API-reference til administration af advarsler for OT-overvågningssensorer

Denne artikel indeholder en liste over de REST API'er til administration af beskeder, der understøttes for Microsoft Defender til IoT OT-overvågningssensorer.

beskeder (hent beskedoplysninger)

Brug denne API til at anmode om en liste over alle de beskeder, som Defender for IoT-sensoren har registreret.

URI: /api/v1/alerts

FÅ

Forespørgselsparametre

Navn	Beskrivelse	Eksempel	Obligatorisk/valgfri
Staten	Få kun håndteret eller ikke-håndterede beskeder. Understøttede værdier: - `handled` - `unhandled`	`/api/v1/alerts?state=handled`	Valgfrit
fromTime	Få beskeder oprettet med start på et givet tidspunkt i millisekunder fra Epoch-tid og i UTC-tidszone.	`/api/v1/alerts?fromTime=<epoch>`	Valgfrit
toTime	Få beskeder, der kun er oprettet før på et givet tidspunkt, i millisekunder fra Epoch-tid og i UTC-tidszone.	`/api/v1/alerts?toTime=<epoch>`	Valgfrit
Type	Hent kun beskeder af en bestemt type. Understøttede værdier: - `unexpected new devices` - `disconnections` Alle andre værdier ignoreres.	`/api/v1/alerts?type=disconnections`	Valgfrit

Type: JSON

En liste over beskeder med følgende felter:

Navn	Type	Kan være null/Ikke null	Liste over værdier
ID	Numeriske	Kan ikke være null	-
Tidspunkt	Numeriske	Kan ikke være null	Millisekunder fra Epoketid i UTC-tidszone
Titel	String	Kan ikke være null	-
Besked	String	Kan ikke være null	-
Sværhedsgraden	String	Kan ikke være null	`Warning`, `Minor`, `Major`eller `Critical`
Motor	String	Kan ikke være null	`Protocol Violation` `Malware`, `Policy Violation`, `Anomaly`, eller`Operational`
sourceDevice	Numeriske	Kan være null	Enheds-id
destinationDevice	Numeriske	Kan være null	Enheds-id
additionalInformation	Objekt til yderligere oplysninger	Kan være null	-

Flere oplysningsfelter

Navn	Type	Kan være null/Ikke null	Liste over værdier
Beskrivelse	String	Kan ikke være null	-
Oplysninger	JSON-matrix	Kan ikke være null	String

Tilføjet for V2:

Navn	Type	Kan være null/Ikke null	Liste over værdier
sourceDeviceAddress	String	Kan være null	IP- eller MAC-adresse
destinationDeviceAddress	String	Kan være null	IP- eller MAC-adresse
remediationSteps	JSON-matrix	Kan ikke være null	Strenge, afhjælpningstrin, der er beskrevet i beskeden

Du kan få flere oplysninger under Reference til sensor-API-version.

Svareksempel

[
    {
        "engine": "Policy Violation",
        "severity": "Major",
        "title": "Internet Access Detected",
        "additionalinformation": {
            "information": [
                "170.60.50.201 over port BACnet (47808)"
            ],
            "description": "External Addresses"
        },
        "sourceDevice": null,
        "destinationDevice": null,
        "time": 1509881077000,
        "message": "Device 192.168.0.13 tried to access an external IP address which is an address in the Internet and is not allowed by policy. It is recommended to notify the security officer of the incident.",
        "id": 1
    },
    {
        "engine": "Protocol Violation",
        "severity": "Major",
        "title": "Illegal MODBUS Operation (Exception Raised by Master)",
        "sourceDevice": 3,
        "destinationDevice": 4,
        "time": 1505651605000,
        "message": "A MODBUS master 192.168.110.131 attempted to initiate an illegal operation.\nThe operation is considered to be illegal since it incorporated function code \#129 which should not be used by a master.\nIt is recommended to notify the security officer of the incident.",
        "id": 2,
        "additionalInformation": null,
    }
]

Type: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/api/v1/alerts?state=<STATE>&fromTime=<FROM_TIME>&toTime=<TO_TIME>&type=<TYPE>'

Eksempel:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/api/v1/alerts?state=unhandled&fromTime=1594550986000&toTime=1594550986001&type=disconnections'

events (Hent tidslinjehændelser)

Brug denne API til at anmode om en liste over hændelser, der er rapporteret til hændelsestidslinjen.

Bemærk!

Hvis du kører den identiske API inden for samme time med præcis de samme parameterværdier, returneres en cachelagret værdi. Hvis du kører denne API to gange på én time, anbefaler vi, at du ændrer forespørgselsparametrene for at få et opdateret svar.

