Naslaginformatie over de API voor waarschuwingsbeheer voor on-premises beheerconsoles

Dit artikel bevat de REST API's voor waarschuwingsbeheer die worden ondersteund voor on-premises beheerconsoles van Microsoft Defender for IoT.

waarschuwingen (waarschuwingsgegevens ophalen)

Gebruik deze API om alle of gefilterde waarschuwingen op te halen uit een on-premises beheerconsole.

URI-: /external/v1/alerts of /external/v2/alerts

TOEVOEGEN

queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
status	Ontvang alleen verwerkte of niet-verwerkte waarschuwingen. Ondersteunde waarden: - handled - unhandled Alle andere waarden worden genegeerd.	/api/v1/alerts?state=handled	Facultatief
fromTime	Ontvang waarschuwingen die vanaf een bepaald tijdstip zijn gemaakt, in milliseconden van epoch-tijd en in UTC-tijdzone.	/api/v1/alerts?fromTime=<epoch>	Facultatief
toTime-	Ontvang waarschuwingen die alleen vóór op een bepaald tijdstip zijn gemaakt, in milliseconden van epoch-tijd en in UTC-tijdzone.	/api/v1/alerts?toTime=<epoch>	Facultatief
siteId-	De site waarop de waarschuwing is gedetecteerd.	/api/v1/alerts?siteId=1	Facultatief
zoneId-	De zone waarop de waarschuwing is gedetecteerd.	/api/v1/alerts?zoneId=1	Facultatief
sensorId-	De sensor waarop de waarschuwing is gedetecteerd.	/api/v1/alerts?sensorId=1	Facultatief

Notitie

Mogelijk hebt u de site- en zone-id niet. Als dit het geval is, moet u eerst alle apparaten opvragen om de site- en zone-id op te halen. Zie Integration API-referentiemateriaal voor on-premises beheerconsoles (openbare preview)voor meer informatie.

antwoord

Type: JSON

Een lijst met waarschuwingen met de volgende velden:

Naam	Type	Nullable/Not nullable	Lijst met waarden
id-	Numeriek	Niet nullable	-
sensorId-	Numeriek	Niet nullable	-
zoneId-	Numeriek	Niet nullable	-
tijd	Numeriek	Niet nullable	Milliseconden uit Epoch-tijd, in UTC-tijdzone
titel	Snaar	Niet nullable	-
bericht	Snaar	Niet nullable	-
ernst	Snaar	Niet nullable	Warning, Minor, Majorof Critical
engine	Snaar	Niet nullable	Protocol Violation, Policy Violation, Malware, Anomalyof Operational
sourceDevice-	Numeriek	Null-waarde	Apparaat-id
destinationDevice-	Numeriek	Null-waarde	Apparaat-id
remediationSteps-	Snaar	Null-waarde	Herstelstappen weergegeven in waarschuwing
additionalInformation-	Extra informatieobject	Null-waarde	-
afgehandelde	Booleaanse status van de waarschuwing	Niet nullable	true of false

Velden voor aanvullende informatie:

Naam	Type	Nullable/Not nullable	Lijst met waarden
beschrijving	Snaar	Niet nullable	-
informatie	JSON-matrix	Niet nullable	Snaar

toegevoegd voor V2-:

Naam	Type	Nullable/Not nullable	Lijst met waarden
sourceDeviceAddress-	Snaar	Null-waarde	IP- of MAC-adres
destinationDeviceAddress-	Snaar	Null-waarde	IP- of MAC-adres
remediationSteps-	JSON-matrix	Niet nullable	Tekenreeksen, herstelstappen beschreven in waarschuwing
sensorName	Snaar	Niet nullable	Naam van sensor gedefinieerd door gebruiker
zoneName	Snaar	Niet nullable	Naam van de zone die is gekoppeld aan sensor
siteName	Snaar	Niet nullable	Naam van de site die is gekoppeld aan sensor

Zie naslaginformatie over de sensor-API-versievoor meer informatie.

Voorbeeld van antwoord

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

cURL-opdracht

Type: GET

API-:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

voorbeeld van:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (Waarschuwingen beheren op basis van de UUID)

Gebruik deze API om de opgegeven actie uit te voeren voor een specifieke waarschuwing die is gedetecteerd door Defender for IoT.

U kunt deze API bijvoorbeeld gebruiken om een doorstuurregel te maken waarmee gegevens worden doorgestuurd naar QRadar. Zie Qradar integreren met Microsoft Defender for IoTvoor meer informatie.

