Referens för API för sårbarhetshantering för OT-övervakningssensorer
- Artikel
Den här artikeln innehåller rest-API:er för sårbarhetshantering som stöds för Microsoft Defender för IoT OT-övervakningssensorer.
De data som ingår i API-svaren innehåller samma information som om du genererade en sårbarhetsrapport från den lokala hanteringskonsolen.
enheter (Hämta information om enhetssårbarhet)
Använd det här API:et för att begära resultat av sårbarhetsbedömning för varje enhet.
URI: /api/v1/reports/vulnerabilities/devices
GET
Det här API:et anropas utan några parametrar för begäran.
Typ: JSON
Matris med JSON-objekt som representerar utvärderade enheter och deras rapporterade säkerhetsrisker.
Enheter som inte har några säkerhetsrisker ingår inte i resultatsvaret.
Enhetsfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| name | Sträng | Kan inte ha värdet null | - |
| ipAddresses | JSON-matris | Kan inte ha värdet null | - |
| securityScore | Numerisk | Kan inte ha värdet null | - |
| Leverantör | Sträng | Kan ha värdet null | |
| versionInbyggdProgramvara | Sträng | Kan ha värdet null | - |
| Modell | Sträng | Kan ha värdet null | - |
| isWirelessAccessPoint | Boolesk | Kan inte ha värdet null | True eller False |
| operatingSystem | Operativsystemobjekt | Kan ha värdet null | - |
| Sårbarheter | Sårbarhetsobjekt | Kan inte ha värdet null | - |
Operativsystemfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| name | Sträng | Kan inte ha värdet null | - |
| Typ | Sträng | Kan inte ha värdet null | - |
| Version | Sträng | Kan ha värdet null | - |
| latestVersion | Sträng | Kan ha värdet null | - |
Sårbarhetsfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| Antivirusprogram | JSON-matris med strängar | Kan ha värdet null | Antivirusnamn |
| plainTextPasswords | JSON-matris | Kan ha värdet null | Lösenordsobjekt |
| Remoteaccess | JSON-matris | Kan ha värdet null | Fjärråtkomstobjekt |
| isBackupServer | Boolesk | Kan inte ha värdet null | True eller False |
| openedPorts | JSON-matris | Kan ha värdet null | Portobjekt som öppnats |
| isEngineeringStation | Boolesk | Kan inte ha värdet null | True eller False |
| isKnownScanner | Boolesk | Kan inte ha värdet null | True eller False |
| cves | JSON-matris | Kan ha värdet null | CVE-objekt |
| är obehörig | Boolesk | Kan inte ha värdet null | True eller False |
| malwareIndicationsDetected | Boolesk | Kan inte ha värdet null | True eller False |
| weakAuthentication | JSON-matris med strängar | Kan ha värdet null | Identifierade program som använder svag autentisering |
Lösenordsfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| lösenord | Sträng | Kan inte ha värdet null | - |
| Protokollet | Sträng | Kan inte ha värdet null | - |
| Styrka | Sträng | Kan inte ha värdet null | Very weak, Weak, Medium, Strong |
Fält för fjärråtkomst
| Namn | Typ | Kan ha värdet null | Lista över värden |
|---|---|---|---|
| Port | Numerisk | Kan inte ha värdet null | - |
| Transport | Sträng | Kan inte ha värdet null | TCP, UDP |
| Klient | Sträng | Kan inte ha värdet null | IP-adress |
| clientSoftware | Sträng | Kan inte ha värdet null | Namn på fjärrprotokollet, till exempel SSH, VNC, Remote desktopeller Team viewer |
Öppna portfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| Port | Numerisk | Kan inte ha värdet null | - |
| Transport | Sträng | Kan inte ha värdet null | TCP eller UDP |
| Protokollet | Sträng | Kan ha värdet null | - |
| isConflictingWithFirewall | Boolesk | Kan inte ha värdet null | True eller False |
CVE-fält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| id | Sträng | Kan inte ha värdet null | - |
| Poäng | Numeriskt decimalvärde | Kan inte ha värdet null | - |
| beskrivning | Sträng | Kan inte ha värdet null | - |
Exempel på svar
[
{
"name": "IED \#10",
"ipAddresses": ["10.2.1.10"],
"securityScore": 100,
