Dokumentacja interfejsu API zarządzania alertami dla lokalnych konsol zarządzania

W tym artykule wymieniono interfejsy API REST zarządzania alertami obsługiwane przez lokalne konsole zarządzania usługi Microsoft Defender dla IoT.

alerty (pobieranie informacji o alertach)

Ten interfejs API służy do pobierania wszystkich lub filtrowanych alertów z lokalnej konsoli zarządzania.

identyfikatora URI : lub

POBIERZ

parametry zapytania:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
stanu	Uzyskaj tylko obsługiwane lub nieobsługiwane alerty. Obsługiwane wartości: - handled - unhandled Wszystkie inne wartości są ignorowane.	/api/v1/alerts?state=handled	Fakultatywny
fromTime	Pobierz alerty utworzone od danego czasu w milisekundach z czasu epoki i strefy czasowej UTC.	/api/v1/alerts?fromTime=<epoch>	Fakultatywny
toTime	Pobierz alerty utworzone tylko wcześniej w danym momencie w milisekundach z czasu epoki i w strefie czasowej UTC.	/api/v1/alerts?toTime=<epoch>	Fakultatywny
siteId	Witryna, w której wykryto alert.	/api/v1/alerts?siteId=1	Fakultatywny
zoneId	Strefa, w której wykryto alert.	/api/v1/alerts?zoneId=1	Fakultatywny
sensorId	Czujnik, na którym wykryto alert.	/api/v1/alerts?sensorId=1	Fakultatywny

Nuta

Być może nie masz identyfikatora witryny i strefy. W takim przypadku należy najpierw wysłać zapytanie do wszystkich urządzeń w celu pobrania identyfikatora witryny i strefy. Aby uzyskać więcej informacji, zobacz Integration API reference for on-premises management consoles (Publiczna wersja zapoznawcza).

typ: JSON

Lista alertów z następującymi polami:

Nazwa	Typ	Dopuszczana do wartości null/nie dopuszczana do wartości null	Lista wartości
identyfikatora	Numeryczny	Nie można pustoć	-
sensorId	Numeryczny	Nie można pustoć	-
zoneId	Numeryczny	Nie można pustoć	-
czasu	Numeryczny	Nie można pustoć	Milisekundy z czasu epoki, w strefie czasowej UTC
tytuł	Struna	Nie można pustoć	-
komunikatu	Struna	Nie można pustoć	-
ważność	Struna	Nie można pustoć	Warning, Minor, Majorlub Critical
aparatu	Struna	Nie można pustoć	Protocol Violation, Policy Violation, Malware, Anomalylub Operational
sourceDevice	Numeryczny	Nullable	Identyfikator urządzenia
destinationDevice	Numeryczny	Nullable	Identyfikator urządzenia
korygowanieKroki	Struna	Nullable	Kroki korygowania wyświetlane w alercie
dodatkoweInformation	Obiekt dodatkowych informacji	Nullable	-
obsługiwane	Wartość logiczna, stan alertu	Nie można pustoć	true lub false

dodatkowe pola informacji:

Nazwa	Typ	Dopuszczana do wartości null/nie dopuszczana do wartości null	Lista wartości
opis	Struna	Nie można pustoć	-
informacji	Tablica JSON	Nie można pustoć	Struna

dodano dla wersji 2:

Nazwa	Typ	Dopuszczana do wartości null/nie dopuszczana do wartości null	Lista wartości
sourceDeviceAddress	Struna	Nullable	Adres IP lub ADRES MAC
destinationDeviceAddress	Struna	Nullable	Adres IP lub ADRES MAC
korygowanieKroki	Tablica JSON	Nie można pustoć	Ciągi, kroki korygowania opisane w alercie
sensorName	Struna	Nie można pustoć	Nazwa czujnika zdefiniowanego przez użytkownika
zoneName	Struna	Nie można pustoć	Nazwa strefy skojarzonej z czujnikiem
nazwa_witryny	Struna	Nie można pustoć	Nazwa lokacji skojarzonej z czujnikiem

Aby uzyskać więcej informacji, zobacz Dokumentacja wersji interfejsu API czujnika.

Przykład odpowiedzi

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

typ: GET

interfejsu API :

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (Zarządzanie alertami na podstawie identyfikatora UUID)

Użyj tego interfejsu API, aby podjąć określoną akcję dla określonego alertu wykrytego przez usługę Defender dla IoT.

