Informazioni di riferimento sull'API di gestione degli avvisi per le console di gestione locali

Articolo
06/01/2023

Questo articolo elenca le API REST di gestione degli avvisi supportate per Microsoft Defender per le console di gestione locali IoT.

avvisi (Recupera informazioni sull'avviso)

Usare questa API per recuperare tutti o gli avvisi filtrati da una console di gestione locale.

URI: /external/v1/alerts o /external/v2/alerts

GET

Parametri di query:

Nome	Descrizione	Esempio	Obbligatoria / Facoltativa
state	Ottenere solo avvisi gestiti o non gestiti. Valori supportati: - `handled` - `unhandled` Tutti gli altri valori vengono ignorati.	`/api/v1/alerts?state=handled`	Facoltativo
fromTime	Ottenere gli avvisi creati a partire da una determinata ora, in millisecondi dall'ora Epoch e nel fuso orario UTC.	`/api/v1/alerts?fromTime=<epoch>`	Facoltativo
toTime	Ottenere avvisi creati solo prima di una determinata ora, in millisecondi dall'ora Epoch e nel fuso orario UTC.	`/api/v1/alerts?toTime=<epoch>`	Facoltativo
Siteid	Sito in cui è stato individuato l'avviso.	`/api/v1/alerts?siteId=1`	Facoltativo
Idarea	Zona in cui è stato individuato l'avviso.	`/api/v1/alerts?zoneId=1`	Facoltativo
sensorId	Sensore in cui è stato individuato l'avviso.	`/api/v1/alerts?sensorId=1`	Facoltativo

Nota

Potrebbe non essere presente l'ID del sito e della zona. In questo caso, eseguire prima una query su tutti i dispositivi per recuperare il sito e l'ID zona. Per altre informazioni, vedere Informazioni di riferimento sull'API di integrazione per le console di gestione locali (anteprima pubblica).

Tipo: JSON

Elenco di avvisi con i campi seguenti:

Nome	Tipo	Nullable/Not Nullable	Elenco di valori
Id	Numeric	Non ammette valori Null.	-
sensorId	Numeric	Non ammette valori Null.	-
Idarea	Numeric	Non ammette valori Null.	-
time	Numeric	Non ammette valori Null.	Millisecondi dall'ora Epoch, nel fuso orario UTC
title	string	Non ammette valori Null.	-
message	string	Non ammette valori Null.	-
severity	string	Non ammette valori Null.	`Warning`, `Minor`, `Major` o `Critical`
Motore	string	Non ammette valori Null.	`Protocol Violation`, `Policy Violation`, `Malware`, `Anomaly` o `Operational`
sourceDevice	Numeric	Nullable	ID dispositivo
destinationDevice	Numeric	Nullable	ID dispositivo
correzioneSteps	string	Nullable	Passaggi di correzione visualizzati nell'avviso
altreInformazioni	Oggetto informazioni aggiuntive	Nullable	-
Gestito	Boolean, stato dell'avviso	Non ammette valori Null.	`true` o `false`

Campi informativi aggiuntivi:

Nome	Tipo	Nullable/Not Nullable	Elenco di valori
description	string	Non ammette valori Null.	-
Informazioni	Matrice JSON	Non ammette valori Null.	string

Aggiunta per V2:

Nome	Tipo	Nullable/Not nullable	Elenco di valori
sourceDeviceAddress	string	Nullable	Indirizzo IP o MAC
destinationDeviceAddress	string	Nullable	Indirizzo IP o MAC
correzioneSteps	Matrice JSON	Non ammette valori Null.	Stringhe, passaggi di correzione descritti nell'avviso
sensorName	string	Non ammette valori Null.	Nome del sensore definito dall'utente
zoneName	string	Non ammette valori Null.	Nome della zona associata al sensore
Sitename	string	Non ammette valori Null.	Nome del sito associato al sensore

Per altre informazioni, vedere Informazioni di riferimento sulla versione dell'API del sensore.

Esempio di risposta

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

Tipo: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

Esempio:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (Gestire gli avvisi in base all'UUID)

Usare questa API per eseguire un'azione specificata su un avviso specifico rilevato da Defender per IoT.

Ad esempio, è possibile usare questa API per creare una regola di inoltro che inoltra i dati a QRadar. Per altre informazioni, vedere Integrare Qradar con Microsoft Defender per IoT.

