Referencia de la API de administración de alertas para las consolas de administración locales

Artículo
06/01/2023

Este artículo enumera las API de REST de administración de alertas compatibles con consolas de administración locales de Microsoft Defender para IoT.

alertas (Recuperación de información de alertas)

Use esta API para recuperar todas las alertas o las alertas filtradas de una consola de administración local.

URI:/external/v1/alerts o /external/v2/alerts

GET

Parámetros de consulta:

Nombre	Descripción	Ejemplo	Obligatorio u opcional
state	Obtenga únicamente alertas controladas o no controladas. Valores admitidos: - `handled` - `unhandled` Se ignorará al resto de los otros valores.	`/api/v1/alerts?state=handled`	Opcionales
fromTime	Obtenga alertas creadas a partir de un momento dado, en milisegundos desde la hora de época y en la zona horaria UTC.	`/api/v1/alerts?fromTime=<epoch>`	Opcional
toTime	Obtenga alertas creadas solamente antes de un momento concreto, en milisegundos desde la hora de época y en la zona horaria UTC.	`/api/v1/alerts?toTime=<epoch>`	Opcionales
siteId	el sitio en el que se detectó la alerta.	`/api/v1/alerts?siteId=1`	Opcionales
zoneId	la zona en la que se detectó la alerta.	`/api/v1/alerts?zoneId=1`	Opcionales
sensorId	el sensor en el que se detectó la alerta.	`/api/v1/alerts?sensorId=1`	Opcionales

Nota

Es posible que no tenga el identificador de sitio y zona. En este caso, primero consulte todos los dispositivos para recuperar el id. de sitio y de zona. Para más información, consulte Referencia de API de integración para consolas de administración locales (versión preliminar pública).

Tipo: JSON

Lista de alertas con los siguientes campos:

Nombre	Tipo	Que admite valores NULL / No admite valores NULL	Lista de valores
Id	Numeric	No acepta valores NULL	-
sensorId	Numeric	No acepta valores NULL	-
zoneId	Numeric	No acepta valores NULL	-
time	Numeric	No acepta valores NULL	Milisegundos desde la hora de época, en zona horaria UTC
title	String	No acepta valores NULL	-
message	String	No acepta valores NULL	-
severity	String	No acepta valores NULL	`Warning`, `Minor`, `Major` o `Critical`
engine	String	No acepta valores NULL	`Protocol Violation`, `Policy Violation`, `Malware`, `Anomaly` o `Operational`
sourceDevice	Numeric	Nullable	Id. de dispositivo
destinationDevice	Numeric	Nullable	Id. de dispositivo
remediationSteps	String	Nullable	Pasos para la corrección que se muestran en la alerta
additionalInformation	Objeto Additional information	Nullable	-
handled	Booleano, estado de la alerta	No acepta valores NULL	`true` o `false`

Campos de información adicional:

Nombre	Tipo	Que admite valores NULL / No admite valores NULL	Lista de valores
description	String	No acepta valores NULL	-
information	Matriz JSON	No acepta valores NULL	String

Se agregó para V2:

Nombre	Tipo	Que admite valores NULL / No admite valores NULL	Lista de valores
sourceDeviceAddress	String	Nullable	Dirección IP o MAC
destinationDeviceAddress	String	Nullable	Dirección IP o MAC
remediationSteps	Matriz JSON	No acepta valores NULL	Cadenas, pasos para la corrección descritos en la alerta
sensorName	String	No acepta valores NULL	Nombre del sensor definido por el usuario
zoneName	String	No acepta valores NULL	Nombre de la zona asociada al sensor
siteName	String	No acepta valores NULL	Nombre del sitio asociado al sensor

Para obtener más información, consulte Referencia de la versión de la API de sensor.

Ejemplo de respuesta

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

Tipo: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

Ejemplo:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (Administrar alertas basadas en el UUID)

Use esta API para realizar acciones especificadas en una alerta específica detectada por Defender para IoT.

Por ejemplo, puede usar esta API para crear una regla de desvío que desvía los datos a QRadar. Para obtener más información, consulte Integración de QRadar con Microsoft Defender para IoT.