"vendor": "ABB Switzerland Ltd, Power Systems",
"firmwareVersion": null,
"model": null,
"operatingSystem": {
"name": "ABB Switzerland Ltd, Power Systems",
"type": "abb",
"version": null,
"latestVersion": null
},
"vulnerabilities": {
"antiViruses": [
"McAfee"
],
"plainTextPasswords": [
{
"password": "123456",
"protocol": "HTTP",
"strength": "Very Weak"
}
],
"remoteAccess": [
{
"port": 5900,
"transport": "TCP",
"clientSoftware": "VNC",
"client": "10.2.1.20"
}
],
"isBackupServer": true,
"openedPorts": [
{
"port": 445,
"transport": "TCP",
"protocol": "SMP Over IP",
"isConflictingWithFirewall": false
},
{
"port": 80,
"transport": "TCP",
"protocol": "HTTP",
"isConflictingWithFirewall": false
}
],
"isEngineeringStation": false,
"isKnownScanner": false,
"cves": [
{
"id": "CVE-2015-6490",
"score": 10,
"description": "Frosty URL - Stack-based buffer overflow on Allen-Bradley MicroLogix 1100 devices before B FRN 15.000 and 1400 devices through B FRN 15.003 allows remote attackers to execute arbitrary code via unspecified vectors"
},
{
"id": "CVE-2012-6437",
"score": 10,
"description": "MicroLogix 1100 and 1400 do not properly perform authentication for Ethernet firmware updates, which allows remote attackers to execute arbitrary code via a Trojan horse update image"
},
{
"id": "CVE-2012-6440",
"score": 9.3,
"description": "MicroLogix 1100 and 1400 allows man-in-the-middle attackers to conduct replay attacks via HTTP traffic."
}
],
"isUnauthorized": false,
"malwareIndicationsDetected": true
}
}
]
Typ: GET
API:
curl -k -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/api/v1/reports/vulnerabilities/devices
Exempel:
curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/api/v1/reports/vulnerabilities/devices
säkerhet (Hämta säkerhetsrisker)
Använd det här API:et för att begära resultat från en allmän sårbarhetsbedömningsrapport. Den här utvärderingen ger insikter om systemets säkerhetsnivå.
Den här utvärderingen baseras på allmän nätverks- och systeminformation och inte på en specifik enhetsutvärdering.
URI: /api/v1/reports/vulnerabilities/security
GET
Det här API:et anropas utan några parametrar för begäran.
Typ: JSON-representation av en eller flera datatabeller, var och en med specifika och potentiellt olika strukturer.
Svaret visas i en kartvy som mappar tabellrubriker till tabellrader. Rader representeras som en lista över objekt med samma strukturer.
Fält för obehöriga enheter
| Namn | Typ | Nullable/Not nullable | Lista över värden |
|---|---|---|---|
| Adress | Sträng | Kan ha värdet null | IP- eller MAC-adressen för den obehöriga enheten |
| name | Sträng | Kan ha värdet null | Namnet på den obehöriga enheten |
| firstDetectionTime | Numerisk | Kan ha värdet null | Tidsstämpel som enheten först upptäcktes, i millisekunder från epoktid och i UTC-tidszon |
| lastSeen | Numerisk | Kan ha värdet null | Tidsstämpel för att trafiken senast identifierades som skickad till eller från enheten, i millisekunder från epoktid och i UTC-tidszon |
illegalTrafficByFirewallRules fält
| Namn | Typ | Nullable/Not nullable | Lista över värden |
|---|---|---|---|
| Server | Sträng | Kan ha värdet null | Serverns IP-adress |
| Klient | Sträng | Kan ha värdet null | Klientens IP-adress |
| Port | Numerisk | Kan ha värdet null | Serverporten |
| Transport | Sträng | Kan ha värdet null | TCP, UDPeller ICMP |
weakFirewallRules-fält
| Namn | Typ | Nullable/Not nullable | Lista över värden |
|---|---|---|---|
| Källor | JSON-matris med källor | Kan ha värdet null | JSON-matris med källor i något av följande format: - Any - ip address (host) - from ip-to ip (RANGE) - ip address, subnet mask (NETWORK) |
| Destinationer | JSON-matris med mål | Kan ha värdet null | JSON-matris med målobjekt i något av följande format: - Any - ip address (host) - from ip-to ip (RANGE) - ip address, subnet mask (NETWORK) |