Możesz na przykład użyć tego interfejsu API, aby utworzyć regułę przekazywania przekazującą dane do usługi QRadar. Aby uzyskać więcej informacji, zobacz Integrate Qradar with Microsoft Defender for IoT(Integracja qradar z usługą Microsoft Defender dla IoT).

identyfikatora URI: /external/v1/alerts/<UUID>

KŁAŚĆ

typ: JSON

parametry zapytania:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
identyfikatora UUID	Definiuje unikatowy identyfikator (UUID) dla alertu, który chcesz obsługiwać lub obsługiwać i uczyć.	/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0	Wymagane

Parametry treści

Nazwa	Opis	Przykład	Wymagane/opcjonalne
akcja	Struna	handle lub handleAndLearn	Wymagane

przykład żądania

{
    "action": "handle"
}

typ: JSON

Tablica obiektów JSON reprezentujących urządzenia.

Pola odpowiedzi:

Nazwa	Typ	Wymagane/opcjonalne	Opis
zawartości/błędu	Struna	Wymagane	Jeśli żądanie zakończy się pomyślnie, zostanie wyświetlona właściwość content. W przeciwnym razie zostanie wyświetlona właściwość error.

możliwe wartości zawartości:

Kod stanu	Komunikat	Opis
200	Żądanie aktualizacji alertu zostało zakończone pomyślnie.	Żądanie aktualizacji zakończyło się pomyślnie. Brak komentarzy.
200	Alert został już obsłużony (dojście).	Alert został już obsłużony, gdy odebrano żądanie obsługi alertu. Alert pozostaje obsłużony.
200	Alert został już obsłużony i poznany (handleAndLearn).	Alert został już obsłużony i dowiedział się, kiedy odebrano żądanie obsługi AndLearn. Alert pozostaje w stanie obsługi AndLearn.
200	Alert został już obsłużony (obsłużone). Obsługa i nauka (handleAndLearn) została wykonana na alercie.	Alert został już obsłużony, gdy odebrano żądanie obsługi AndLearn. Alert staje się handleAndLearn.
200	Alert został już obsłużony i poznany (handleAndLearn). Zignorowano żądanie obsługi.	Alert został już handleAndLearn po odebraniu żądania obsługi alertu. Alert pozostaje handleAndLearn.
500	Nieprawidłowa akcja.	Akcja, która została wysłana, nie jest prawidłową akcją do wykonania w alercie.
500	Wystąpił nieoczekiwany błąd.	Wystąpił nieoczekiwany błąd. Aby rozwiązać ten problem, skontaktuj się z pomocą techniczną.
500	Nie można wykonać żądania, ponieważ nie znaleziono alertu dla tego identyfikatora UUID.	Określony identyfikator UUID alertu nie został znaleziony w systemie.

Przykład odpowiedzi: Powodzenie

{
    "content": "Alert update request finished successfully"
}

Przykład odpowiedzi: niepowodzenie

{
    "error": "Invalid action"
}

typ : PUT

interfejsy API :

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

Przykład:

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (Tworzenie wykluczeń alertów)

Zarządza oknami obsługi, w których alerty nie będą wysyłane. Ten interfejs API służy do definiowania i aktualizowania czasów zatrzymywania i uruchamiania, urządzeń lub podsieci, które należy wykluczyć podczas wyzwalania alertów, lub definiowania i aktualizowania aparatów usługi Defender for IoT, które powinny zostać wykluczone.

Na przykład podczas okna obsługi możesz zatrzymać dostarczanie alertów wszystkich alertów, z wyjątkiem alertów dotyczących złośliwego oprogramowania na urządzeniach krytycznych.

Okna obsługi zdefiniowane za pomocą interfejsu API maintenanceWindow są wyświetlane w oknie Wykluczenia alertów lokalnej konsoli zarządzania jako reguła wykluczania tylko do odczytu o nazwie z następującą składnią: Maintenance-{token name}-{ticket ID}.

Ważny

Ten interfejs API jest obsługiwany tylko do celów konserwacji i przez ograniczony czas i nie jest przeznaczony do użycia zamiast reguł wykluczania alertów. Użyj tego interfejsu API tylko w przypadku jednorazowych operacji konserwacji tymczasowej.

identyfikatora URI: /external/v1/maintenanceWindow

POST

Tworzy nowe okno obsługi.

Parametry treści:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
ticketId	Struna. Definiuje identyfikator biletu konserwacji w systemach użytkownika. Upewnij się, że identyfikator biletu nie jest połączony z istniejącym otwartym oknem.	2987345p98234	Wymagane
czasu wygaśnięcia	Dodatnia liczba całkowita. Definiuje czas wygaśnięcia (czas wygaśnięcia), czyli czas trwania okna obsługi w minutach. Po zakończeniu zdefiniowanego okresu okno obsługi zostanie zakończone, a system zachowuje się normalnie ponownie.	180	Wymagane
aparatów	Tablica JSON ciągów. Określa aparat pomijania alertów w oknie obsługi. Możliwe wartości: - ANOMALY - MALWARE - OPERATIONAL - POLICY_VIOLATION - PROTOCOL_VIOLATION	ANOMALY,OPERATIONAL	Fakultatywny
sensorIds	Tablica JSON ciągów. Określa, które czujniki mają pomijać alerty w oknie obsługi. Te identyfikatory czujników można uzyskać z urządzeń (Zarządzanie urządzeniami czujników OT) interfejsu API.	1,35,63	Fakultatywny
podsieci	Tablica JSON ciągów. Definiuje podsieci w celu pomijania alertów w oknie obsługi. Zdefiniuj każdą podsieć w notacji CIDR.	192.168.0.0/16,138.136.80.0/14,112.138.10.0/8	Fakultatywny