URI:/external/v1/alerts/<UUID>

PUT

Tipo: JSON

Parámetros de consulta:

Nombre	Descripción	Ejemplo	Obligatorio u opcional
UUID	Define el identificador único universal (UUID) de la alerta que desea controlar o controlar y aprender.	`/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0`	Obligatorio

Parámetros del cuerpo

Nombre	Descripción	Ejemplo	Obligatorio u opcional
action	String	`handle` o `handleAndLearn`	Obligatorio

Ejemplo de solicitud

{
    "action": "handle"
}

Tipo: JSON

Matriz de objetos JSON que representan a dispositivos.

Campos de respuesta:

Nombre	Tipo	Obligatorio u opcional	Descripción
content / error	String	Obligatorio	Si la solicitud se realiza correctamente, aparece la propiedad content. De lo contrario, aparece la propiedad error.

Posibles valores de content:

status code	Message	Descripción
200	La solicitud de actualización de alertas finalizó correctamente.	La solicitud de actualización finalizó correctamente. Sin comentarios.
200	Ya se había controlado la alerta (handle).	La alerta ya se había controlado cuando se recibió una solicitud de control para la alerta. La alerta sigue controlada.
200	La alerta ya se había controlado y aprendido (handleAndLearn).	La alerta ya se había controlado y aprendido cuando se recibió una solicitud para handleAndLearn. La alerta permanece en el estado handledAndLearn.
200	Ya se había controlado la alerta (controlada). Se realizó el control y aprendizaje (handleAndLearn) en la alerta.	La alerta ya se había controlado cuando se recibió una solicitud para handleAndLearn. La alerta se convierte en handleAndLearn.
200	La alerta ya se había controlado y aprendido (handleAndLearn). Solicitud de control omitida.	La alerta ya se encontraba en el estado handleAndLearn cuando se recibió una solicitud para controlarla. La alerta sigue en el estado handleAndLearn.
500	Acción no válida.	La acción enviada no es una acción válida que pueda realizarse en la alerta.
500	Se ha producido un error inesperado.	Se ha producido un error inesperado. Para resolver el problema, póngase en contacto con el soporte técnico.
500	No se pudo ejecutar la solicitud porque no se encontró ninguna alerta con este UUID.	No se encontró el UUID de alerta especificado en el sistema.

Ejemplo de respuesta: Correcto

{
    "content": "Alert update request finished successfully"
}

Ejemplo de respuesta: Incorrecto

{
    "error": "Invalid action"
}

Tipo: PUT

API:

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

Ejemplo:

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (Crear exclusiones de alertas)

Administra las ventanas de mantenimiento, en las que no se enviarán alertas. Use esta API para definir y actualizar las horas de inicio y detención, los dispositivos o subredes que se deben excluir al desencadenar las alertas o defina y actualice los motores de Defender para IoT que deben excluirse.

Por ejemplo, durante una ventana de mantenimiento, quizá quiera detener la entrega de alertas para todas las alertas, salvo las alertas de malware en dispositivos críticos.

Las ventanas de mantenimiento que se definen con la API maintenanceWindow aparecen en la ventana Exclusiones de alertas de la consola de administración local como una regla de exclusión de solo lectura, denominada con la siguiente sintaxis: Maintenance-{token name}-{ticket ID}.

Importante

Esta API solo se admite con fines de mantenimiento y durante un tiempo limitado, y no está pensada para usarse en lugar de las reglas de exclusión de alertas. Use esta API solo para las operaciones de mantenimiento puntuales y temporales.

URI:/external/v1/maintenanceWindow

POST

Crea una nueva ventana de mantenimiento.

Parámetros del cuerpo:

Nombre	Descripción	Ejemplo	Obligatorio u opcional
ticketId	Cadena define el id. del vale de mantenimiento en los sistemas del usuario. Asegúrese de que el id. de vale no está vinculado a una ventana abierta existente.	`2987345p98234`	Obligatorio
ttl	Entero positivo. Define el TTL (período de vida), que es la duración de la ventana de mantenimiento en minutos. Una vez completado el período de tiempo definido, la ventana de mantenimiento finaliza el sistema vuelve a comportarse de manera normal.	`180`	Obligatorio
engines	Matriz JSON de cadenas. Define de qué motor se van a suprimir las alertas durante la ventana de mantenimiento. Valores posibles: - `ANOMALY` - `MALWARE` - `OPERATIONAL` - `POLICY_VIOLATION` - `PROTOCOL_VIOLATION`	`ANOMALY,OPERATIONAL`	Opcional
sensorIds	Matriz JSON de cadenas. Define de qué sensores se van a suprimir las alertas durante la ventana de mantenimiento. Puede obtener estos identificadores de sensor desde la API de dispositivos (administrar dispositivos de sensor de OT).	`1,35,63`	Opcionales
subredes	Matriz JSON de cadenas. Define de qué subredes se van a suprimir las alertas durante la ventana de mantenimiento. Defina cada subred en una notación CIDR.	`192.168.0.0/16,138.136.80.0/14,112.138.10.0/8`	Opcional

