オンプレミス管理コンソールのアラート管理 API リファレンス

  • [アーティクル]

この記事では、Microsoft Defender for IoT オンプレミス管理コンソールでサポートされているアラート管理 REST API の一覧を示します。

alerts (アラート情報を取得する)

オンプレミスの管理コンソールからすべてまたはフィルター処理されたアラートを取得するには、この API を使用します。

URI: /external/v1/alerts または /external/v2/alerts

GET

クエリ パラメーター:

名前 説明 必須/省略可能
状態 処理されたか処理されなかったアラートのみを取得します。 サポートされる値:
- handled
- unhandled
他のすべての値は無視されます。		 /api/v1/alerts?state=handled オプション
fromTime 指定した時刻 (エポック時間からのミリ秒数、UTC タイムゾーン) 以降に作成されたアラートを取得します。 /api/v1/alerts?fromTime=<epoch> オプション
toTime 指定した時刻 (エポック時間からのミリ秒数、UTC タイムゾーン) 以前に作成されたアラートのみを取得します。 /api/v1/alerts?toTime=<epoch> オプション
siteId アラートが検出されたサイト。 /api/v1/alerts?siteId=1 オプション
zoneId アラートが検出されたゾーン。 /api/v1/alerts?zoneId=1 オプション
sensorId アラートが検出されたセンサー。 /api/v1/alerts?sensorId=1 省略可能

Note

サイトとゾーン ID がない可能性があります。 この場合は、最初にすべてのデバイスのクエリを実行して、サイトとゾーン ID を取得します。 詳しくは、「オンプレミス管理コンソールの統合 API リファレンス (パブリック プレビュー)」をご覧ください。

UUID (UUID に基づいてアラートを管理する)

Defender for IoT によって検出された特定のアラートに対して指定したアクションを実行するには、この API を使います。

たとえば、この API を使って、データを QRadar に転送する転送規則を作成できます。 詳しくは、「Qradar を Microsoft Defender for IoT と統合する」をご覧ください。

URI: /external/v1/alerts/<UUID>

PUT

: JSON

クエリ パラメーター:

名前 説明 必須/省略可能
UUID 処理する、または処理して学習するアラートのユニバーサル一意識別子 (UUID) を定義します。 /api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0 必須

本文のパラメーター

名前 説明 必須/省略可能
action String handle または handleAndLearn のいずれか 必須

要求の例

{
    "action": "handle"
}

maintenanceWindow (アラートの除外を作成する)

アラートが送信されないメンテナンス期間を管理します。 アラートをトリガーするときに除外する停止時刻と開始時刻、デバイス、またはサブネットを定義および更新するには、または除外する必要がある Defender for IoT エンジンを定義および更新するには、この API を使います。

例としては、メンテナンス期間中は、重要なデバイスのマルウェア アラートを除き、すべてのアラートの配信を停止するなどです。

maintenanceWindow API で定義したメンテナンス期間は、Maintenance-{token name}-{ticket ID} という形式の名前が付けられた読み取り専用の除外ルールとして、オンプレミス管理コンソールの [Alert Exclusions] (アラートの除外) ウィンドウに表示されます。

重要

この API は、メンテナンス目的でのみ、限られた期間についてサポートされており、アラート除外ルールの代わりに使うことを意図したものではありません。 この API は、1 回限りの一時的なメンテナンス操作にのみ使ってください。

URI: /external/v1/maintenanceWindow

POST

新しいメンテナンス期間を作成します。

本文のパラメーター:

名前 説明 必須/省略可能
ticketId 文字列 をオンにします。 ユーザーのシステムのメンテナンス チケット ID を定義します。 チケット ID が既存のオープン期間にリンクされていないことを確認します。 2987345p98234 必須
ttl 正の整数。 TTL (有効期限) を定義します。これは、分単位のメンテナンス期間です。 定義した期間が完了すると、メンテナンス期間は終了し、システムは再び通常の動作になります。 180 必須
engines 文字列の JSON 配列。 メンテナンス期間中にアラートを抑制するエンジンを定義します。 指定できる値

- ANOMALY
- MALWARE
- OPERATIONAL
- POLICY_VIOLATION
- PROTOCOL_VIOLATION		 ANOMALY,OPERATIONAL オプション
sensorIds 文字列の JSON 配列。 メンテナンス期間中にアラートを抑制するセンサーを定義します。 これらのセンサー ID は、appliances (OT センサー アプライアンスを管理する) API から取得できます。 1,35,63 オプション
サブネット 文字列の JSON 配列。 メンテナンス期間中にアラートを抑制するサブネットを定義します。 各サブネットを CIDR 表記で定義します。 192.168.0.0/16,138.136.80.0/14,112.138.10.0/8 オプション

DELETE

既存のメンテナンス期間を閉じます。

クエリ パラメーター:

名前 説明 必須/省略可能
ticketId ユーザーのシステムのメンテナンス チケット ID を定義します。 チケット ID が既存のオープン期間にリンクされていることを確認します。 2987345p98234 必須

GET

メンテナンス期間を処理するためにこの API を使って実行されたすべての オープン (POST)、クローズ (DELETE)、更新 (PUT) アクションのログを取得します。 T

クエリ パラメーター:

名前 説明 必須/省略可能
fromDate 定義済みの日付以降のログをフィルター処理します。 形式は YYYY-MM-DD です。 2022-08-10 省略可能
toDate 定義されている日付までのログをフィルター処理します。 形式は YYYY-MM-DD です。 2022-08-10 オプション
ticketId 特定のチケット ID に関連するログをフィルター処理します。 9a5fe99c-d914-4bda-9332-307384fe40bf オプション
tokenName 特定のトークン名に関連するログをフィルター処理します。 quarterly-sanity-window オプション

エラー コード:

コード Message 説明
200 OK アクションは正常に完了しました。
204: コンテンツなし 表示するデータがありません。
400 正しくない要求 日付の形式が正しくありません。
500 内部サーバー エラー その他の予期しないエラー。

PUT

ttl パラメーターを変更することにより、メンテナンス プロセスを開始した後でメンテナンス期間の持続時間を更新できます。 新しい持続時間の定義は、以前の定義を上書きします。

このメソッドは、現在構成されている期間よりも長い期間を設定する場合に便利です。 たとえば、元の定義が 180 分で、90 分が経過したときに、さらに 30 分追加する場合は、ttl120 に更新して持続時間をリセットします。

クエリ パラメーター:

名前 説明 必須/省略可能
ticketId 文字列 をオンにします。 ユーザーのシステムのメンテナンス チケット ID を定義します。 2987345p98234 必須
ttl 正の整数。 期間を分単位で定義します。 210 必須

pcap (アラートの PCAP を要求する)

この API を使用して、アラートに関連する PCAP ファイルを要求します

URI: /external/v2/alerts/

GET

クエリ パラメーター:

名前 説明 必須/省略可能
id オンプレミスの管理コンソールからのアラート ID /external/v2/alerts/pcap/<id> 必須

次のステップ

詳細については、Defender for IoT API リファレンスの概要に関するページを参照してください。