Referência da API de gerenciamento de alerta para consoles de gerenciamento locais

Artigo
06/01/2023

Este artigo lista as APIs REST de gerenciamento de alerta com suporte para consoles de gerenciamento local do Microsoft Defender para IoT.

alertas (recuperar informações de alerta)

Use essa API para recuperar todos os alertas ou os alertas filtrados de um console de gerenciamento local.

URI: /external/v1/alerts ou /external/v2/alerts

GET

Parâmetros de consulta:

Nome	Descrição	Exemplo	Obrigatório/Opcional
state	Obtém somente os alertas manipulados ou não manipulados. Valores com suporte: - `handled` - `unhandled` Todos os outros valores são ignorados.	`/api/v1/alerts?state=handled`	Opcional
fromTime	Obtenha alertas criados a partir de um determinado horário, em milissegundos, desde a hora Época e no fuso horário UTC.	`/api/v1/alerts?fromTime=<epoch>`	Opcional
toTime	Obtenha alertas criados antes de um determinado horário, em milissegundos, desde a hora Época e no fuso horário UTC.	`/api/v1/alerts?toTime=<epoch>`	Opcional
siteId	O site em que o alerta foi descoberto.	`/api/v1/alerts?siteId=1`	Opcional
zoneId	A zona em que o alerta foi descoberto.	`/api/v1/alerts?zoneId=1`	Opcional
sensorId	O sensor em que o alerta foi descoberto.	`/api/v1/alerts?sensorId=1`	Opcional

Observação

Talvez você não tenha o site e a ID da zona. Se esse for o caso, confira primeiro todos os dispositivos para recuperar o site e a ID da zona. Para obter mais informações, confira Referência da API de Integração para consoles de gerenciamento locais (versão prévia pública).

Tipo: JSON

Uma lista de alertas com os seguintes campos:

Nome	Type	Anulável/Não anulável	Lista de valores
Id	Numérico	Não permite valor nulo	-
sensorId	Numérico	Não permite valor nulo	-
zoneId	Numérico	Não permite valor nulo	-
time	Numérico	Não permite valor nulo	Milissegundos a partir da hora Época, no fuso horário UTC
title	String	Não permite valor nulo	-
message	String	Não permite valor nulo	-
severity	String	Não permite valor nulo	`Warning`, `Minor`, `Major` ou `Critical`
engine	String	Não permite valor nulo	`Protocol Violation`, `Policy Violation`, `Malware`, `Anomaly` ou `Operational`
sourceDevice	Numérico	Nullable	ID do Dispositivo
destinationDevice	Numérico	Nullable	ID do Dispositivo
remediationSteps	String	Nullable	Etapas de correção mostradas no alerta
additionalInformation	Objeto de informações adicionais	Nullable	-
manipulado	Booliano, estado do alerta	Não permite valor nulo	`true` ou `false`

Campos de informações adicionais:

Nome	Type	Anulável/Não anulável	Lista de valores
descrição	String	Não permite valor nulo	-
information	Matriz JSON	Não permite valor nulo	String

Adicionado para V2:

Nome	Type	Anulável/Não anulável	Lista de valores
sourceDeviceAddress	String	Nullable	Endereço IP ou MAC
destinationDeviceAddress	String	Nullable	Endereço IP ou MAC
remediationSteps	Matriz JSON	Não permite valor nulo	Cadeia de caracteres, etapas de correção descritas no alerta
sensorName	String	Não permite valor nulo	O nome do sensor definido pelo usuário
zoneName	String	Não permite valor nulo	O nome da zona associada ao sensor
siteName	String	Não permite valor nulo	O nome do site associado ao sensor

Para saber mais, confira Referência de versão da API do Sensor.