URI: /external/v1/alerts/<UUID>

PUT

Tipo: JSON

Parametri di query:

Nome	Descrizione	Esempio	Obbligatoria / Facoltativa
UUID	Definisce l'identificatore univoco universale (UUID) per l'avviso che si vuole gestire o gestire e apprendere.	`/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0`	Necessario

Parametri del corpo

Nome	Descrizione	Esempio	Obbligatoria / Facoltativa
action	string	O `handlehandleAndLearn`	Necessario

Esempio di richiesta

{
    "action": "handle"
}

Tipo: JSON

Matrice di oggetti JSON che rappresentano i dispositivi.

Campi di risposta:

Nome	Tipo	Obbligatoria / Facoltativa	Descrizione
content/error	string	Necessario	Se la richiesta ha esito positivo, viene visualizzata la proprietà content. In caso contrario, viene visualizzata la proprietà error.

Valori di contenuto possibili:

Codice di stato	Message	Descrizione
200	Richiesta di aggiornamento degli avvisi completata.	La richiesta di aggiornamento è stata completata correttamente. Nessun commento.
200	L'avviso è già stato gestito (handle).	L'avviso è già stato gestito quando è stata ricevuta una richiesta di handle per l'avviso. L'avviso rimane gestito.
200	L'avviso è già stato gestito e appreso (handleAndLearn).	L'avviso è già stato gestito e appreso quando è stata ricevuta una richiesta di handleAndLearn . L'avviso rimane nello stato handledAndLearn .
200	L'avviso è già stato gestito (gestito). Handle e learn (handleAndLearn) è stato eseguito sull'avviso.	L'avviso è già stato gestito quando è stata ricevuta una richiesta di handleAndLearn . L'avviso diventa handleAndLearn.
200	L'avviso è già stato gestito e appreso (handleAndLearn). Richiesta di handle ignorata.	L'avviso è già stato gestitoAndLearn quando è stata ricevuta una richiesta per gestire l'avviso. L'avviso rimane handleAndLearn.
500	Azione non valida.	L'azione inviata non è un'azione valida da eseguire sull'avviso.
500	Si è verificato un errore imprevisto.	Si è verificato un errore imprevisto. Per risolvere il problema, contattare il supporto tecnico.
500	Impossibile eseguire la richiesta perché non è stato trovato alcun avviso per questo UUID.	L'UUID di avviso specificato non è stato trovato nel sistema.

Esempio di risposta: Esito positivo

{
    "content": "Alert update request finished successfully"
}

Esempio di risposta: Errore

{
    "error": "Invalid action"
}

Tipo: PUT

API:

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

Esempio:

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (Creare esclusioni di avviso)

Gestisce le finestre di manutenzione, in cui gli avvisi non verranno inviati. Usare questa API per definire e aggiornare orari di arresto e avvio, dispositivi o subnet che devono essere esclusi durante l'attivazione di avvisi o definire e aggiornare Defender per i motori IoT che devono essere esclusi.

Ad esempio, durante una finestra di manutenzione, è possibile interrompere il recapito degli avvisi di tutti gli avvisi, ad eccezione degli avvisi malware nei dispositivi critici.

Le finestre di manutenzione che definiscono con l'API maintenanceWindow vengono visualizzate nella finestra Esclusioni avvisi della console di gestione locale come regola di esclusione di sola lettura, denominata con la sintassi seguente: Maintenance-{token name}-{ticket ID}.

Importante

Questa API è supportata solo per scopi di manutenzione e per un periodo di tempo limitato e non deve essere usata anziché regole di esclusione degli avvisi. Usare questa API solo per operazioni di manutenzione temporanea una sola volta.

URI: /external/v1/maintenanceWindow

POST

Crea una nuova finestra di manutenzione.

Parametri del corpo:

Nome	Descrizione	Esempio	Obbligatoria / Facoltativa
ticketId	Stringa. Definisce l'ID del ticket di manutenzione nei sistemi dell'utente. Assicurarsi che l'ID del ticket non sia collegato a una finestra aperta esistente.	`2987345p98234`	Necessario
Ttl	Intero positivo. Definisce il TTL (tempo da vivere), ovvero la durata della finestra di manutenzione, in minuti. Al termine del periodo di tempo definito, la finestra di manutenzione è finita e il sistema si comporta normalmente.	`180`	Necessario
Motori	Matrice JSON di stringhe. Definisce il motore da cui eliminare gli avvisi durante la finestra di manutenzione. Valori possibili: - `ANOMALY` - `MALWARE` - `OPERATIONAL` - `POLICY_VIOLATION` - `PROTOCOL_VIOLATION`	`ANOMALY,OPERATIONAL`	Facoltativo
sensorIds	Matrice JSON di stringhe. Definisce i sensori da cui eliminare gli avvisi durante la finestra di manutenzione. È possibile ottenere questi ID sensore dall'API Gestisci appliance del sensore OT .	`1,35,63`	Facoltativo
Subnet	Matrice JSON di stringhe. Definisce le subnet da cui eliminare gli avvisi durante la finestra di manutenzione. Definire ogni subnet in una notazione CIDR.	`192.168.0.0/16,138.136.80.0/14,112.138.10.0/8`	Facoltativo

