Справочник по API управления оповещениями для локальных консолей управления

В этой статье перечислены ИНТЕРФЕЙСы REST API управления оповещениями, поддерживаемые для локальных консолей управления Microsoft Defender для Интернета вещей.

оповещения (получение сведений об оповещении)

Используйте этот API для получения всех или отфильтрованных оповещений из локальной консоли управления.

URI : или

ПОЛУЧИТЬ

параметры запроса:

Имя	Описание	Пример	Обязательный или необязательный
состояния	Получение только обработанных или необработанных оповещений. Поддерживаемые значения: - handled - unhandled Все остальные значения игнорируются.	/api/v1/alerts?state=handled	Необязательный
fromTime	Получение оповещений, созданных начиная с заданного времени, в миллисекундах из времени эпохи и часового пояса UTC.	/api/v1/alerts?fromTime=<epoch>	Необязательный
toTime	Получение оповещений, созданных только до заданного времени, в миллисекундах из времени эпохи и часового пояса UTC.	/api/v1/alerts?toTime=<epoch>	Необязательный
siteId	Сайт, на котором обнаружено оповещение.	/api/v1/alerts?siteId=1	Необязательный
zoneId	Зона, в которой обнаружено оповещение.	/api/v1/alerts?zoneId=1	Необязательный
sensorId	Датчик, на котором обнаружено оповещение.	/api/v1/alerts?sensorId=1	Необязательный

Заметка

Возможно, у вас нет идентификатора сайта и зоны. Если это так, сначала запросите все устройства для получения идентификатора сайта и зоны. Дополнительные сведения см. в справочнике по API интеграции для локальных консолей управления (общедоступная предварительная версия).

тип: JSON

Список оповещений со следующими полями:

Имя	Тип	Nullable / Not nullable	Список значений
идентификатора	Числовой	Недопустимое значение NULL	-
sensorId	Числовой	Недопустимое значение NULL	-
zoneId	Числовой	Недопустимое значение NULL	-
время	Числовой	Недопустимое значение NULL	Миллисекунда из времени эпохи, в часовом поясе UTC
заголовок	Струна	Недопустимое значение NULL	-
сообщения	Струна	Недопустимое значение NULL	-
серьезности	Струна	Недопустимое значение NULL	Warning, Minor, Majorили Critical
подсистемы	Струна	Недопустимое значение NULL	Protocol Violation, Policy Violation, Malware, Anomalyили Operational
sourceDevice	Числовой	Допустимое значение NULL	Идентификатор устройства
destinationDevice	Числовой	Допустимое значение NULL	Идентификатор устройства
исправление	Струна	Допустимое значение NULL	Действия по исправлению, показанные в оповещении
дополнительные Information	Дополнительный объект сведений	Допустимое значение NULL	-
обработаны	Логическое значение, состояние оповещения	Недопустимое значение NULL	true или false

поля дополнительных сведений:

Имя	Тип	Nullable / Not nullable	Список значений
описания	Струна	Недопустимое значение NULL	-
сведения	Массив JSON	Недопустимое значение NULL	Струна

добавлено дляверсии 2:

Имя	Тип	Nullable / Not nullable	Список значений
sourceDeviceAddress	Струна	Допустимое значение NULL	IP-адрес или MAC-адрес
destinationDeviceAddress	Струна	Допустимое значение NULL	IP-адрес или MAC-адрес
исправление	Массив JSON	Недопустимое значение NULL	Строки, действия по исправлению, описанные в оповещении
sensorName	Струна	Недопустимое значение NULL	Имя датчика, определенного пользователем
zoneName	Струна	Недопустимое значение NULL	Имя зоны, связанной с датчиком
siteName	Струна	Недопустимое значение NULL	Имя сайта, связанного с датчиком

Дополнительные сведения см. в справочнике по версии API датчика.

Пример ответа

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

типа : GET

API :

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

пример:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (управление оповещениями на основе UUID)

Используйте этот API для выполнения указанных действий в определенном оповещении, обнаруженном Defender для Интернета вещей.

Например, этот API можно использовать для создания правила пересылки, которое перенаправит данные в QRadar. Дополнительные сведения см. в статье Интеграция Qradar с Microsoft Defender для Интернета вещей.