status code	Message	Descripción
201 (creado)	-	la acción se ha completado correctamente.
400 (Solicitud incorrecta)	No TicketId	Faltaba un valor `ticketId` en la solicitud de API.
400 (Solicitud incorrecta)	TTL ilegal	La solicitud de API incluía un valor TTL no positivo o no numérico.
400 (Solicitud incorrecta)	No se pudo analizar la solicitud.	Problema al analizar el cuerpo, como parámetros incorrectos o valores no válidos.
400 (Solicitud incorrecta)	Ya existe una ventana de mantenimiento con los mismos parámetros.	Aparece cuando ya existe una ventana de mantenimiento con los mismos detalles.
404 (No encontrado)	Identificador de sensor desconocido	Uno de los sensores enumerados en la solicitud no existe.
409 (Conflicto)	El identificador de vale ya tiene una ventana abierta.	el id. de vale está vinculado a otra ventana de mantenimiento abierta.
500 (error interno del servidor)	-	cualquier otro error inesperado.

Tipo: POST

API:

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Ejemplo:

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

Delete

Cierra una ventana de mantenimiento existente.

Parámetros de consulta:

Nombre	Descripción	Ejemplo	Obligatorio u opcional
ticketId	define el id. del vale de mantenimiento en los sistemas del usuario. Asegúrese de que el id. de vale esté vinculado a una ventana abierta existente.	`2987345p98234`	Obligatorio

Códigos de error:

Código	Message	Descripción
200(OK)	-	la acción se ha completado correctamente.
400 (Solicitud incorrecta)	No TicketId	En la solicitud, falta el parámetro ticketId.
404 (no encontrado):	No se encontró la ventana de mantenimiento.	el id. de vale no está vinculado a una ventana de mantenimiento abierta.
500 (error interno del servidor)	-	cualquier otro error inesperado.

Tipo: DELETE

API:

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Ejemplo:

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

GET

Recupere un registro de todas las acciones abrir (POST), cerrar (DELETE) y actualizar (PUT) que se realizaron mediante esta API para controlar las ventanas de mantenimiento. T

Parámetros de consulta:

Nombre	Descripción	Ejemplo	Obligatorio u opcional
fromDate	filtra los registros de la fecha predefinida y posteriores. El formato es `YYYY-MM-DD`.	`2022-08-10`	Opcionales
toDate	filtra los registros hasta la fecha predefinida. El formato es `YYYY-MM-DD`.	`2022-08-10`	Opcionales
ticketId	filtra los registros relacionados con un id. de vale específico.	`9a5fe99c-d914-4bda-9332-307384fe40bf`	Opcionales
tokenName	filtra los registros relacionados con un token específico.	quarterly-sanity-window	Opcionales

Códigos de error:

Código	Message	Descripción
200	Aceptar	la acción se ha completado correctamente.
204:	Ningún contenido	no hay ningún dato que mostrar.
400	Bad Request	El formato de fecha es incorrecto.
500	Internal Server Error	cualquier otro error inesperado.

Tipo: JSON

Matriz de objetos JSON que representan a las operaciones de la ventana de mantenimiento.

Estructura de la respuesta:

Nombre	Tipo	Que admite valores NULL / No admite valores NULL	Lista de valores
id	Entero largo	No acepta valores NULL	Un identificador interno para el registro actual
dateTime	String	No acepta valores NULL	Hora a la que se produjo la actividad, por ejemplo: `2022-04-23T18:25:43.511Z`
ticketId	String	No acepta valores NULL	Identificador de la ventana de mantenimiento. Por ejemplo: `9a5fe99c-d914-4bda-9332-307384fe40bf`
tokenName	String	No acepta valores NULL	Nombre del token de la ventana de mantenimiento. Por ejemplo: `quarterly-sanity-window`
engines	Matriz de cadenas	Nullable	Motores en los que se aplica la ventana de mantenimiento, tal como se proporciona durante la creación de la ventana de mantenimiento: `Protocol Violation`, `Policy Violation`, `Malware`, `Anomaly` o `Operational`
sensorIds	Matriz de cadena	Nullable	Sensores en los que se aplica la ventana de mantenimiento, tal como se proporciona durante la creación de la ventana de mantenimiento.
subredes	Matriz de cadena	Nullable	Subredes en las que se aplica la ventana de mantenimiento, tal como se proporciona durante la creación de la ventana de mantenimiento.
ttl	Numeric	Nullable	Período de vida (TTL) de la ventana de mantenimiento, tal y como se proporciona durante la creación o actualización de la ventana de mantenimiento.
operationType	String	No acepta valores NULL	Uno de los valores siguientes: `OPEN`, `UPDATE` y `CLOSE`

