Dokumentacja interfejsu API zarządzania alertami dla czujników monitorowania OT
W tym artykule wymieniono interfejsy API REST zarządzania alertami obsługiwane dla Microsoft Defender dla czujników monitorowania IoT OT.
alerty (pobieranie informacji o alertach)
Użyj tego interfejsu API, aby zażądać listy wszystkich alertów wykrytych przez czujnik usługi Defender for IoT.
Identyfikator URI: /api/v1/alerts
GET
Parametry zapytania
| Nazwa | Opis | Przykład | Wymagane /Opcjonalne |
|---|---|---|---|
| Państwa | Uzyskaj tylko obsługiwane lub nieobsługiwane alerty. Obsługiwane wartości: - handled- unhandled |
/api/v1/alerts?state=handled |
Opcjonalne |
| fromTime | Pobierz alerty utworzone od danego czasu w milisekundach z epoki i w strefie czasowej UTC. | /api/v1/alerts?fromTime=<epoch> |
Opcjonalne |
| toTime | Pobierz alerty utworzone tylko wcześniej w danym momencie w milisekundach z epoki i w strefie czasowej UTC. | /api/v1/alerts?toTime=<epoch> |
Opcjonalne |
| typ | Pobieranie alertów tylko o określonym typie. Obsługiwane wartości: - unexpected new devices - disconnections Wszystkie inne wartości są ignorowane. |
/api/v1/alerts?type=disconnections |
Opcjonalne |
zdarzenia (pobieranie zdarzeń osi czasu)
Użyj tego interfejsu API, aby zażądać listy zdarzeń zgłoszonych na osi czasu zdarzenia.
Uwaga
Uruchomienie identycznego interfejsu API w ciągu tej samej godziny, z dokładnie tymi samymi wartościami parametrów, zwraca wartość z pamięci podręcznej. Jeśli używasz tego interfejsu API dwa razy w ciągu godziny, zalecamy zmodyfikowanie parametrów zapytania w celu uzyskania zaktualizowanej odpowiedzi.
Identyfikator URI: /api/v1/events
GET
Parametry zapytania
| Nazwa | Opis | Przykład | Wymagane/opcjonalne |
|---|---|---|---|
| minutesTimeFrame | Filtruj wyniki według danego przedziału czasu, w którym zgłoszono zdarzenia. Zdefiniowane wstecz od bieżącego czasu. Maksimum = 4320 (3 dni). Każda większa wartość jest traktowana jako 4320 bez błędu |
/api/v1/events?minutesTimeFrame=20 |
Opcjonalne |
| typ | Filtruj wyniki tylko dla określonego typu. Każda wartość inna niż obsługiwane typy jest ignorowana. Aby uzyskać więcej informacji, zobacz Event and reference (Zdarzenie type i title dokumentacja). |
/api/v1/events?type=DEVICE_CONNECTION_CREATED /api/v1/events?type=REMOTE_ACCESS&minutesTimeFrame |
Opcjonalne |
Zdarzenie type i title odwołanie
W tej sekcji wymieniono wartości obsługiwane jako typ zdarzenia i wartości tytułu dla interfejsu API zdarzeń .
| Typ zdarzenia | Tytuł zdarzenia |
|---|---|
| DEVICE_CREATE | Wykryto urządzenie |
| DEVICE_UPDATE | Zaktualizowano urządzenie |
| ALERT_REPORTED | Wykryto alert |
| ALERT_UPDATED | Zaktualizowano alert |
| SKANOWANIA | Wykryto urządzenie skanowania |
| PROGRAM_DEVICE | Programowanie PLC |
| MMS_PROGRAM_DEVICE | Aktualizacja programu PLC |
| SCL_UPLOADED | Przekazano listę SCL |
| EXCLUSION_RULE_CREATED | Utworzono regułę wykluczania |
| EXCLUSION_RULE_REMOVED | Usunięto regułę wykluczania |
| EXCLUSION_RULE_UPDATED | Zaktualizowano regułę wykluczania |
| DEVICE_CONNECTION_CREATED | Wykryto połączenie urządzenia |
| USER_LOGIN | Próba logowania użytkownika |
| FILE_TRANSFER | Wykryto transfer plików |
| CUSTOM_EVENT | Zdarzenie zdefiniowane przez użytkownika |
| REMOTE_ACCESS | Nawiązane połączenie dostępu zdalnego |
| BACK_TO_NORMAL | Powrót do normalnego |
| MMS_MEMORY_BLOCK_OPERATION | Operacja bloku pamięci programu MMS |
| MMS_PROGRAM_OPERATION | Operacja programu MMS |
| HTTP_BASIC_AUTHENTICATION | Uwierzytelnianie podstawowe HTTP |
| SIEMENS_S_7_MEMORY_BLOCK_OPERATION | Operacja bloku pamięci Siemens S7 |