URI: /external/v1/alerts/<UUID>

КЛАСТЬ

тип: JSON

параметры запроса:

Имя	Описание	Пример	Обязательный или необязательный
UUID	Определяет универсальный уникальный идентификатор (UUID) для оповещения, которое требуется обрабатывать или обрабатывать и изучать.	/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0	Обязательно

параметры тела

Имя	Описание	Пример	Обязательный или необязательный
действия	Струна	handle или handleAndLearn	Обязательно

Пример запроса

{
    "action": "handle"
}

тип: JSON

Массив объектов JSON, представляющих устройства.

поля ответа:

Имя	Тип	Обязательный или необязательный	Описание
содержимое или ошибок	Струна	Обязательно	Если запрос выполнен успешно, появляется свойство содержимого. В противном случае появится свойство ошибки.

возможные значения содержимого:

Код состояния	Сообщение	Описание
200	Запрос на обновление оповещений успешно завершен.	Запрос на обновление успешно завершен. Нет комментариев.
200	Оповещение уже обработано (дескриптор).	Оповещение уже было обработано при получении запроса дескриптора оповещения. Оповещение остается обработки.
200	Оповещение уже обработано и изучено (handleAndLearn).	Оповещение уже обработано и узнало, когда был получен запрос на handleAndLearn. Оповещение остается в состоянии handledAndLearn.
200	Оповещение уже обработано (обработано). Дескриптор и обучение (handleAndLearn) был выполнен в оповещении.	Оповещение уже было обработано при получении запроса на handleAndLearn. Оповещение становится handleAndLearn.
200	Оповещение уже обработано и изучено (handleAndLearn). Пропущенный запрос дескриптора.	Оповещение уже handleAndLearn при получении запроса на обработку оповещения. Оповещение остается handleAndLearn.
500	Недопустимое действие.	Отправленное действие не является допустимым действием для выполнения оповещения.
500	Произошла непредвиденная ошибка.	Произошла непредвиденная ошибка. Чтобы устранить проблему, обратитесь в службу технической поддержки.
500	Не удалось выполнить запрос, так как оповещение не найдено для этого UUID.	Указанный идентификатор UUID оповещения не найден в системе.

Пример ответа: успешно

{
    "content": "Alert update request finished successfully"
}

Пример ответа: неудачный

{
    "error": "Invalid action"
}

тип: PUT

API:

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

пример:

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (создание исключений оповещений)

Управляет окнами обслуживания, в которых оповещения не будут отправляться. Используйте этот API для определения и обновления времени остановки и запуска, устройств или подсетей, которые должны быть исключены при активации оповещений или определении и обновлении обработчиков Defender для Интернета вещей, которые должны быть исключены.

Например, во время периода обслуживания может потребоваться остановить доставку оповещений обо всех оповещениях, за исключением оповещений вредоносных программ на критически важных устройствах.

Окна обслуживания, определяемые с помощью API maintenanceWindow, отображаются в окне исключений оповещений локальной консоли управления в виде правила исключения только для чтения с именем со следующим синтаксисом: Maintenance-{token name}-{ticket ID}.

Важный

Этот API поддерживается только для целей обслуживания и в течение ограниченного периода времени и не предназначен для использования вместо правил исключения оповещений. Используйте этот API только для однократных временных операций обслуживания.

URI: /external/v1/maintenanceWindow

ПОМЕСТИТЬ

Создает новое окно обслуживания.

параметры тела:

Имя	Описание	Пример	Обязательный или необязательный
ticketId	Струна. Определяет идентификатор билета на обслуживание в системах пользователя. Убедитесь, что идентификатор билета не связан с существующим открытым окном.	2987345p98234	Обязательно
ttl	Положительное целое число. Определяет срок жизни (время жизни), который является длительностью периода обслуживания в минутах. После завершения определенного периода времени период обслуживания завершается, а система работает нормально.	180	Обязательно
подсистемы	Массив строк JSON. Определяет механизм подавления оповещений во время периода обслуживания. Возможные значения: - ANOMALY - MALWARE - OPERATIONAL - POLICY_VIOLATION - PROTOCOL_VIOLATION	ANOMALY,OPERATIONAL	Необязательный
sensorIds	Массив строк JSON. Определяет, какие датчики будут отключать оповещения во время периода обслуживания. Эти идентификаторы датчиков можно получить из устройств (управление устройствами датчиков OT) API.	1,35,63	Необязательный
подсети	Массив строк JSON. Определяет подсети для подавления оповещений во время периода обслуживания. Определите каждую подсеть в нотации CIDR.	192.168.0.0/16,138.136.80.0/14,112.138.10.0/8	Необязательный