Tipo: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

Ejemplo:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

PUT

Permite actualizar la duración de la ventana de mantenimiento después de iniciar el proceso de mantenimiento al cambiar el parámetro ttl. La nueva definición de duración invalida a la anterior.

Este método resulta útil cuando se quiere establecer una duración más larga que la duración configurada actualmente. Por ejemplo, si ha definido originalmente 180 minutos, han transcurrido 90 minutos y desea agregar otros 30 minutos, actualice el minuto ttl a 120 para restablecer el recuento de duración.

Parámetros de consulta:

Nombre	Descripción	Ejemplo	Obligatorio u opcional
ticketId	Cadena define el id. del vale de mantenimiento en los sistemas del usuario.	`2987345p98234`	Obligatorio
ttl	Entero positivo. Define la duración de la ventana en minutos.	`210`	Obligatorio

Códigos de error:

Código	Message	Descripción
200(OK)	-	la acción se ha completado correctamente.
400 (Solicitud incorrecta)	No TicketId	Falta un valor `ticketId` en la solicitud.
400 (Solicitud incorrecta)	TTL ilegal	El TTL definido no es numérico o no es un entero positivo.
400 (Solicitud incorrecta)	No se pudo analizar la solicitud	En la solicitud falta un valor de parámetro `ttl`.
404 (No encontrado)	No se encontró la ventana de mantenimiento	el id. de vale no está vinculado a una ventana de mantenimiento abierta.
500 (error interno del servidor)	-	cualquier otro error inesperado.

Tipo: PUT

API:

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Ejemplo:

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (Alerta de solicitud PCAP)

Use esta API para solicitar un archivo PCAP relacionado con una alerta.

URI:/external/v2/alerts/

GET

Parámetros de consulta:

Nombre	Descripción	Ejemplo	Obligatorio u opcional
id	Identificador de alerta de la consola de administración local	`/external/v2/alerts/pcap/<id>`	Obligatorio

Tipo: JSON

Cadena de mensaje con los detalles del estado de la operación:

status code	Message	Descripción
200(OK)	-	Objeto JSON con datos sobre el archivo PCAP solicitado. Para obtener más información, consulte Campos de datos.
500 (error interno del servidor)	Alerta no encontrada	No se encontró el identificador de alerta proporcionado en la consola de administración local.
500 (error interno del servidor)	Error al obtener el token para el identificador de xsense `<number>`	Error al obtener el token del sensor para el identificador de sensor especificado
500 (error interno del servidor)	-	cualquier otro error inesperado.

Campos de datos

Nombre	Tipo	Que admite valores NULL / No admite valores NULL	Lista de valores
id	Numeric	No acepta valores NULL	Identificador de alerta de la consola de administración local
xsenseId	Numeric	No acepta valores NULL	El identificador del sensor
xsenseAlertId	Numeric	No acepta valores NULL	Identificador de alerta de la consola del sensor
downloadUrl	String	No acepta valores NULL	Dirección URL usada para descargar el archivo PCAP
token	String	No acepta valores NULL	Token del sensor, que se usará al descargar el archivo PCAP

Ejemplo de respuesta: correcta

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Ejemplo de respuesta: error

{
  "error": "alert not found"
}

Tipo: GET

API

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

*Ejemplo:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Pasos siguientes

Para obtener más información, consulte la información general de referencia de API de Defender para IoT.

Referencia de la API de administración de alertas para las consolas de administración locales

alertas (Recuperación de información de alertas)

GET

UUID (Administrar alertas basadas en el UUID)

PUT

maintenanceWindow (Crear exclusiones de alertas)

POST

Delete

GET

PUT

pcap (Alerta de solicitud PCAP)

GET

Pasos siguientes

Recursos adicionales