OT izleme algılayıcıları için uyarı yönetimi API başvurusu

Makale
06/01/2023

Bu makalede IoT OT izleme algılayıcıları için Microsoft Defender için desteklenen uyarı yönetimi REST API'leri listelenmektedir.

uyarılar (Uyarı bilgilerini alma)

IoT için Defender algılayıcısının algıdığı tüm uyarıların listesini istemek için bu API'yi kullanın.

URI: /api/v1/alerts

GET

Sorgu parametreleri

Ad	Açıklama	Örnek	Gerekli / İsteğe Bağlı
Durum	Yalnızca işlenen veya işlenmeyen uyarıları alma. Desteklenen değerler: - `handled` - `unhandled`	`/api/v1/alerts?state=handled`	İsteğe Bağlı
fromTime	Belirli bir zamanda, Dönem zamanından ve UTC saat diliminden milisaniye olarak başlayarak oluşturulan uyarıları alın.	`/api/v1/alerts?fromTime=<epoch>`	İsteğe Bağlı
toTime	Yalnızca belirli bir zamanda, Dönem zamanından ve UTC saat diliminden milisaniye cinsinden daha önce oluşturulan uyarıları alın.	`/api/v1/alerts?toTime=<epoch>`	İsteğe Bağlı
tür	Yalnızca belirli bir türe ait uyarılar alın. Desteklenen değerler: - `unexpected new devices` - `disconnections` Diğer tüm değerler yoksayılır.	`/api/v1/alerts?type=disconnections`	İsteğe Bağlı

Tür: JSON

Aşağıdaki alanlara sahip uyarıların listesi:

Ad	Tür	Null atanabilir / Boş değer atanamaz	Değer listesi
ID	Sayısal	Boş değer atanamaz	-
Zaman	Sayısal	Boş değer atanamaz	UTC saat diliminde Dönem zamanından milisaniye
başlık	Dize	Boş değer atanamaz	-
ileti	Dize	Boş değer atanamaz	-
Önem	Dize	Boş değer atanamaz	`Warning`, `Minor`, `Major`veya `Critical`
Motoru	Dize	Boş değer atanamaz	`Protocol Violation`, `Policy Violation`, `Malware`, `Anomaly`veya `Operational`
sourceDevice	Sayısal	Null Atanabilir	Cihaz Kimliği
destinationDevice	Sayısal	Null Atanabilir	Cihaz Kimliği
additionalInformation	Ek bilgi nesnesi	Null Atanabilir	-

Ek bilgi alanları

Ad	Tür	Null atanabilir / Boş değer atanamaz	Değer listesi
açıklama	Dize	Boş değer atanamaz	-
Bilgi	JSON dizisi	Boş değer atanamaz	Dize

V2 için eklendi:

Ad	Tür	Null atanabilir / Boş değer atanamaz	Değer listesi
sourceDeviceAddress	Dize	Null Atanabilir	IP veya MAC adresi
destinationDeviceAddress	Dize	Null Atanabilir	IP veya MAC adresi
remediationSteps	JSON dizisi	Boş değer atanamaz	Dizeler, uyarıda açıklanan düzeltme adımları

Daha fazla bilgi için bkz . Algılayıcı API'si sürüm başvurusu.

Yanıt örneği

[
    {
        "engine": "Policy Violation",
        "severity": "Major",
        "title": "Internet Access Detected",
        "additionalinformation": {
            "information": [
                "170.60.50.201 over port BACnet (47808)"
            ],
            "description": "External Addresses"
        },
        "sourceDevice": null,
        "destinationDevice": null,
        "time": 1509881077000,
        "message": "Device 192.168.0.13 tried to access an external IP address which is an address in the Internet and is not allowed by policy. It is recommended to notify the security officer of the incident.",
        "id": 1
    },
    {
        "engine": "Protocol Violation",
        "severity": "Major",
        "title": "Illegal MODBUS Operation (Exception Raised by Master)",
        "sourceDevice": 3,
        "destinationDevice": 4,
        "time": 1505651605000,
        "message": "A MODBUS master 192.168.110.131 attempted to initiate an illegal operation.\nThe operation is considered to be illegal since it incorporated function code \#129 which should not be used by a master.\nIt is recommended to notify the security officer of the incident.",
        "id": 2,
        "additionalInformation": null,
    }
]