Exemplo de resposta

[
    {
        "engine": "Operational",
        "handled": false,
        "title": "Traffic Detected on sensor Interface",
        "additionalInformation": null,
        "sourceDevice": 0,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808245000,
        "sensorId": 1,
        "message": "The sensor resumed detecting network traffic on ens224.",
        "destinationDevice": 0,
        "id": 1,
        "severity": "Warning"
    },
    {
        "engine": "Anomaly",
        "handled": false,
        "title": "Address Scan Detected",
        "additionalInformation": null,
        "sourceDevice": 4,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808260000,
        "sensorId": 1,
        "message": "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.",
        "destinationDevice": 0,
        "id": 2,
        "severity": "Critical"
    },
    {
        "engine": "Operational",
        "handled": false,
        "title": "Suspicion of Unresponsive MODBUS Device",
        "additionalInformation": null,
        "sourceDevice": 194,
        "zoneId": 1,
        "siteId": 1,
        "time": 1594808285000,
        "sensorId": 1,
        "message": "Outstation device 10.13.10.1 (Protocol Address 53) seems to be unresponsive to MODBUS requests.",
        "destinationDevice": 0,
        "id": 3,
        "severity": "Minor"
    }
]

Tipo: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<>IP_ADDRESS>/external/v1/alerts?state=&zoneId=&fromTime=&toTime=&siteId=&sensor='

Exemplo:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/alerts?state=unhandled&zoneId=1&fromTime=0&toTime=1594551777000&siteId=1&sensor=1'

UUID (Gerenciar alertas com base no UUID)

Use essa API para executar ações especificadas em um alerta específico detectado pelo Defender para IoT.

Por exemplo, você pode usar essa API para criar uma regra de encaminhamento que encaminha dados para o QRadar. Para obter mais informações, confira Integrar o Qradar com o Microsoft Defender para IoT.

URI: /external/v1/alerts/<UUID>

PUT

Tipo: JSON

Parâmetros de consulta:

Nome	Descrição	Exemplo	Obrigatório/Opcional
UUID	Define o UUID (identificador universal exclusivo) para o alerta que você deseja manipular ou manipular e aprender.	`/api/v1/alerts/7903F632-H7EJ-4N69-F40F-4B1E689G00Q0`	Obrigatório

Parâmetros do corpo

Nome	Descrição	Exemplo	Obrigatório/Opcional
action	String	`handle` ou `handleAndLearn`	Obrigatório

Exemplo de solicitação

{
    "action": "handle"
}

Tipo: JSON

Matriz de objetos JSON que representam dispositivos.

Campos de resposta:

Nome	Type	Obrigatório/Opcional	Descrição
content / error	String	Obrigatório	Se a solicitação for bem-sucedida, a propriedade Content será exibida. Caso contrário, a propriedade Error será exibida.

Possíveis valores do conteúdo:

Código de status	Mensagem	Descrição
200	Solicitação de atualização de alerta concluída com êxito.	A solicitação de atualização de alerta foi concluída com êxito. Sem comentários.
200	O alerta já foi tratado (handle).	O alerta já foi tratado quando uma solicitação handle para o alerta foi recebida. O alerta permanece handled.
200	O alerta já foi tratado e assimilado (handleAndLearn).	O alerta já foi tratado e assimilado quando uma solicitação handleAndLearn foi recebida. O alerta permanece com o status handledAndLearn.
200	O alerta já foi tratado (handled). “Tratar e assimilar” (handleAndLearn) foi executado no alerta.	O alerta já foi tratado quando uma solicitação handleAndLearn foi recebida. O alerta se torna handleAndLearn.
200	O alerta já foi tratado e assimilado (handleAndLearn). Solicitação handle ignorada.	O alerta já foi handleAndLearn quando uma solicitação para tratar o alerta foi recebida. O alerta permanece handleAndLearn.
500	Ação inválida.	A ação enviada não é uma ação válida a ser executada no alerta.
500	Ocorreu um erro inesperado.	Erro inesperado. Para resolver o problema, entre em contato com o Suporte Técnico.
500	Não foi possível executar a solicitação porque nenhum alerta foi encontrado para este UUID.	O UUID do alerta especificado não foi encontrado no sistema.

Exemplo de resposta: êxito

{
    "content": "Alert update request finished successfully"
}

Exemplo de resposta: sem sucesso

{
    "error": "Invalid action"
}

Tipo: PUT

APIs:

curl -k -X PUT -d '{"action": "<ACTION>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/external/v1/alerts/<UUID>

Exemplo:

curl -k -X PUT -d '{"action": "handle"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/alerts/1-1594550943000

maintenanceWindow (criar exclusões de alerta)

Gerencia janelas de manutenção, durante as quais os alertas não serão enviados. Use essa API para definir e atualizar as horas de parada e de início, os dispositivos ou sub-redes que devem ser excluídos ao disparar alertas ou para definir e atualizar os mecanismos do Defender para IoT que devem ser excluídos.