URI: /api/v1/events

FÅ

Forespørgselsparametre

Navn	Beskrivelse	Eksempel	Obligatorisk/valgfri
minutesTimeFrame	Filtrer resultaterne efter en given tidsramme, hvor hændelserne blev rapporteret. Defineret bagud fra det aktuelle klokkeslæt. Maksimum = `4320` (3 dage). Alle større værdier behandles som 4320 uden fejl	`/api/v1/events?minutesTimeFrame=20`	Valgfrit
Type	Filtrer kun resultater for en bestemt type. Alle andre værdier end understøttede typer ignoreres. Du kan få flere oplysninger under Hændelse `type` og `title` reference.	`/api/v1/events?type=DEVICE_CONNECTION_CREATED` `/api/v1/events?type=REMOTE_ACCESS&minutesTimeFrame`	Valgfrit

Type: JSON

Matrix af JSON-objekter, der repræsenterer de seneste 100 hændelser sorteret efter hændelsesstempel, med den seneste hændelse først.

Hændelsesfelter omfatter:

Navn	Type	Kan være null/Ikke null	Liste over værdier
Tidsstempel	Numeriske	Kan ikke være null	Millisekunder fra Epoketid i UTC-tidszone
Type	String	Kan ikke være null	En af de understøttede typer
Titel	String	Kan ikke være null	En af de understøttede titler
Sværhedsgraden	String	Kan ikke være null	`INFO`, `NOTICE`eller `ALERT`
Ejer	String	Kan være null	Streng. Hvis hændelsen blev oprettet manuelt, indeholder dette felt det brugernavn, der oprettede hændelsen.
indhold	String	Kan ikke være null	Streng, der beskriver hændelsen.

Svareksempel

[
    {
        "severity": "INFO",
        "title": "Back to Normal",
        "timestamp": 1504097077000,
        "content": "Device 10.2.1.15 was found responsive, after being suspected as disconnected",
        "owner": null,
        "type": "BACK_TO_NORMAL"
    },
    {
        "severity": "ALERT",
        "title": "Alert Detected",
        "timestamp": 1504096909000,
        "content": "Device 10.2.1.15 is suspected to be disconnected (unresponsive).",
        "owner": null,
        "type": "ALERT_REPORTED"
    },
    {
        "severity": "ALERT",
        "title": "Alert Detected",
        "timestamp": 1504094446000,
        "content": "A DNP3 Master 10.2.1.14 attempted to initiate a request which is not allowed by policy.\nThe policy indicates the allowed function codes, address ranges, point indexes and time intervals.\nIt is recommended to notify the security officer of the incident.",
        "owner": null,
        "type": "ALERT_REPORTED"
    },
    {
        "severity": "NOTICE",
        "title": "PLC Program Update",
        "timestamp": 1504094344000,
        "content": "Program update detected, sent from 10.2.1.25 to 10.2.1.14",
        "owner": null,
        "type": "PROGRAM_DEVICE"
    }
]

Type: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/api/v1/events?minutesTimeFrame=<TIME_FRAEM>&type=<TYPE>'

Eksempel:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/api/v1/events?minutesTimeFrame=20&type=DEVICE_CONNECTION_CREATED'`

Hændelse `type` og `title` reference

I dette afsnit vises de værdier, der understøttes som hændelsestype og titelværdier for hændelses-API'en.