| SIEMENS_S_7_AUTHENTICATION | Uwierzytelnianie Firmy Siemens S7 |
| REPORT_CREATED | Utworzony raport |
| SNMP_TRAP | Wykryto pułapkę SNMP |
| DATABASE_ACTION | Manipulowanie strukturą bazy danych |
| PLC_MODULE_CHANGE | Zmiana modułu PLC |
| FIRMWARE_UPDATE | Aktualizacja oprogramowania układowego |
| PLC_START | Rozpoczęcie sterownika PLC |
| SRTP_PLC_RESET | Resetowanie sterownika PLC |
| SRTP_PLC_COPY_FIRMWARE | Aktualizacja oprogramowania układowego |
| SRTP_LOGIN_PROGRAMMING | Zestaw trybu programowania PLC |
| SRTP_PLC_CHANGE_PASSWORD | Zmiana hasła PLC |
| OPC_DATA_ACCESS_GROUP_MANAGEMENT_OPERATION | Operacja zarządzania grupami dostępu do danych OPC |
| OPC_DATA_ACCESS_ITEM_MANAGEMENT_OPERATION | Operacja zarządzania elementami dostępu do danych OPC |
| OPC_DATA_ACCESS_IO_SUBSCRIPTION_MANAGEMENT_OPERATION | Operacja zarządzania subskrypcjami we/wy dostępu do danych OPC |
| OPC_AE_EVENT_SUBSCRIPTION | Subskrypcja zdarzeń OPC AE |
| OPC_AE_EVENT_CONDITION_MANAGEMENT_OPERATION | Operacja zarządzania warunkiem zdarzenia OPC AE |
| OPC_AE_EVENT | Zdarzenie OPC AE |
| SRTP_CHANGE_PRIVILEGE | Poziom dostępu zmiany sterownika PLC |
| SRTP_CHANGE_LEVEL_FAILED | Zmiana poziomu dostępu sterownika PLC nie powiodła się |
| SUITELINK_INIT_CONNECTION | Zainicjowano sesję wonderware |
| USER_OPERATION | Operacja użytkownika |
| DIP_UPLOADED | Przekazany pakiet analizy danych |
| FTP_AUTHENTICATION_FAILURE | Niepowodzenie uwierzytelniania FTP |
| PROFINET_DPC_VALUE_SET | Operacja Profinet SET |
| S7PLUS_PLC_MODE_CHANGE | Zmiana trybu PLC |
| S7_PLC_MODE_CHANGE | Zmiana trybu PLC |
| DELETE_DEVICE | Usunięcie urządzenia |
| S7PLUS_PROGRAMMING | Programowanie PLC |
| FIRMWARE_CHANGED | Zmieniono oprogramowanie układowe STEROWNIKA PLC |
| DELTAV_PROGRAMMING | Skrypt instalacji usługi DeltaV |
| USER_DEFINED_RULE_CREATED | Utworzono regułę zdefiniowaną przez użytkownika |
| USER_DEFINED_RULE_EDITED | Edytowana reguła zdefiniowana przez użytkownika |
| USER_DEFINED_RULE_DELETED | Usunięto regułę zdefiniowaną przez użytkownika |
| USER_DEFINED_RULE_OPERATION | Operacja reguły zdefiniowanej przez użytkownika |
| REMOTE_PROCESS_EXECUTION | Zdalne wykonywanie procesów |
| DEVICE_UNIFICATION | Zaktualizowano urządzenie |
| POWIADOMIENIE | Powiadomienie zostało rozwiązane ręcznie |
| ENIP_CONTROLLER_PROGRAM_DELETE | Usuwanie programu kontrolera |
| ENIP_CONTROLLER_PROGRAM_RESET | Resetowanie programu kontrolera |
| ENIP_CONTROLLER_GENERIC_RESET | Resetowanie kontrolera |
| ENIP_CONTROLLER_GENERIC_STOP | Zatrzymaj kontroler |
| ENIP_CONTROLLER_GENERIC_START | Uruchamianie kontrolera |
| TELNET_AUTHENTICATION_FAILURE | Błąd uwierzytelniania Telnet |
| CONFIGURATION_OF_CLEARTEXT_PASSWORD | Konfiguracja hasła w postaci zwykłego tekstu |
| CLEARTEXT_AUTHENTICATION | Uwierzytelnianie w postaci zwykłego tekstu |
| PROGRAM_UPLOAD_DEVICE | Przekazywanie programu PLC |
| CONFIGURATION_CHANGE | Zapis konfiguracji sterownika PLC |
| CONFIGURATION_READ | Odczyt konfiguracji sterownika PLC |
| SYSLOG_MSG | Komunikat dziennika systemowego |
| INTERNET_ACCESS | Dostęp do Internetu |
| CAMP_MEMORY_WRITE_OPERATION | Typowa operacja zapisu pamięci protokołu komunikatów ASCII |
| MUTED_ALERT | Wykryto zdarzenie i wyciszono |
| DHCP_UPDATE | Aktualizacja adresu |
| DIP_FAILURE | Niepowodzenie instalacji pakietu analizy danych |
| DELETE_DEVICE_SCHEDULE | Nieaktywne urządzenia zaplanowane do usunięcia |
| PLC_OPERATING_MODE_CHANGED | Wykryto zmianę trybu operacyjnego PLC |
| HARDWARE_UPDATE_BY_IDENTIFIER | Aktualizacja adresu |
Następne kroki
Aby uzyskać więcej informacji, zobacz Omówienie interfejsu API usługi Defender for IoT.