| Portar | JSON-matris med portar | Kan ha värdet null | JSON-matris med portobjekt i något av följande format: - Any - port (protocol, if detected) - from port-to port (protocol, if detected) |
accessPoints-fält
| Namn | Typ | Nullable/Not nullable | Lista över värden |
|---|---|---|---|
| macAddress | Sträng | Kan ha värdet null | Åtkomstpunktens MAC-adress |
| Leverantör | Sträng | Kan ha värdet null | Åtkomstpunktens leverantörsnamn |
| Ip | Sträng | Kan ha värdet null | Åtkomstpunktens IP-adress eller N/A |
| name | Sträng | Kan ha värdet null | Åtkomstpunktens enhetsnamn eller N/A |
| Trådlös | Sträng | Kan ha värdet null | Om åtkomstpunkten är ansluten till ett trådlöst nätverk: No, Suspectedeller Yes |
connectionsBetweenSubnets-fält
| Namn | Typ | Nullable/Not nullable | Lista över värden |
|---|---|---|---|
| Server | Sträng | Kan ha värdet null | Serverns IP-adress |
| Klient | Sträng | Kan ha värdet null | Klientens IP-adress |
industrialMalwareIndicators fält
| Namn | Typ | Nullable/Not nullable | Lista över värden |
|---|---|---|---|
| detectionTime | Numerisk | Kan ha värdet null | Tidsstämpeln för den skadliga koden upptäcktes först, i millisekunder från epoktid och i UTC-tidszon |
| alertMessage | Sträng | Kan ha värdet null | Aviseringsmeddelandet som skickats |
| beskrivning | Sträng | Kan ha värdet null | Beskrivning av aviseringsmeddelandet |
| Enheter | JSON-matris | Kan inte ha värdet null | En JSON-matris med strängar som representerar enhetsnamn |
internetConnections-fält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| internalAddress | Sträng | Kan ha värdet null | Anslutningens interna IP-adress |
| Auktoriserad | Boolesk | Kan ha värdet null | Yes eller No |
| externalAddresses | JSON-matris | Kan inte ha värdet null | En JSON-matris med anslutningens externa IP-adresser |
Exempel på svar
{
"unauthorizedDevices": [
{
"address": "10.2.1.14",
"name": "PLC \#14",
"firstDetectionTime": 1462645483000,
"lastSeen": 1462645495000,
}
],
"redundantFirewallRules": [
{
"sources": "170.39.3.0/255.255.255.0",
"destinations": "Any",
"ports": "102"
}
],
"connectionsBetweenSubnets": [
{
"server": "10.2.1.22",
"client": "170.39.2.0"
}
],
"industrialMalwareIndications": [
{
"detectionTime": 1462645483000,
"alertMessage": "Suspicion of Malicious Activity (Regin)",
"description": "Suspicious network activity was detected. Such behavior might be attributed to the Regin malware.",
"addresses": [
"10.2.1.4",
"10.2.1.5"
]
}
],
"illegalTrafficByFirewallRules": [
{
"server": "10.2.1.7",
"port": "20000",
"client": "10.2.1.4",
"transport": "TCP"
},
{
"server": "10.2.1.8",
"port": "20000",
"client": "10.2.1.4",
"transport": "TCP"
},
{
"server": "10.2.1.9",
"port": "20000",
"client": "10.2.1.4",
"transport": "TCP"
}
],
"internetConnections": [
{
"internalAddress": "10.2.1.1",
"authorized": "Yes",
"externalAddresses": ["10.2.1.2",”10.2.1.3”]
}
],
"accessPoints": [
{
"macAddress": "ec:08:6b:0f:1e:22",
"vendor": "TP-LINK TECHNOLOGIES",
"ipAddress": "173.194.112.22",
"name": "Enterprise AP",
"wireless": "Yes"
}
],
"weakFirewallRules": [
{
"sources": "170.39.3.0/255.255.255.0",
"destinations": "Any",
"ports": "102"
}
]
}
Typ: GET
API:er:
curl -k -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/api/v1/reports/vulnerabilities/security
Exempel:
curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/api/v1/reports/vulnerabilities/security
drift (hämta sårbarheter)
Använd det här API:et för att begära resultat av en allmän sårbarhetsbedömning. Den här utvärderingen ger insikt i nätverkets driftstatus. Den baseras på allmän nätverks- och systeminformation och inte på en specifik enhetsutvärdering.
URI: /api/v1/reports/vulnerabilities/operational
GET
Det här API:et anropas utan några parametrar för begäran.
Typ: JSON-representation av en eller flera datatabeller, var och en med specifika och potentiellt olika strukturer.