Codice di stato	Message	Descrizione
201 (Creato) oppure	-	L'azione è stata completata correttamente.
400 (richiesta non valida)	Nessun ticketId	La richiesta API mancava un `ticketId` valore.
400 (richiesta non valida)	TTL illegale	La richiesta API includeva un valore TTL non positivo o non numerico.
400 (richiesta non valida)	Impossibile analizzare la richiesta.	Problema di analisi del corpo, ad esempio parametri non corretti o valori non validi.
400 (richiesta non valida)	La finestra di manutenzione con gli stessi parametri esiste già.	Viene visualizzato quando esiste già una finestra di manutenzione esistente con gli stessi dettagli.
404 (non trovato)	ID sensore sconosciuto	Uno dei sensori elencati nella richiesta non esiste.
409 (conflitto)	L'ID ticket ha già una finestra aperta.	L'ID ticket è collegato a un'altra finestra di manutenzione aperta.
500 (Errore interno del server)	-	Qualsiasi altro errore imprevisto.

Tipo: POST

API:

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Esempio:

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

DELETE

Chiude una finestra di manutenzione esistente.

Parametri di query:

Nome	Descrizione	Esempio	Obbligatoria / Facoltativa
ticketId	Definisce l'ID del ticket di manutenzione nei sistemi dell'utente. Assicurarsi che l'ID ticket sia collegato a una finestra aperta esistente.	`2987345p98234`	Necessario

Codici di errore:

Codice	Message	Descrizione
200 (OK)	-	L'azione è stata completata correttamente.
400 (richiesta non valida)	Nessun TicketId	Il parametro ticketId non è presente nella richiesta.
404 (non trovato):	Finestra di manutenzione non trovata.	L'ID ticket non è collegato a una finestra di manutenzione aperta.
500 (errore interno del server)	-	Qualsiasi altro errore imprevisto.

Tipo: DELETE

API:

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Esempio:

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

GET

Recuperare un log di tutte le azioni aperte (POST), close (DELETE) e update (PUT) eseguite usando questa API per la gestione delle finestre di manutenzione. T

Parametri di query:

Nome	Descrizione	Esempio	Obbligatoria / Facoltativa
fromDate	Filtra i log dalla data predefinita e versioni successive. Il formato è `YYYY-MM-DD`.	`2022-08-10`	Facoltativo
Todate	Filtra i log fino alla data predefinita. Il formato è `YYYY-MM-DD`.	`2022-08-10`	Facoltativo
ticketId	Filtra i log correlati a un ID ticket specifico.	`9a5fe99c-d914-4bda-9332-307384fe40bf`	Facoltativo
tokenName	Filtra i log correlati a un nome di token specifico.	finestra trimestrale di integrità	Facoltativo

Codici di errore:

Codice	Message	Descrizione
200	OK	L'azione è stata completata correttamente.
204:	Nessun contenuto	Non sono presenti dati da visualizzare.
400	Bad Request	Il formato della data non è corretto.
500	Internal Server Error	Qualsiasi altro errore imprevisto.

Tipo: JSON

Matrice di oggetti JSON che rappresentano le operazioni della finestra di manutenzione.

Struttura della risposta:

Nome	Tipo	Nullable/Not nullable	Elenco di valori
id	Long integer	Non ammette valori Null.	ID interno per il log corrente
dateTime	string	Non ammette valori Null.	Ora in cui si è verificata l'attività, ad esempio: `2022-04-23T18:25:43.511Z`
ticketId	string	Non ammette valori Null.	ID finestra di manutenzione. ad esempio `9a5fe99c-d914-4bda-9332-307384fe40bf`
tokenName	string	Non ammette valori Null.	Nome del token della finestra di manutenzione. ad esempio `quarterly-sanity-window`
Motori	Matrice di stringhe	Nullable	Motori su cui si applica la finestra di manutenzione, come specificato durante la creazione della finestra di manutenzione: `Protocol Violation`, `Policy Violation`, `Malware`, `Anomaly`o `Operational`
sensorIds	Matrice di stringhe	Nullable	Sensori su cui si applica la finestra di manutenzione, come specificato durante la creazione della finestra di manutenzione.
Subnet	Matrice di stringhe	Nullable	Subnet in cui viene applicata la finestra di manutenzione, come specificato durante la creazione della finestra di manutenzione.
Ttl	Numeric	Nullable	Durata (TTL) della finestra di manutenzione, come specificato durante la creazione o l'aggiornamento della finestra di manutenzione.
operationType	string	Non ammette valori Null.	Uno dei valori seguenti: `OPEN`, `UPDATE`e `CLOSE`