Por exemplo, durante uma janela de manutenção, talvez você queira interromper a entrega de todos os alertas, exceto de alertas de malware em dispositivos críticos.

As janelas de manutenção que definem com a API maintenanceWindow aparecem na janela Exclusões de Alerta do console de gerenciamento local como uma regra de exclusão somente leitura, nomeada com a seguinte sintaxe: Maintenance-{token name}-{ticket ID}.

Importante

Essa API é compatível apenas para fins de manutenção e por um período limitado e não deve ser usada no lugar das regras de exclusão de alerta. Use essa API somente para operações de manutenção temporárias e avulsas.

URI: /external/v1/maintenanceWindow

POST

Cria uma nova janela de manutenção.

Parâmetros do corpo:

Nome	Descrição	Exemplo	Obrigatório/Opcional
ticketId	Cadeia de caracteres. Define a ID do tíquete de manutenção nos sistemas do usuário. Verifique se a ID do tíquete não está vinculada a uma janela aberta existente.	`2987345p98234`	Obrigatório
ttl	Número inteiro positivo. Define a TTL (vida útil), que é a duração da janela de manutenção em minutos. Após o término do período definido, a janela de manutenção terminará e o sistema se comportará normalmente novamente.	`180`	Obrigatório
engines	Matriz JSON de strings. Define qual mecanismo suprime os alertas durante a janela de manutenção. Valores possíveis: - `ANOMALY` - `MALWARE` - `OPERATIONAL` - `POLICY_VIOLATION` - `PROTOCOL_VIOLATION`	`ANOMALY,OPERATIONAL`	Opcional
sensorIds	Matriz JSON de strings. Define quais sensores suprimem os alertas durante a janela de manutenção. Você pode obter essas IDs do sensor na API devices (Gerenciar dispositivos de sensor OT).	`1,35,63`	Opcional
sub-redes	Matriz JSON de strings. Define as sub-redes para supressão de alertas durante a janela de manutenção. Defina cada sub-rede em uma notação CIDR.	`192.168.0.0/16,138.136.80.0/14,112.138.10.0/8`	Opcional

Código de status	Mensagem	Descrição
201 (Criado)	-	A ação foi concluída com êxito.
400 (Solicitação inválida)	Sem TicketId	A solicitação de API não tinha um valor `ticketId`.
400 (Solicitação inválida)	TTL ilegal	A solicitação de API incluiu um valor de TTL não positivo ou não numérico.
400 (Solicitação inválida)	Não foi possível analisar a solicitação.	Problema ao analisar o corpo, como parâmetros incorretos ou valores inválidos.
400 (Solicitação inválida)	Já existe uma janela de manutenção com os mesmos parâmetros.	Aparece quando já existe uma janela de manutenção com os mesmos detalhes.
404 (Não encontrado)	ID do sensor desconhecida	Um dos sensores listados na solicitação não existe.
409 (Conflito)	A ID do tíquete já tem uma janela aberta.	A ID do tíquete está vinculada a outra janela de manutenção aberta.
500 (Erro interno do servidor)	-	Qualquer outro erro inesperado.

Tipo: POST

API:

curl -k -X POST -d '{"ticketId": "<TICKET_ID>",ttl": <TIME_TO_LIVE>,"engines": [<ENGINE1, ENGINE2...ENGINEn>],"sensorIds": [<SENSOR_ID1, SENSOR_ID2...SENSOR_IDn>],"subnets": [<SUBNET1, SUBNET2....SUBNETn>]}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Exemplo:

curl -k -X POST -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20","engines": ["ANOMALY"],"sensorIds": ["5","3"],"subnets": ["10.0.0.0/16"]}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

Delete (excluir)

Fecha uma janela de manutenção existente.