URI-: /external/v1/alerts/<UUID>

ZETTEN

Type: JSON

queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
UUID-	Definieert de UUID (Universally Unique Identifier) voor de waarschuwing die u wilt verwerken of verwerken en leren.	/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0	Vereist

hoofdtekstparameters

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
actie	Snaar	Ofwel handle of handleAndLearn	Vereist

voorbeeld van aanvraag

{
    "action": "handle"
}

antwoord

Type: JSON

Matrix van JSON-objecten die apparaten vertegenwoordigen.

antwoordvelden:

Naam	Type	Vereist/optioneel	Beschrijving
inhoud/fout	Snaar	Vereist	Als de aanvraag is geslaagd, wordt de inhoudseigenschap weergegeven. Anders wordt de fouteigenschap weergegeven.

Mogelijke inhoudswaarden:

Statuscode	Bericht	Beschrijving
200	De aanvraag voor het bijwerken van waarschuwingen is voltooid.	De updateaanvraag is voltooid. Geen opmerkingen.
200	Waarschuwing is al verwerkt (handle).	De waarschuwing is al verwerkt toen een handleaanvraag voor de waarschuwing werd ontvangen. De waarschuwing blijft afgehandeld.
200	Waarschuwing is al verwerkt en geleerd (handleAndLearn).	De waarschuwing is al verwerkt en geleerd wanneer een aanvraag voor handleAndLearn- is ontvangen. De waarschuwing blijft in de verwerktAndLearn status.
200	Waarschuwing is al verwerkt (verwerkt). Handle and learn (handleAndLearn) is uitgevoerd op de waarschuwing.	De waarschuwing is al verwerkt toen een aanvraag voor handleAndLearn- werd ontvangen. De waarschuwing wordt handleAndLearn.
200	Waarschuwing is al verwerkt en geleerd (handleAndLearn). Aanvraag voor verwerking genegeerd.	De waarschuwing is al handleAndLearn toen een aanvraag voor het afhandelen van de waarschuwing werd ontvangen. De waarschuwing blijft handleAndLearn.
500	Ongeldige actie.	De verzonden actie is geen geldige actie die moet worden uitgevoerd voor de waarschuwing.
500	Er is een onverwachte fout opgetreden.	Er is een onverwachte fout opgetreden. Neem contact op met de technische ondersteuning om het probleem op te lossen.
500	Kan aanvraag niet uitvoeren omdat er geen waarschuwing is gevonden voor deze UUID.	De opgegeven waarschuwings-UUID is niet gevonden in het systeem.

Antwoordvoorbeeld: Geslaagd

{
    "content": "Alert update request finished successfully"
}

Antwoordvoorbeeld: Mislukt

{
    "error": "Invalid action"
}

cURL-opdracht

Type: PUT

API's:

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

voorbeeld van:

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (waarschuwingsuitsluitingen maken)

Beheert onderhoudsvensters, waaronder waarschuwingen niet worden verzonden. Gebruik deze API om stop- en begintijden, apparaten of subnetten te definiëren en bij te werken die moeten worden uitgesloten bij het activeren van waarschuwingen of om Defender voor IoT-engines te definiëren en bij te werken die moeten worden uitgesloten.

Bijvoorbeeld, tijdens een onderhoudsvenster wilt u de bezorging van waarschuwingen van alle waarschuwingen stoppen, met uitzondering van malwarewaarschuwingen op kritieke apparaten.

De onderhoudsvensters die worden gedefinieerd met de maintenanceWindow-API worden weergegeven in het venster Waarschuwingsuitsluitingen van de on-premises beheerconsole als een regel voor alleen-lezen uitsluiting, met de volgende syntaxis: Maintenance-{token name}-{ticket ID}.

Belangrijk

Deze API wordt alleen ondersteund voor onderhoudsdoeleinden en voor een beperkte periode, en is niet bedoeld om te worden gebruikt in plaats van waarschuwingsuitsluitingsregels. Gebruik deze API alleen voor eenmalige, tijdelijke onderhoudsbewerkingen.

URI-: /external/v1/maintenanceWindow

VERZENDEN

Hiermee maakt u een nieuw onderhoudsvenster.

hoofdtekstparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
ticketId	Snaar. Definieert de onderhoudsticket-id in de systemen van de gebruiker. Zorg ervoor dat de ticket-id niet is gekoppeld aan een bestaand geopend venster.	2987345p98234	Vereist
ttl-	Positief geheel getal. Definieert de TTL (time to live), de duur van het onderhoudsvenster, in minuten. Nadat de gedefinieerde periode is voltooid, is het onderhoudsvenster voorbij en gedraagt het systeem zich weer normaal.	180	Vereist
engines	JSON-matrix met tekenreeksen. Hiermee definieert u welke engine waarschuwingen moet onderdrukken tijdens het onderhoudsvenster. Mogelijke waarden: - ANOMALY - MALWARE - OPERATIONAL - POLICY_VIOLATION - PROTOCOL_VIOLATION	ANOMALY,OPERATIONAL	Facultatief
sensorIds	JSON-matrix met tekenreeksen. Hiermee definieert u welke sensoren waarschuwingen moeten onderdrukken tijdens het onderhoudsvenster. U kunt deze sensor-id's ophalen uit de -apparaten (OT-sensorapparaten beheren) API.	1,35,63	Facultatief
subnetten	JSON-matrix met tekenreeksen. Hiermee definieert u de subnetten voor het onderdrukken van waarschuwingen tijdens het onderhoudsvenster. Definieer elk subnet in een CIDR-notatie.	192.168.0.0/16,138.136.80.0/14,112.138.10.0/8	Facultatief