Tür: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/api/v1/alerts?state=<STATE>&fromTime=<FROM_TIME>&toTime=<TO_TIME>&type=<TYPE>'

Örnek:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/api/v1/alerts?state=unhandled&fromTime=1594550986000&toTime=1594550986001&type=disconnections'

events (Zaman çizelgesi olaylarını alma)

Olay zaman çizelgesine bildirilen olayların listesini istemek için bu API'yi kullanın.

Not

Aynı API'yi aynı saat içinde, tam olarak aynı parametre değerleriyle çalıştırmak önbelleğe alınmış bir değer döndürür. Bu API'yi bir saat içinde iki kez çalıştırıyorsanız, güncelleştirilmiş bir yanıt almak için sorgu parametrelerini değiştirmenizi öneririz.

URI: /api/v1/events

GET

Sorgu parametreleri

Ad	Açıklama	Örnek	Gerekli / İsteğe Bağlı
minutesTimeFrame	Sonuçları, olayların raporlandığı belirli bir zaman dilimine göre filtreleyin. Geçerli saatten geriye doğru tanımlanmıştır. Maksimum = `4320` (3 gün). Daha büyük değerler hata olmadan 4320 olarak kabul edilir	`/api/v1/events?minutesTimeFrame=20`	İsteğe Bağlı
Türü	Sonuçları yalnızca belirli bir tür için filtreleyin. Desteklenen türler dışındaki tüm değerler yoksayılır. Daha fazla bilgi için bkz . Olay `type` ve `title` başvuru.	`/api/v1/events?type=DEVICE_CONNECTION_CREATED` `/api/v1/events?type=REMOTE_ACCESS&minutesTimeFrame`	İsteğe Bağlı

Tür: JSON

Olay zaman damgasına göre sıralanmış en son 100 olayı temsil eden JSON nesneleri dizisi ve önce en son olay.

Olay alanları şunlardır:

Ad	Tür	Null atanabilir / Boş değer atanamaz	Değer listesi
Zaman damgası	Sayısal	Null atanamaz	Utc saat diliminde Dönem zamanından milisaniye
Türü	Dize	Null atanamaz	Desteklenen türlerden biri
başlık	Dize	Null atanamaz	Desteklenen başlıklardan biri
Önem	Dize	Null atanamaz	`INFO`, `NOTICE`veya `ALERT`
Sahibi	Dize	Null Atanabilir	Dize. Olay el ile oluşturulduysa, bu alan olayı oluşturan kullanıcı adını içerir.
Içerik	Dize	Null atanamaz	Olayı açıklayan dize.

Yanıt örneği

[
    {
        "severity": "INFO",
        "title": "Back to Normal",
        "timestamp": 1504097077000,
        "content": "Device 10.2.1.15 was found responsive, after being suspected as disconnected",
        "owner": null,
        "type": "BACK_TO_NORMAL"
    },
    {
        "severity": "ALERT",
        "title": "Alert Detected",
        "timestamp": 1504096909000,
        "content": "Device 10.2.1.15 is suspected to be disconnected (unresponsive).",
        "owner": null,
        "type": "ALERT_REPORTED"
    },
    {
        "severity": "ALERT",
        "title": "Alert Detected",
        "timestamp": 1504094446000,
        "content": "A DNP3 Master 10.2.1.14 attempted to initiate a request which is not allowed by policy.\nThe policy indicates the allowed function codes, address ranges, point indexes and time intervals.\nIt is recommended to notify the security officer of the incident.",
        "owner": null,
        "type": "ALERT_REPORTED"
    },
    {
        "severity": "NOTICE",
        "title": "PLC Program Update",
        "timestamp": 1504094344000,
        "content": "Program update detected, sent from 10.2.1.25 to 10.2.1.14",
        "owner": null,
        "type": "PROGRAM_DEVICE"
    }
]

Tür: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/api/v1/events?minutesTimeFrame=<TIME_FRAEM>&type=<TYPE>'

Örnek:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/api/v1/events?minutesTimeFrame=20&type=DEVICE_CONNECTION_CREATED'`

Olay `type` ve `title` başvuru

Bu bölümde, olayapi'sinde olay türü ve başlık değerleri olarak desteklenen değerler listelenir.