Svaret visas i en kartvy som mappar tabellrubriker till tabellrader. Rader representeras som en lista över objekt med samma strukturer.
backupServer-resultatfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| Källkod | Sträng | Kan ha värdet null | Källans IP-adress |
| Destination | Sträng | Kan ha värdet null | Målets IP-adress |
| Port | Numerisk | Kan ha värdet null | Säkerhetskopieringsserverporten |
| Transport | Sträng | Kan ha värdet null | Transportprotokollet TCP för säkerhetskopieringsservern eller UDP |
| backupMaximalInterval | Sträng | Kan ha värdet null | Den maximala intervalltiden mellan säkerhetskopior |
| lastSeenBackup | Numerisk | Kan ha värdet null | Tidsstämpel som en säkerhetskopia senast sågs, i millisekunder från epoktid och i UTC-tidszon |
ipNetworks-resultatfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| Adresser | Numerisk | Kan inte ha värdet null | Antalet IP-adresser som identifieras i undernätsintervallet. |
| network | Sträng | Kan inte ha värdet null | Undernätets bas-IP-adress. |
| mask | Sträng | Kan inte ha värdet null | Nätmasken. |
protocolProblems resultatfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| Protokollet | Sträng | Kan inte ha värdet null | Ett protokoll för vilket en avisering om protokollöverträdelse utlöstes |
| Adresser | JSON-matris med IP-adresser | Kan inte ha värdet null | JSON-matris med IP-adresser där överträdelsen har sitt ursprung |
| Alert | Sträng | Kan inte ha värdet null | Rubriken på aviseringen som utlöstes |
| reportTime | Numerisk | Kan inte ha värdet null | Tidsstämpel som en rapport senast genererades, i millisekunder från epoktid och i UTC-tidszon |
protocolDataVolumes resultatfält
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| Protokollet | Sträng | Kan ha värdet null | Ett protokoll som identifierades i nätverket av OT-nätverkssensorn |
| Volym | Sträng | Kan ha värdet null | Volymen protokollpaket som samlas in av OT-nätverkssensorn i MB |
resultatfält för frånkopplingar
| Namn | Typ | Nullbar/kan inte ha värdet null | Lista över värden |
|---|---|---|---|
| assetAddress | Sträng | Kan ha värdet null | IP-adressen för den frånkopplade tillgången |
| assetName | Sträng | Kan ha värdet null | Namnet på den frånkopplade tillgången |
| lastDetectionTime | Numerisk | Kan ha värdet null | Tidsstämpel som frånkopplingen senast identifierades, i millisekunder från epoktid och i UTC-tidszon |
| backToNormalTime | Numerisk | Kan ha värdet null | Tidsstämpel som anslutningen returnerade, i millisekunder från epoktid och i UTC-tidszon |
Exempel på svar
{
"backupServer": [
{
"backupMaximalInterval": "1 Hour, 29 Minutes",
"source": "10.2.1.22",
"destination": "170.39.2.14",
"port": 10000,
"transport": "TCP",
"lastSeenBackup": 1462645483000
}
],
"ipNetworks": [
{
"addresses": "21",
"network": "10.2.1.0",
"mask": "255.255.255.0"
},
{
"addresses": "3",
"network": "170.39.2.0",
"mask": "255.255.255.0"
}
],
"protocolProblems": [
{
"protocol": "DNP3",
"addresses": [
"10.2.1.7",
"10.2.1.8"
],
"alert": "Illegal DNP3 Operation",
"reportTime": 1462645483000
},
{
"protocol": "DNP3",
"addresses": [
"10.2.1.15"
],
"alert": "Master Requested an Application Layer Confirmation",
"reportTime": 1462645483000
}
],
"protocolDataVolumes": [
{
"protocol": "MODBUS (502)",
"volume": "21.07 MB"
},
{
"protocol": "SSH (22)",
"volume": "0.001 MB"
}
],
"disconnections": [
{
"assetAddress": "10.2.1.3",
"assetName": "PLC \#3",
"lastDetectionTime": 1462645483000,
"backToNormalTime": 1462645484000
}
]
}
Typ: GET
API:er:
curl -k -H "Authorization: <AUTH_TOKEN>" https://<IP_ADDRESS>/api/v1/reports/vulnerabilities/operational
Exempel:
curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" https://127.0.0.1/api/v1/reports/vulnerabilities/operational
mitigation (Hämta åtgärdssteg)
Använd det här API:et för att begära en åtgärdsbedömning. Den här utvärderingen innehåller rekommenderade steg för att åtgärda identifierade säkerhetsrisker. Den baseras på allmän nätverks- och systeminformation och inte på en specifik enhetsutvärdering.
URI: /api/v1/reports/vulnerabilities/mitigation
GET
Det här API:et anropas utan några parametrar för begäran.