Tipo: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

Esempio:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

PUT

Consente di aggiornare la durata della finestra di manutenzione dopo l'avvio del processo di manutenzione modificando il ttl parametro . La nuova definizione di durata sostituisce quella precedente.

Questo metodo è utile quando si desidera impostare una durata più lunga rispetto alla durata attualmente configurata. Ad esempio, se sono stati originariamente definiti 180 minuti, sono trascorsi 90 minuti e si vuole aggiungere altri 30 minuti, aggiornare al ttl120 minuto per reimpostare il conteggio della durata.

Parametri di query:

Nome	Descrizione	Esempio	Obbligatoria / Facoltativa
ticketId	Stringa. Definisce l'ID del ticket di manutenzione nei sistemi dell'utente.	`2987345p98234`	Necessario
Ttl	Numero intero positivo. Definisce la durata della finestra in minuti.	`210`	Necessario

Codici di errore:

Codice	Message	Descrizione
200 (OK)	-	L'azione è stata completata correttamente.
400 (richiesta non valida)	Nessun TicketId	La richiesta non contiene un `ticketId` valore.
400 (richiesta non valida)	TTL non valido	Il valore TTL definito non è numerico o non è un numero intero positivo.
400 (richiesta non valida)	Non è stato possibile analizzare la richiesta	La richiesta manca un valore di `ttl` parametro.
404 (non trovato)	Finestra di manutenzione non trovata	L'ID ticket non è collegato a una finestra di manutenzione aperta.
500 (errore interno del server)	-	Qualsiasi altro errore imprevisto.

Tipo: PUT

API:

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Esempio:

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (PCAP di avviso richiesta)

Usare questa API per richiedere un file PCAP correlato a un avviso.

URI: /external/v2/alerts/

GET

Parametri di query:

Nome	Descrizione	Esempio	Obbligatoria / Facoltativa
id	ID avviso dalla console di gestione locale	`/external/v2/alerts/pcap/<id>`	Necessario

Tipo: JSON

Stringa di messaggio con i dettagli dello stato dell'operazione:

Codice di stato	Message	Descrizione
200 (OK)	-	Oggetto JSON con dati sul file PCAP richiesto. Per altre informazioni, vedere Campi dati.
500 (errore interno del server)	Avviso non trovato	L'ID avviso specificato non è stato trovato nella console di gestione locale.
500 (errore interno del server)	Errore durante il recupero del token per l'ID xsense `<number>`	Si è verificato un errore durante il recupero del token del sensore per l'ID sensore specificato
500 (errore interno del server)	-	Qualsiasi altro errore imprevisto.

Campi dati

Nome	Tipo	Nullable/Not nullable	Elenco di valori
id	Numeric	Non ammette valori Null.	ID avviso della console di gestione locale
xsenseId	Numeric	Non ammette valori Null.	ID sensore
xsenseAlertId	Numeric	Non ammette valori Null.	ID avviso della console del sensore
downloadUrl	string	Non ammette valori Null.	URL usato per scaricare il file PCAP
token	string	Non ammette valori Null.	Token del sensore da usare quando si scarica il file PCAP

Esempio di risposta: Success

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Esempio di risposta: Errore

{
  "error": "alert not found"
}

Tipo: GET

API

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

*Esempio:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Passaggi successivi

Per altre informazioni, vedere la panoramica di riferimento sull'API Defender per IoT.

Informazioni di riferimento sull'API di gestione degli avvisi per le console di gestione locali

avvisi (Recupera informazioni sull'avviso)

GET

UUID (Gestire gli avvisi in base all'UUID)

PUT

maintenanceWindow (Creare esclusioni di avviso)

POST

DELETE

GET

PUT

pcap (PCAP di avviso richiesta)

GET

Passaggi successivi

Risorse aggiuntive