Parâmetros de consulta:

Nome	Descrição	Exemplo	Obrigatório/Opcional
ticketId	Define a ID do tíquete de manutenção nos sistemas do usuário. Certifique-se de que a ID do tíquete não está vinculada a uma janela aberta existente.	`2987345p98234`	Obrigatório

Códigos de erro:

Código	Mensagem	Descrição
200 (OK)	-	A ação foi concluída com êxito.
400 (Solicitação inválida)	Sem TicketId	O parâmetro ticketId está ausente da solicitação.
404 (Não encontrado):	Janela de manutenção não encontrada.	A ID do tíquete não está vinculada a uma janela de manutenção aberta.
500 (Erro interno do servidor)	-	Qualquer outro erro inesperado.

Tipo: DELETE

API:

curl -k -X DELETE -d '{"ticketId": "<TICKET_ID>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Exemplo:

curl -k -X DELETE -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

GET

Recupere um log com todas as ações de abrir (POST), fechar (DELETE) e atualizar (PUT) que foram executadas usando essa API para lidar com janelas de manutenção. T

Parâmetros de consulta:

Nome	Descrição	Exemplo	Obrigatório/Opcional
fromDate	Filtra os logs da data predefinida em diante. O formato é `YYYY-MM-DD`.	`2022-08-10`	Opcional
toDate	Filtra os logs até a data predefinida. O formato é `YYYY-MM-DD`.	`2022-08-10`	Opcional
ticketId	Filtra os logs relacionados a uma ID de tíquete específica.	`9a5fe99c-d914-4bda-9332-307384fe40bf`	Opcional
tokenName	Filtra os logs relacionados a um nome de token específico.	quarterly-sanity-window	Opcional

Códigos de erro:

Código	Mensagem	Descrição
200	OK	A ação foi concluída com êxito.
204:	Sem conteúdo	Não há dados para exibição.
400	Solicitação incorreta	O formato dos dados está incorreto.
500	Erro interno do servidor	Qualquer outro erro inesperado.

Tipo: JSON

Matriz de objetos JSON que representam operações de janelas de manutenção.

Estrutura de resposta:

Nome	Type	Anulável/Não anulável	Lista de valores
id	Long integer	Não permite valor nulo	Uma ID interna para o log atual
dateTime	String	Não permite valor nulo	A hora em que a atividade ocorreu, por exemplo: `2022-04-23T18:25:43.511Z`
ticketId	String	Não permite valor nulo	ID da janela de manutenção. Por exemplo: `9a5fe99c-d914-4bda-9332-307384fe40bf`
tokenName	String	Não permite valor nulo	O nome do token da janela de manutenção. Por exemplo: `quarterly-sanity-window`
engines	Matriz de cadeia de caracteres	Nullable	Os mecanismos aos quais a janela de manutenção se aplica, conforme indicado durante a criação da janela de manutenção: `Protocol Violation`, `Policy Violation`, `Malware`, `Anomaly` ou `Operational`
sensorIds	Matriz de cadeia de caracteres	Nullable	Os sensores aos quais a janela de manutenção se aplica, conforme indicado durante a criação da janela de manutenção.
sub-redes	Matriz de cadeia de caracteres	Nullable	As sub-redes as quais a janela de manutenção se aplica, conforme indicado durante a criação da janela de manutenção.
ttl	Numérico	Nullable	TTL (tempo de vida) da janela de manutenção, conforme fornecido durante a criação ou atualização da janela de manutenção.
operationType	String	Não permite valor nulo	Um dos seguintes valores: `OPEN`, `UPDATE` e `CLOSE`

Tipo: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v1/maintenanceWindow?fromDate=&toDate=&ticketId=&tokenName='

Exemplo:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/external/v1/maintenanceWindow?fromDate=2020-01-01&toDate=2020-07-14&ticketId=a5fe99c-d914-4bda-9332-307384fe40bf&tokenName=a'

PUT

Permite atualizar a duração da janela de manutenção depois de iniciar o processo de manutenção alterando o parâmetro ttl. A nova definição de duração substitui a anterior.

Esse método é útil quando você deseja definir uma duração maior do que a duração configurada atualmente. Por exemplo, se você definiu originalmente 180 minutos, 90 minutos se passaram, e você quer adicionar mais 30 minutos, atualize o minuto ttl a 120 para redefinir a contagem de duração.