Olay türü	Olay başlığı
DEVICE_CREATE	Cihaz Algılandı
DEVICE_UPDATE	Cihaz Güncelleştirildi
ALERT_REPORTED	Uyarı Algılandı
ALERT_UPDATED	Uyarı Güncelleştirildi
TARAMA	Tarama Cihazı Algılandı
PROGRAM_DEVICE	PLC Programlama
MMS_PROGRAM_DEVICE	PLC Program Güncelleştirmesi
SCL_UPLOADED	SCL Karşıya Yüklendi
EXCLUSION_RULE_CREATED	Dışlama Kuralı Oluşturuldu
EXCLUSION_RULE_REMOVED	Dışlama Kuralı Kaldırıldı
EXCLUSION_RULE_UPDATED	Dışlama Kuralı Güncelleştirildi
DEVICE_CONNECTION_CREATED	Cihaz Bağlantısı Algılandı
USER_LOGIN	Kullanıcı Oturum Açma Girişimi
FILE_TRANSFER	Dosya Aktarımı Algılandı
CUSTOM_EVENT	Kullanıcı Tanımlı Olay
REMOTE_ACCESS	Uzaktan Erişim Bağlantısı Kuruldu
BACK_TO_NORMAL	Normale Dön
MMS_MEMORY_BLOCK_OPERATION	MMS Bellek Bloğu İşlemi
MMS_PROGRAM_OPERATION	MMS Program İşlemi
HTTP_BASIC_AUTHENTICATION	HTTP Temel Kimlik Doğrulaması
SIEMENS_S_7_MEMORY_BLOCK_OPERATION	Siemens S7 Bellek Bloğu Operasyonu
SIEMENS_S_7_AUTHENTICATION	Siemens S7 Kimlik Doğrulaması
REPORT_CREATED	Rapor Oluşturuldu
SNMP_TRAP	SNMP Yakalaması algılandı
DATABASE_ACTION	Veritabanı Yapısı Düzenleme
PLC_MODULE_CHANGE	PLC Modülü Değişikliği
FIRMWARE_UPDATE	Üretici Yazılımı Güncelleştirmesi
PLC_START	PLC Başlangıç
SRTP_PLC_RESET	PLC Sıfırlama
SRTP_PLC_COPY_FIRMWARE	Üretici Yazılımı Güncelleştirmesi
SRTP_LOGIN_PROGRAMMING	PLC Programlama Modu Kümesi
SRTP_PLC_CHANGE_PASSWORD	PLC Parola Değişikliği
OPC_DATA_ACCESS_GROUP_MANAGEMENT_OPERATION	OPC Veri Erişimi Grup Yönetimi İşlemi
OPC_DATA_ACCESS_ITEM_MANAGEMENT_OPERATION	OPC Veri Erişimi Öğe Yönetimi İşlemi
OPC_DATA_ACCESS_IO_SUBSCRIPTION_MANAGEMENT_OPERATION	OPC Veri Erişimi GÇ Abonelik Yönetimi İşlemi
OPC_AE_EVENT_SUBSCRIPTION	OPC AE Olay Aboneliği
OPC_AE_EVENT_CONDITION_MANAGEMENT_OPERATION	OPC AE Olay Durumu Yönetimi İşlemi
OPC_AE_EVENT	OPC AE Olayı
SRTP_CHANGE_PRIVILEGE	PLC Değişiklik erişim düzeyi
SRTP_CHANGE_LEVEL_FAILED	PLC Değişiklik erişim düzeyi başarısız oldu
SUITELINK_INIT_CONNECTION	Wonderware oturumu başlatıldı
USER_OPERATION	Kullanıcı İşlemi
DIP_UPLOADED	Veri Yönetim Bilgileri Paketi Karşıya Yüklendi
FTP_AUTHENTICATION_FAILURE	FTP Kimlik Doğrulama Hatası
PROFINET_DPC_VALUE_SET	Profinet SET işlemi
S7PLUS_PLC_MODE_CHANGE	PLC Modu Değişikliği
S7_PLC_MODE_CHANGE	PLC Modu Değişikliği
DELETE_DEVICE	Cihaz Silindi