antwoord

Statuscode	Bericht	Beschrijving
201 (gemaakt)	-	De actie is voltooid.
400 (ongeldige aanvraag)	Geen TicketId	Er ontbreekt een api-aanvraag ticketId waarde.
400 (ongeldige aanvraag)	Ongeldige TTL	API-aanvraag bevat een niet-positieve of niet-numerieke TTL-waarde.
400 (ongeldige aanvraag)	Kan aanvraag niet parseren.	Probleem bij het parseren van de hoofdtekst, zoals onjuiste parameters of ongeldige waarden.
400 (ongeldige aanvraag)	Het onderhoudsvenster met dezelfde parameters bestaat al.	Wordt weergegeven wanneer er al een bestaand onderhoudsvenster bestaat met dezelfde details.
404 (niet gevonden)	Onbekende sensor-id	Een van de sensoren die in de aanvraag worden vermeld, bestaat niet.
409 (conflict)	Ticket-id heeft al een geopend venster.	De ticket-id is gekoppeld aan een ander geopend onderhoudsvenster.
500 (interne serverfout)	-	Een andere onverwachte fout.

cURL-opdracht

Type: POST

API-:

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

voorbeeld van:

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

VERWIJDEREN

Hiermee sluit u een bestaand onderhoudsvenster.

queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
ticketId	Definieert de onderhoudsticket-id in de systemen van de gebruiker. Zorg ervoor dat de ticket-id is gekoppeld aan een bestaand geopend venster.	2987345p98234	Vereist

antwoord

foutcodes:

Code	Bericht	Beschrijving
200 (OK)	-	De actie is voltooid.
400 (ongeldige aanvraag)	Geen TicketId	De parameter ticketId ontbreekt in de aanvraag.
404 (niet gevonden):	Onderhoudsvenster is niet gevonden.	De ticket-id is niet gekoppeld aan een geopend onderhoudsvenster.
500 (interne serverfout)	-	Een andere onverwachte fout.

cURL-opdracht

Type: DELETE

API-:

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

voorbeeld van:

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

TOEVOEGEN

Haal een logboek op van alle open (POST), sluiten (DELETE-) en (PUT-) acties die met deze API zijn uitgevoerd voor het verwerken van onderhoudsvensters. T

queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
fromDate	Hiermee filtert u de logboeken van de vooraf gedefinieerde datum en later. De indeling is YYYY-MM-DD.	2022-08-10	Facultatief
toDate-	Hiermee filtert u de logboeken tot de vooraf gedefinieerde datum. De indeling is YYYY-MM-DD.	2022-08-10	Facultatief
ticketId	Hiermee filtert u de logboeken met betrekking tot een specifieke ticket-id.	9a5fe99c-d914-4bda-9332-307384fe40bf	Facultatief
tokenName	Hiermee filtert u de logboeken met betrekking tot een specifieke tokennaam.	kwartaal-sanity-venster	Facultatief

foutcodes:

Code	Bericht	Beschrijving
200	OK	De actie is voltooid.
204:	Geen inhoud	Er zijn geen gegevens om weer te geven.
400	Ongeldige aanvraag	De datumnotatie is onjuist.
500	Interne serverfout	Een andere onverwachte fout.

antwoord

Type: JSON

Matrix van JSON-objecten die onderhoudsvensterbewerkingen vertegenwoordigen.

antwoordstructuur:

Naam	Type	Nullable/Not nullable	Lijst met waarden
id	Lang geheel getal	Niet nullable	Een interne id voor het huidige logboek
dateTime-	Snaar	Niet nullable	De tijd waarop de activiteit heeft plaatsgevonden, bijvoorbeeld: 2022-04-23T18:25:43.511Z
ticketId	Snaar	Niet nullable	De id van het onderhoudsvenster. Bijvoorbeeld: 9a5fe99c-d914-4bda-9332-307384fe40bf
tokenName	Snaar	Niet nullable	De naam van het onderhoudsvenstertoken. Bijvoorbeeld: quarterly-sanity-window
engines	Matrix van tekenreeksen	Null-waarde	De motoren waarop het onderhoudsvenster van toepassing is, zoals opgegeven tijdens het maken van het onderhoudsvenster: Protocol Violation, Policy Violation, Malware, Anomalyof Operational
sensorIds	Matrix van tekenreeks	Null-waarde	De sensoren waarop het onderhoudsvenster van toepassing is, zoals opgegeven tijdens het maken van het onderhoudsvenster.
subnetten	Matrix van tekenreeks	Null-waarde	De subnetten waarop het onderhoudsvenster van toepassing is, zoals opgegeven tijdens het maken van het onderhoudsvenster.
ttl-	Numeriek	Null-waarde	De TTL (Time to Live) van het onderhoudsvenster, zoals opgegeven tijdens het maken of bijwerken van het onderhoudsvenster.
operationType	Snaar	Niet nullable	Een van de volgende waarden: OPEN, UPDATEen CLOSE

cURL-opdracht

Type: GET

API-:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

voorbeeld van:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

ZETTEN

Hiermee kunt u de duur van het onderhoudsvenster bijwerken nadat u het onderhoudsproces hebt gestart door de parameter ttl te wijzigen. De nieuwe duurdefinitie overschrijft de vorige definitie.

Deze methode is handig als u een langere duur wilt instellen dan de momenteel geconfigureerde duur. Als u bijvoorbeeld 180 minuten hebt gedefinieerd, 90 minuten zijn verstreken en u nog eens 30 minuten wilt toevoegen, werkt u de ttl bij naar 120 minuut om het aantal duur opnieuw in te stellen.

queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
ticketId	Snaar. Definieert de onderhoudsticket-id in de systemen van de gebruiker.	2987345p98234	Vereist
ttl-	Positief geheel getal. Hiermee definieert u de duur van het venster in minuten.	210	Vereist

antwoord

foutcodes:

Code	Bericht	Beschrijving
200 (OK)	-	De actie is voltooid.
400 (ongeldige aanvraag)	Geen TicketId	Er ontbreekt een ticketId-waarde in de aanvraag.
400 (ongeldige aanvraag)	Ongeldige TTL	De gedefinieerde TTL is niet numeriek of niet een positief geheel getal.
400 (ongeldige aanvraag)	Kan aanvraag niet parseren	Er ontbreekt een ttl parameterwaarde voor de aanvraag.
404 (niet gevonden)	Onderhoudsvenster niet gevonden	De ticket-id is niet gekoppeld aan een geopend onderhoudsvenster.
500 (interne serverfout)	-	Een andere onverwachte fout.

cURL-opdracht

Type: PUT

API-:

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

voorbeeld van:

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (waarschuwing voor PCAP aanvragen)

Gebruik deze API om een PCAP-bestand aan te vragen dat is gerelateerd aan een waarschuwing.

URI-: /external/v2/alerts/

TOEVOEGEN

queryparameters:

Naam	Beschrijving	Voorbeeld	Vereist/optioneel
id	Waarschuwings-id vanuit de on-premises beheerconsole	/external/v2/alerts/pcap/<id>	Vereist

antwoord

Type: JSON

Berichttekenreeks met de details van de bewerkingsstatus:

Statuscode	Bericht	Beschrijving
200 (OK)	-	JSON-object met gegevens over het aangevraagde PCAP-bestand. Zie Gegevensveldenvoor meer informatie.
500 (interne serverfout)	Waarschuwing niet gevonden	De opgegeven waarschuwings-id is niet gevonden in de on-premises beheerconsole.
500 (interne serverfout)	Fout bij het ophalen van het token voor xsense-id <number>	Er is een fout opgetreden bij het ophalen van het token van de sensor voor de opgegeven sensor-id
500 (interne serverfout)	-	Een andere onverwachte fout.

Gegevensvelden

Naam	Type	Nullable/Not nullable	Lijst met waarden
id	Numeriek	Niet nullable	De waarschuwings-id van de on-premises beheerconsole
xsenseId-	Numeriek	Niet nullable	De sensor-id
xsenseAlertId	Numeriek	Niet nullable	De waarschuwings-id van de sensorconsole
downloadUrl-	Snaar	Niet nullable	De URL die wordt gebruikt om het PCAP-bestand te downloaden
token	Snaar	Niet nullable	Het token van de sensor, dat moet worden gebruikt bij het downloaden van het PCAP-bestand

Antwoordvoorbeeld: Geslaagd

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Antwoordvoorbeeld: Fout

{
  "error": "alert not found"
}

cURL-opdracht

Type: GET

API's

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

* voorbeeld van:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Volgende stappen

Zie het overzicht Defender for IoT API-referentieoverzichtvoor meer informatie.