Typ: JSON
JSON-objekt som representerar rekommenderade åtgärdssteg.
Svarsfält
| Fältnamn | Typ | Kan ha värdet null | Lista över värden |
|---|---|---|---|
| Meddelanden | JSON-matris med strängar | Kan inte ha värdet null | Rekommenderade åtgärdssteg för identifierade säkerhetsrisker |
| Lindring | JSON-matris | Kan inte ha värdet null | åtgärdsobjekt |
åtgärdsfält
| Fältnamn | Typ | Kan ha värdet null | Lista över värden |
|---|---|---|---|
| Innehåll | Sträng | Kan inte ha värdet null | Rekommenderade åtgärdssteg för identifierade säkerhetsrisker |
| scoreImprovement | Integer | Kan ha värdet null | Förväntad procentandel av säkerhetsförbättringar efter åtgärdssteg. |
| Detaljer | Tabell | Kan ha värdet null | En tabell med riskreduceringsrekommendationer som skulle genereras i riskbedömningsrapporten . Varje rekommendation innehåller information om möjliga säkerhetspåverkan om åtgärden utförs med mera. Mer information finns i Riskreducering. |
Anteckning
Du kan ha flera åtgärdssteg, där vissa returneras i fältet notifications och andra returneras i fältet mitigation . Objekt med scoreImprovement och details returneras endast i fältet mitigation . Objekt utan scoreImprovement och details data returneras endast i fältet notifications .
Exempel på svar
{
"notifications": ["Firewall policy import", "Marking \"important devices\"", "Further device information import"],
"mitigation": [{
"content": "Install an Antivirus solution to increase protection of the workstations",
"details": null,
"scoreImprovement": 10
}, {
"content": "Investigate all malware indicators (Contact your incident response team or support.microsoft.com). When assured the problem is solved, acknowledge the alert",
"details": {
"name": "",
"description": {
"name": "",
"important": false,
"warning": false
},
"headers": ["Detection Time", "Alert Message", "Description", "Devices"],
"rows": [
["03/10/2022 07:10:24", "Address Scan Detected", "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident.", ""],
]
},
"scoreImprovement": 8
}, {
"content": "Install a backup server in the network",
"details": null,
"scoreImprovement": 5
}, {
"content": "Install latest security updates (Devices: 2)",
"details": {
"name": "",
"description": {
"name": "",
"important": false,
"warning": false
},
"headers": ["Name", "Address"],
"rows": [
["10.13.10.5", "10.13.10.5"],
["192.168.1.127", "192.168.1.127"]
]
},
"scoreImprovement": 2
}, {
"content": "Increase password complexity for authentication (Devices: 53)",
"details": {
"name": "",
"description": {
"name": "",
"important": false,
"warning": false
},
"headers": ["Name", "Address"],
"rows": [
["10.10.10.13", "10.10.10.13"],
["10.10.10.14", "10.10.10.14"],
["10.10.10.15", "10.10.10.15"],
["10.13.10.3", "10.13.10.3"],
["10.13.10.40", "10.13.10.40"],
["10.13.10.5", "10.13.10.5"],
["10.13.11.2", "10.13.11.2"],
["10.13.11.3", "10.13.11.3"],
["192.168.1.100", "192.168.1.100"],
["192.168.1.242", "192.168.1.242"]
]
},
"scoreImprovement": 2
}, {
"content": "Investigate and acknowledge all unacknowledge alerts",
"details": {
"name": "",
"description": {
"name": "",
"important": false,
"warning": false
},
"headers": ["Detection Time", "Alert Message", "Description"],
"rows": [
["03/10/2022 07:10:24", "Address Scan Detected", "Address scan detected.\nScanning address: 10.10.10.22\nScanned subnet: 10.11.0.0/16\nScanned addresses: 10.11.1.1, 10.11.20.1, 10.11.20.10, 10.11.20.100, 10.11.20.2, 10.11.20.3, 10.11.20.4, 10.11.20.5, 10.11.20.6, 10.11.20.7...\nIt is recommended to notify the security officer of the incident."],
["03/10/2022 07:44:52", "No Traffic Detected on Sensor Interface", "The sensor stopped detecting network traffic on local_listener."]
]
},
"scoreImprovement": 1
}]
}
curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" "https://<IP address>/api/v1/reports/vulnerabilities/mitigation"
Nästa steg
Mer information finns i referensöversikten för Defender för IoT API.
Feedback
Var den här sidan till hjälp?
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för