Код состояния	Сообщение	Описание
201 (создано)	-	Действие успешно завершено.
400 (недопустимый запрос)	Нет ticketId	Запрос API отсутствует ticketId значение.
400 (недопустимый запрос)	Незаконный срок жизни	Запрос API включал не положительное или нечисловое значение TTL.
400 (недопустимый запрос)	Не удалось проанализировать запрос.	Проблема с анализом текста, например неверными параметрами или недопустимыми значениями.
400 (недопустимый запрос)	Период обслуживания с теми же параметрами уже существует.	Отображается, когда существующее окно обслуживания уже существует с теми же сведениями.
404 (не найдено)	Неизвестный идентификатор датчика	Один из датчиков, перечисленных в запросе, не существует.
409 (конфликт)	Идентификатор билета уже имеет открытое окно.	Идентификатор билета связан с другим открытым периодом обслуживания.
500 (внутренняя ошибка сервера)	-	Любая другая непредвиденная ошибка.

тип: POST

API :

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

пример:

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

УДАЛИТЬ

Закрывает существующий период обслуживания.

параметры запроса:

Имя	Описание	Пример	Обязательный или необязательный
ticketId	Определяет идентификатор билета на обслуживание в системах пользователя. Убедитесь, что идентификатор билета связан с существующим открытым окном.	2987345p98234	Обязательно

коды ошибок:

Код	Сообщение	Описание
200 (ОК)	-	Действие успешно завершено.
400 (недопустимый запрос)	Нет ticketId	Параметр ticketId отсутствует в запросе.
404 (не найдено):	Период обслуживания не найден.	Идентификатор билета не связан с открытым периодом обслуживания.
500 (внутренняя ошибка сервера)	-	Любая другая непредвиденная ошибка.

тип: DELETE

API :

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

пример:

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

ПОЛУЧИТЬ

Получите журнал всех открытых (POST), закрыть (DELETE), а (PUT) действия, выполненные с помощью этого API для обработки периодов обслуживания. T

параметры запроса:

Имя	Описание	Пример	Обязательный или необязательный
fromDate	Фильтрует журналы из предопределенной даты и более поздних версий. Формат YYYY-MM-DD.	2022-08-10	Необязательный
toDate	Фильтрует журналы до предопределенной даты. Формат YYYY-MM-DD.	2022-08-10	Необязательный
ticketId	Фильтрует журналы, связанные с определенным идентификатором билета.	9a5fe99c-d914-4bda-9332-307384fe40bf	Необязательный
tokenName	Фильтрует журналы, связанные с определенным именем маркера.	ежеквартально-sanity-window	Необязательный

коды ошибок:

Код	Сообщение	Описание
200	ХОРОШО	Действие успешно завершено.
204:	Нет содержимого	Нет данных для отображения.
400	Недопустимый запрос	Неправильный формат даты.
500	Внутренняя ошибка сервера	Любая другая непредвиденная ошибка.

тип: JSON

Массив объектов JSON, представляющих операции периода обслуживания.