Parâmetros de consulta:

Nome	Descrição	Exemplo	Obrigatório/Opcional
ticketId	Cadeia de caracteres. Define a ID do tíquete de manutenção nos sistemas do usuário.	`2987345p98234`	Obrigatório
ttl	Número inteiro positivo. Define a duração da janela em minutos.	`210`	Obrigatório

Códigos de erro:

Código	Mensagem	Descrição
200 (OK)	-	A ação foi concluída com êxito.
400 (Solicitação inválida)	Sem TicketId	A solicitação não tem um valor `ticketId`.
400 (Solicitação inválida)	TTL ilegal	O TTL definido não é numérico ou não é um inteiro positivo.
400 (Solicitação inválida)	Não foi possível analisar a solicitação	Há um valor de parâmetro `ttl` faltando na solicitação.
404 (Não encontrado)	Janela de manutenção não encontrada	A ID do tíquete não está vinculada a uma janela de manutenção aberta.
500 (Erro interno do servidor)	-	Qualquer outro erro inesperado.

Tipo: PUT

API:

curl -k -X PUT -d '{"ticketId": "<TICKET_ID>",ttl": "<TIME_TO_LIVE>"}' -H "Authorization: <AUTH_TOKEN>" https://<IP address>/external/v1/maintenanceWindow

Exemplo:

curl -k -X PUT -d '{"ticketId": "a5fe99c-d914-4bda-9332-307384fe40bf","ttl": "20"}' -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/external/v1/maintenanceWindow

pcap (PCAP de alerta de solicitação)

Use esta API para solicitar um arquivo PCAP relacionado a um alerta.

URI: /external/v2/alerts/

GET

Parâmetros de consulta:

Nome	Descrição	Exemplo	Obrigatório/Opcional
id	ID do alerta no console de gerenciamento local	`/external/v2/alerts/pcap/<id>`	Obrigatório

Tipo: JSON

Cadeia de caracteres de mensagem com os detalhes do status da operação:

Código de status	Mensagem	Descrição
200 (OK)	-	Objeto JSON com dados sobre o arquivo PCAP solicitado. Para saber mais, confira Campos de dados.
500 (Erro interno do servidor)	Alerta não encontrado	A ID de alerta fornecida não foi encontrada no console de gerenciamento local.
500 (Erro interno do servidor)	Erro ao obter token para a ID xsense `<number>`	Ocorreu um erro ao obter o token do sensor para a ID de sensor especificada
500 (Erro interno do servidor)	-	Qualquer outro erro inesperado.

Campos de dados

Nome	Type	Anulável/Não anulável	Lista de valores
id	Numérico	Não permite valor nulo	A ID de alerta no console de gerenciamento local
xsenseId	Numérico	Não permite valor nulo	A ID do sensor
xsenseAlertId	Numérico	Não permite valor nulo	A ID do alerta do console do sensor
downloadUrl	String	Não permite valor nulo	A URL usada para baixar o arquivo PCAP
token	String	Não permite valor nulo	O token do sensor a ser usado ao baixar o arquivo PCAP

Exemplo de resposta: êxito

{
  "downloadUrl": "https://10.1.0.2/api/v2/alerts/pcap/1",
  "xsenseId": 1,
  "token": "d2791f58-2a88-34fd-ae5c-2651fe30a63c",
  "id": 1,
  "xsenseAlertId": 1
}

Exemplo de resposta: erro

{
  "error": "alert not found"
}

Tipo: GET

APIs

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/external/v2/alerts/pcap/<ID>'

*Exemplo:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://10.1.0.1/external/v2/alerts/pcap/1'

Próximas etapas

Para obter mais informações, confira a Visão geral de referência da API do Defender para IoT.

Referência da API de gerenciamento de alerta para consoles de gerenciamento locais

alertas (recuperar informações de alerta)

GET

UUID (Gerenciar alertas com base no UUID)

PUT

maintenanceWindow (criar exclusões de alerta)

POST

Delete (excluir)

GET

PUT

pcap (PCAP de alerta de solicitação)

GET

Próximas etapas

Recursos adicionais