Kod stanu	Komunikat	Opis
201 (utworzone)	-	Akcja została ukończona pomyślnie.
400 (nieprawidłowe żądanie)	Brak identyfikatora biletu	W żądaniu interfejsu API brakuje wartości ticketId.
400 (nieprawidłowe żądanie)	Niedozwolony czas wygaśnięcia	Żądanie interfejsu API zawierało nie dodatnią lub nieliczbową wartość czasu wygaśnięcia.
400 (nieprawidłowe żądanie)	Nie można przeanalizować żądania.	Problem z analizowaniem treści, na przykład nieprawidłowymi parametrami lub nieprawidłowymi wartościami.
400 (nieprawidłowe żądanie)	Okno obsługi z tymi samymi parametrami już istnieje.	Pojawia się, gdy istniejące okno obsługi już istnieje z tymi samymi szczegółami.
404 (nie znaleziono)	Nieznany identyfikator czujnika	Jeden z czujników wymienionych w żądaniu nie istnieje.
409 (konflikt)	Identyfikator biletu ma już otwarte okno.	Identyfikator biletu jest połączony z innym otwartym oknem obsługi.
500 (wewnętrzny błąd serwera)	-	Wszelkie inne nieoczekiwane błędy.

typ: POST

interfejsu API :

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Przykład:

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

USUNĄĆ

Zamyka istniejące okno obsługi.

parametry zapytania:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
ticketId	Definiuje identyfikator biletu konserwacji w systemach użytkownika. Upewnij się, że identyfikator biletu jest połączony z istniejącym otwartym oknem.	2987345p98234	Wymagane

kody błędów :

Kod	Komunikat	Opis
200 (OK)	-	Akcja została ukończona pomyślnie.
400 (nieprawidłowe żądanie)	Brak identyfikatora biletu	W żądaniu brakuje parametru ticketId.
404 (nie znaleziono):	Nie można odnaleźć okna obsługi.	Identyfikator biletu nie jest połączony z otwartym oknem obsługi.
500 (wewnętrzny błąd serwera)	-	Wszelkie inne nieoczekiwane błędy.

typ: DELETE

interfejsu API :

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Przykład:

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

POBIERZ

Pobierz dziennik wszystkich otwartych (POST), zamknij (DELETE) i update (PUT) akcji, które zostały wykonane przy użyciu tego interfejsu API do obsługi okien obsługi. T

parametry zapytania:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
fromDate	Filtruje dzienniki ze wstępnie zdefiniowanej daty i później. Format to YYYY-MM-DD.	2022-08-10	Fakultatywny
toDate	Filtruje dzienniki do wstępnie zdefiniowanej daty. Format to YYYY-MM-DD.	2022-08-10	Fakultatywny
ticketId	Filtruje dzienniki powiązane z określonym identyfikatorem biletu.	9a5fe99c-d914-4bda-9332-307384fe40bf	Fakultatywny
tokenName	Filtruje dzienniki powiązane z określoną nazwą tokenu.	kwartalne okno sanity	Fakultatywny

kody błędów :

Kod	Komunikat	Opis
200	OK	Akcja została ukończona pomyślnie.
204:	Brak zawartości	Brak danych do pokazania.
400	Nieprawidłowe żądanie	Format daty jest niepoprawny.
500	Wewnętrzny błąd serwera	Wszelkie inne nieoczekiwane błędy.

typ: JSON

Tablica obiektów JSON reprezentujących operacje okna obsługi.

Struktura odpowiedzi:

Nazwa	Typ	Dopuszczana do wartości null/nie dopuszczana do wartości null	Lista wartości
identyfikatora	Długa liczba całkowita	Nie można pustoć	Wewnętrzny identyfikator bieżącego dziennika
data/godzina	Struna	Nie można pustoć	Czas wystąpienia działania, na przykład: 2022-04-23T18:25:43.511Z
ticketId	Struna	Nie można pustoć	Identyfikator okna obsługi. Na przykład: 9a5fe99c-d914-4bda-9332-307384fe40bf
tokenName	Struna	Nie można pustoć	Nazwa tokenu okna obsługi. Na przykład: quarterly-sanity-window
aparatów	Tablica ciągów	Nullable	Aparaty, na których stosuje się okno obsługi, zgodnie z informacjami podanymi podczas tworzenia okna obsługi: Protocol Violation, Policy Violation, Malware, Anomalylub Operational
sensorIds	Tablica ciągów	Nullable	Czujniki, na których stosuje się okno obsługi, zgodnie z informacjami podanymi podczas tworzenia okna obsługi.
podsieci	Tablica ciągów	Nullable	Podsieci, w których ma zastosowanie okno obsługi, zgodnie z informacjami podanymi podczas tworzenia okna obsługi.
czasu wygaśnięcia	Numeryczny	Nullable	Czas wygaśnięcia okna obsługi (TTL), zgodnie z informacjami podanymi podczas tworzenia lub aktualizowania okna obsługi.
operationType	Struna	Nie można pustoć	Jedna z następujących wartości: OPEN, UPDATEi CLOSE

typ: GET

interfejsu API :

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

KŁAŚĆ

Umożliwia zaktualizowanie czasu trwania okna obsługi po rozpoczęciu procesu konserwacji przez zmianę parametru ttl. Nowa definicja czasu trwania zastępuje poprzednią definicję.

Ta metoda jest przydatna, gdy chcesz ustawić dłuższy czas trwania niż aktualnie skonfigurowany czas trwania. Jeśli na przykład pierwotnie zdefiniowano 180 minut, minęło 90 minut i chcesz dodać kolejne 30 minut, zaktualizuj ttl, aby 120 minutę, aby zresetować liczbę trwania.

parametry zapytania:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
ticketId	Struna. Definiuje identyfikator biletu konserwacji w systemach użytkownika.	2987345p98234	Wymagane
czasu wygaśnięcia	Dodatnia liczba całkowita. Definiuje czas trwania okna w minutach.	210	Wymagane

kody błędów :

Kod	Komunikat	Opis
200 (OK)	-	Akcja została ukończona pomyślnie.
400 (nieprawidłowe żądanie)	Brak identyfikatora biletu	W żądaniu brakuje wartości ticketId.
400 (nieprawidłowe żądanie)	Niedozwolony czas wygaśnięcia	Zdefiniowany czas wygaśnięcia nie jest liczbowy lub nie dodatnią liczbą całkowitą.
400 (nieprawidłowe żądanie)	Nie można przeanalizować żądania	W żądaniu brakuje wartości parametru ttl.
404 (nie znaleziono)	Nie znaleziono okna obsługi	Identyfikator biletu nie jest połączony z otwartym oknem obsługi.
500 (wewnętrzny błąd serwera)	-	Wszelkie inne nieoczekiwane błędy.

typ : PUT

interfejsu API :

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Przykład:

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (Żądanie alertu PCAP)

Użyj tego interfejsu API, aby zażądać pliku PCAP powiązanego z alertem.

identyfikatora URI: /external/v2/alerts/

POBIERZ

parametry zapytania:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
identyfikatora	Identyfikator alertu z lokalnej konsoli zarządzania	/external/v2/alerts/pcap/<id>	Wymagane

typ: JSON

Ciąg komunikatu ze szczegółami stanu operacji:

Kod stanu	Komunikat	Opis
200 (OK)	-	Obiekt JSON z danymi dotyczącymi żądanego pliku PCAP. Aby uzyskać więcej informacji, zobacz Pola danych.
500 (wewnętrzny błąd serwera)	Nie znaleziono alertu	Podany identyfikator alertu nie został znaleziony w lokalnej konsoli zarządzania.
500 (wewnętrzny błąd serwera)	Błąd podczas pobierania tokenu dla <number> identyfikatora xsense	Wystąpił błąd podczas pobierania tokenu czujnika dla określonego identyfikatora czujnika
500 (wewnętrzny błąd serwera)	-	Wszelkie inne nieoczekiwane błędy.

Pola danych

Nazwa	Typ	Dopuszczana do wartości null/nie dopuszczana do wartości null	Lista wartości
identyfikatora	Numeryczny	Nie można pustoć	Identyfikator alertu lokalnej konsoli zarządzania
xsenseId	Numeryczny	Nie można pustoć	Identyfikator czujnika
xsenseAlertId	Numeryczny	Nie można pustoć	Identyfikator alertu konsoli czujnika
downloadUrl	Struna	Nie można pustoć	Adres URL używany do pobierania pliku PCAP
tokenu	Struna	Nie można pustoć	Token czujnika, który ma być używany podczas pobierania pliku PCAP

Przykład odpowiedzi: Powodzenie

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Przykład odpowiedzi: Błąd

{
  "error": "alert not found"
}

typ: GET

interfejsy API

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

* Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Następne kroki

Aby uzyskać więcej informacji, zobacz omówienie interfejsu API usługi Defender for IoT.