM_DEVICE	PLC プログラミング
MMS_PROGRAM_DEVICE	PLC プログラムの更新
SCL_UPLOADED	SCL がアップロードされました
EXCLUSION_RULE_CREATED	除外ルールが作成されました
EXCLUSION_RULE_REMOVED	除外ルールが削除されました
EXCLUSION_RULE_UPDATED	除外ルールが更新されました
DEVICE_CONNECTION_CREATED	デバイス接続が検出されました
USER_LOGIN	ユーザー ログインの試行
FILE_TRANSFER	ファイル転送が検出されました
CUSTOM_EVENT	ユーザー定義イベント
REMOTE_ACCESS	リモート アクセス接続が確立されました
BACK_TO_NORMAL	標準に戻りました
MMS_MEMORY_BLOCK_OPERATION	MMS メモリのブロック操作
MMS_PROGRAM_OPERATION	MMS プログラム操作
HTTP_BASIC_AUTHENTICATION	HTTP 基本認証
SIEMENS_S_7_MEMORY_BLOCK_OPERATION	Siemens S7 メモリのブロック操作
SIEMENS_S_7_AUTHENTICATION	Siemens S7 認証
REPORT_CREATED	レポートが作成されました
SNMP_TRAP	SNMP トラップが検出されました
DATABASE_ACTION	データベース構造の操作
PLC_MODULE_CHANGE	PLC モジュールの変更
FIRMWARE_UPDATE	ファームウェア更新
PLC_START	PLC の開始
SRTP_PLC_RESET	PLC のリセット
SRTP_PLC_COPY_FIRMWARE	ファームウェア更新
SRTP_LOGIN_PROGRAMMING	PLC プログラミング モードが設定されました
SRTP_PLC_CHANGE_PASSWORD	PLC パスワードの変更
OPC_DATA_ACCESS_GROUP_MANAGEMENT_OPERATION	OPC Data Access のグループ管理操作
OPC_DATA_ACCESS_ITEM_MANAGEMENT_OPERATION	OPC Data Access のアイテム管理操作
OPC_DATA_ACCESS_IO_SUBSCRIPTION_MANAGEMENT_OPERATION	OPC Data Access の IO サブスクリプション管理操作
OPC_AE_EVENT_SUBSCRIPTION	OPC AE のイベント サブスクリプション
OPC_AE_EVENT_CONDITION_MANAGEMENT_OPERATION	OPC AE のイベント条件管理操作
OPC_AE_EVENT	OPC AE イベント
SRTP_CHANGE_PRIVILEGE	PLC のアクセス レベルの変更
SRTP_CHANGE_LEVEL_FAILED	PLC のアクセス レベルの変更に失敗しました
SUITELINK_INIT_CONNECTION	Wonderware セッションが初期化されました
USER_OPERATION	ユーザー操作
DIP_UPLOADED	Data Intelligence パッケージがアップロードされました
FTP_AUTHENTICATION_FAILURE	FTP 認証エラー
PROFINET_DPC_VALUE_SET	Profinet の SET 操作
S7PLUS_PLC_MODE_CHANGE	PLC モードの変更
S7_PLC_MODE_CHANGE	PLC モードの変更
DELETE_DEVICE	デバイスの削除完了
S7PLUS_PROGRAMMING	PLC プログラミング
FIRMWARE_CHANGED	PLC ファームウェアが変更されました
DELTAV_PROGRAMMING	DeltaV インストール スクリプト
USER_DEFINED_RULE_CREATED	ユーザー定義ルールが作成されました
USER_DEFINED_RULE_EDITED	ユーザー定義ルールが編集されました
USER_DEFINED_RULE_DELETED	ユーザー定義ルールが削除されました
USER_DEFINED_RULE_OPERATION	ユーザー定義ルール操作
REMOTE_PROCESS_EXECUTION	リモート プロセスの実行
DEVICE_UNIFICATION	デバイス:が更新されました
NOTIFICATION	通知が手動で解決されました
ENIP_CONTROLLER_PROGRAM_DELETE	コントローラー プログラムの削除
ENIP_CONTROLLER_PROGRAM_RESET	コントローラー プログラムのリセット
ENIP_CONTROLLER_GENERIC_RESET	Controller Reset(コントローラーのリセット)
ENIP_CONTROLLER_GENERIC_STOP	Controller Stop(コントローラーの停止)
ENIP_CONTROLLER_GENERIC_START	コントローラーの起動
TELNET_AUTHENTICATION_FAILURE	Telnet 認証エラー
CONFIGURATION_OF_CLEARTEXT_PASSWORD	クリア テキスト パスワードの構成
CLEARTEXT_AUTHENTICATION	クリア テキスト認証
PROGRAM_UPLOAD_DEVICE	PLC プログラムのアップロード
CONFIGURATION_CHANGE	PLC 構成の書き込み
CONFIGURATION_READ	PLC 構成の読み取り
SYSLOG_MSG	Syslog メッセージ
INTERNET_ACCESS	インターネットへのアクセス
CAMP_MEMORY_WRITE_OPERATION	一般的な ASCII メッセージ プロトコルのメモリ書き込み操作
MUTED_ALERT	イベントが検出され、ミュートされました
DHCP_UPDATE	アドレスの更新
DIP_FAILURE	Data Intelligence パッケージのインストールエラー
DELETE_DEVICE_SCHEDULE	非アクティブなデバイスの削除がスケジュールされました
PLC_OPERATING_MODE_CHANGED	PLC 動作モードの変更が検出されました
HARDWARE_UPDATE_BY_IDENTIFIER	アドレスの更新

次のステップ

詳細については、Defender for IoT API リファレンスの概要に関するページを参照してください。