структуры ответа :

Имя	Тип	Nullable / Not nullable	Список значений
идентификатор	Длинное целое число	Недопустимое значение NULL	Внутренний идентификатор текущего журнала
dateTime	Струна	Недопустимое значение NULL	Время, когда произошло действие, например 2022-04-23T18:25:43.511Z
ticketId	Струна	Недопустимое значение NULL	Идентификатор периода обслуживания. Например, 9a5fe99c-d914-4bda-9332-307384fe40bf
tokenName	Струна	Недопустимое значение NULL	Имя маркера периода обслуживания. Например, quarterly-sanity-window
подсистемы	Массив строк	Допустимое значение NULL	Механизмы, на которых применяется период обслуживания, как указано во время создания периода обслуживания: Protocol Violation, Policy Violation, Malware, Anomalyили Operational
sensorIds	Массив строк	Допустимое значение NULL	Датчики, на которых применяется период обслуживания, как указано во время создания периода обслуживания.
подсети	Массив строк	Допустимое значение NULL	Подсети, в которых применяется период обслуживания, как указано во время создания периода обслуживания.
ttl	Числовой	Допустимое значение NULL	Время жизни периода обслуживания (TTL), указанное во время создания или обновления периода обслуживания.
operationType	Струна	Недопустимое значение NULL	Одно из следующих значений: OPEN, UPDATEи CLOSE

типа : GET

API :

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

пример:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

КЛАСТЬ

Позволяет обновить период обслуживания после запуска процесса обслуживания, изменив параметр ttl. Новое определение длительности переопределяет предыдущий.

Этот метод полезен, если вы хотите задать длину длительности, чем настроенная в данный момент длительность. Например, если вы изначально определили 180 минут, 90 минут прошли, и вы хотите добавить еще 30 минут, обновите ttl до 120 минуты, чтобы сбросить количество длительности.

параметры запроса:

Имя	Описание	Пример	Обязательный или необязательный
ticketId	Струна. Определяет идентификатор билета на обслуживание в системах пользователя.	2987345p98234	Обязательно
ttl	Положительное целое число. Определяет длительность окна в минутах.	210	Обязательно

коды ошибок:

Код	Сообщение	Описание
200 (ОК)	-	Действие успешно завершено.
400 (недопустимый запрос)	Нет ticketId	Запрос отсутствует ticketId значение.
400 (недопустимый запрос)	Незаконный срок жизни	Определяемый TTL не является числовым или не положительным целым числом.
400 (недопустимый запрос)	Не удалось проанализировать запрос	Запрос отсутствует значение параметра ttl.
404 (не найдено)	Период обслуживания не найден	Идентификатор билета не связан с открытым периодом обслуживания.
500 (внутренняя ошибка сервера)	-	Любая другая непредвиденная ошибка.

тип: PUT

API :

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

пример:

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (запрос оповещений PCAP)

Используйте этот API для запроса PCAP-файла, связанного с оповещением.

URI: /external/v2/alerts/

ПОЛУЧИТЬ

параметры запроса:

Имя	Описание	Пример	Обязательный или необязательный
идентификатор	Идентификатор оповещения из локальной консоли управления	/external/v2/alerts/pcap/<id>	Обязательно

тип: JSON

Строка сообщения со сведениями о состоянии операции:

Код состояния	Сообщение	Описание
200 (ОК)	-	Объект JSON с данными о запрошенной PCAP-файле. Дополнительные сведения см. в полях данных.
500 (внутренняя ошибка сервера)	Оповещение не найдено	Указанный идентификатор оповещения не найден в локальной консоли управления.
500 (внутренняя ошибка сервера)	Ошибка при получении маркера для идентификатора xsense <number>	Ошибка при получении маркера датчика для указанного идентификатора датчика
500 (внутренняя ошибка сервера)	-	Любая другая непредвиденная ошибка.

Поля данных

Имя	Тип	Nullable / Not nullable	Список значений
идентификатор	Числовой	Недопустимое значение NULL	Идентификатор оповещения локальной консоли управления
xsenseId	Числовой	Недопустимое значение NULL	Идентификатор датчика
xsenseAlertId	Числовой	Недопустимое значение NULL	Идентификатор оповещения консоли датчика
downloadUrl	Струна	Недопустимое значение NULL	URL-адрес, используемый для скачивания PCAP-файла
маркера	Струна	Недопустимое значение NULL	Маркер датчика, используемый при скачивании PCAP-файла

Пример ответа: успешное выполнение

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Пример ответа: ошибка

{
  "error": "alert not found"
}

типа : GET

API

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

* пример:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Дальнейшие действия

Дополнительные сведения см. в обзоре Api Defender для Интернета вещей.