S7PLUS_PROGRAMMING	PLC Programlama
FIRMWARE_CHANGED	PLC Üretici Yazılımı Değiştirildi
DELTAV_PROGRAMMING	DeltaV Yükleme Betiği
USER_DEFINED_RULE_CREATED	Kullanıcı Tanımlı Kural Oluşturuldu
USER_DEFINED_RULE_EDITED	Kullanıcı Tanımlı Kural Düzenlendi
USER_DEFINED_RULE_DELETED	Kullanıcı Tanımlı Kural Silindi
USER_DEFINED_RULE_OPERATION	Kullanıcı Tanımlı Kural İşlemi
REMOTE_PROCESS_EXECUTION	Uzaktan İşlem Yürütme
DEVICE_UNIFICATION	Cihaz Güncelleştirildi
BİLDİRİM	Bildirim el ile çözüldü
ENIP_CONTROLLER_PROGRAM_DELETE	Denetleyici Programı Silme
ENIP_CONTROLLER_PROGRAM_RESET	Denetleyici Programı Sıfırlama
ENIP_CONTROLLER_GENERIC_RESET	Denetleyici Sıfırlama
ENIP_CONTROLLER_GENERIC_STOP	Denetleyici Durdurma
ENIP_CONTROLLER_GENERIC_START	Denetleyici Başlangıç
TELNET_AUTHENTICATION_FAILURE	Telnet Kimlik Doğrulama Hatası
CONFIGURATION_OF_CLEARTEXT_PASSWORD	Cleartext parolasının yapılandırması
CLEARTEXT_AUTHENTICATION	Cleartext Kimlik Doğrulaması
PROGRAM_UPLOAD_DEVICE	PLC Programı Karşıya Yükleme
CONFIGURATION_CHANGE	PLC Yapılandırma Yazma
CONFIGURATION_READ	PLC Yapılandırması Okuma
SYSLOG_MSG	Syslog İletisi
INTERNET_ACCESS	İnternet Erişimi
CAMP_MEMORY_WRITE_OPERATION	Ortak ASCII İleti Protokolü Bellek Yazma İşlemi
MUTED_ALERT	Olay Algılandı ve Kapatıldı
DHCP_UPDATE	Adres Güncelleştirmesi
DIP_FAILURE	Veri Yönetim Bilgileri Paketi Yükleme Hatası
DELETE_DEVICE_SCHEDULE	Silinmek Üzere Zamanlanmış Etkin Olmayan Cihazlar
PLC_OPERATING_MODE_CHANGED	PLC İşletim Modu Değişikliği Algılandı
HARDWARE_UPDATE_BY_IDENTIFIER	Adres Güncelleştirmesi

Sonraki adımlar

Daha fazla bilgi için bkz. IoT için Defender API başvurusuna genel bakış.

Aracılığıyla paylaş

OT izleme algılayıcıları için uyarı yönetimi API başvurusu

uyarılar (Uyarı bilgilerini alma)

GET

Sorgu parametreleri

Ek bilgi alanları

Yanıt örneği

events (Zaman çizelgesi olaylarını alma)

GET

Sorgu parametreleri

Yanıt örneği

Olay `type` ve `title` başvuru

Sonraki adımlar

Geri Bildirim

Ek kaynaklar

Aracılığıyla paylaş

OT izleme algılayıcıları için uyarı yönetimi API başvurusu

uyarılar (Uyarı bilgilerini alma)

GET

Sorgu parametreleri

events (Zaman çizelgesi olaylarını alma)

GET

Sorgu parametreleri

Olay type ve title başvuru

Sonraki adımlar

Geri Bildirim

Ek kaynaklar

Olay `type` ve `title` başvuru