Hændelsestype	Begivenhedstitel
DEVICE_CREATE	Enheden er registreret
DEVICE_UPDATE	Enheden er opdateret
ALERT_REPORTED	Der blev fundet en besked
ALERT_UPDATED	Besked opdateret
SKAN	Scan enhed registreret
PROGRAM_DEVICE	PLC-programmering
MMS_PROGRAM_DEVICE	PLC Programopdatering
SCL_UPLOADED	SCL uploadet
EXCLUSION_RULE_CREATED	Der er oprettet en udeladelsesregel
EXCLUSION_RULE_REMOVED	Udeladelsesreglen er fjernet
EXCLUSION_RULE_UPDATED	Opdatering af udeladelsesregel
DEVICE_CONNECTION_CREATED	Der blev fundet en enhedsforbindelse
USER_LOGIN	Brugerlogonforsøg
FILE_TRANSFER	Filoverførslen blev fundet
CUSTOM_EVENT	Brugerdefineret hændelse
REMOTE_ACCESS	Der er oprettet forbindelse til fjernadgang
BACK_TO_NORMAL	Tilbage til Normal
MMS_MEMORY_BLOCK_OPERATION	Handling for MMS-hukommelsesblokering
MMS_PROGRAM_OPERATION	Mms-programhandling
HTTP_BASIC_AUTHENTICATION	Grundlæggende HTTP-godkendelse
SIEMENS_S_7_MEMORY_BLOCK_OPERATION	Siemens S7-hukommelsesblokering
SIEMENS_S_7_AUTHENTICATION	Siemens S7-godkendelse
REPORT_CREATED	Rapport oprettet
SNMP_TRAP	SNMP-trap er registreret
DATABASE_ACTION	Manipulation af databasestruktur
PLC_MODULE_CHANGE	ÆNDRING AF PLC-modul
FIRMWARE_UPDATE	Firmwareopdatering
PLC_START	PLC Start
SRTP_PLC_RESET	PLC-nulstilling
SRTP_PLC_COPY_FIRMWARE	Firmwareopdatering
SRTP_LOGIN_PROGRAMMING	PLC-programmeringstilstandssæt
SRTP_PLC_CHANGE_PASSWORD	ÆNDRING AF PLC-adgangskode
OPC_DATA_ACCESS_GROUP_MANAGEMENT_OPERATION	Handling til administration af OPC-dataadgangsgruppe
OPC_DATA_ACCESS_ITEM_MANAGEMENT_OPERATION	Handling til administration af OPC-dataadgangselement
OPC_DATA_ACCESS_IO_SUBSCRIPTION_MANAGEMENT_OPERATION	Handling til administration af IO-abonnement for OPC-dataadgang
OPC_AE_EVENT_SUBSCRIPTION	OPC AE-hændelsesabonnement
OPC_AE_EVENT_CONDITION_MANAGEMENT_OPERATION	Handling til administration af hændelsesbetingelse for OPC AE
OPC_AE_EVENT	OPC AE-hændelse
SRTP_CHANGE_PRIVILEGE	PLC Skift adgangsniveau
SRTP_CHANGE_LEVEL_FAILED	PLC Ændring af adgangsniveau mislykkedes
SUITELINK_INIT_CONNECTION	Wonderware-sessionen er initialiseret
USER_OPERATION	Brugerhandling
DIP_UPLOADED	Data Intelligence-pakke er uploadet
FTP_AUTHENTICATION_FAILURE	Fejl ved FTP-godkendelse
PROFINET_DPC_VALUE_SET	Profinet SET-handling
S7PLUS_PLC_MODE_CHANGE	Ændring af PLC-tilstand
S7_PLC_MODE_CHANGE	Ændring af PLC-tilstand
DELETE_DEVICE	Enheden er slettet
S7PLUS_PROGRAMMING	PLC-programmering
FIRMWARE_CHANGED	PLC-firmware ændret
DELTAV_PROGRAMMING	DeltaV-installationsscript
USER_DEFINED_RULE_CREATED	Brugerdefineret regel er oprettet
USER_DEFINED_RULE_EDITED	Brugerdefineret regel er redigeret
USER_DEFINED_RULE_DELETED	Brugerdefineret regel slettet
USER_DEFINED_RULE_OPERATION	Brugerdefineret regelhandling
REMOTE_PROCESS_EXECUTION	Fjernkørsel af proces
DEVICE_UNIFICATION	Enheden er opdateret
ANMELDELSE	Meddelelsen blev løst manuelt
ENIP_CONTROLLER_PROGRAM_DELETE	Slet controllerprogram
ENIP_CONTROLLER_PROGRAM_RESET	Nulstilling af controllerprogram
ENIP_CONTROLLER_GENERIC_RESET	Nulstilling af controller
ENIP_CONTROLLER_GENERIC_STOP	Controller Stop
ENIP_CONTROLLER_GENERIC_START	Controller Start
TELNET_AUTHENTICATION_FAILURE	Telnet-godkendelsesfejl
CONFIGURATION_OF_CLEARTEXT_PASSWORD	Konfiguration af adgangskode til klartekst
CLEARTEXT_AUTHENTICATION	Cleartext-godkendelse
PROGRAM_UPLOAD_DEVICE	PLC-programupload
CONFIGURATION_CHANGE	Skrivning til PLC-konfiguration
CONFIGURATION_READ	Læsning af PLC-konfiguration
SYSLOG_MSG	Syslog-meddelelse
INTERNET_ACCESS	Internetadgang
CAMP_MEMORY_WRITE_OPERATION	Almindelig skrivningshandling for ASCII-meddelelsesprotokol
MUTED_ALERT	Hændelse registreret og slået fra
DHCP_UPDATE	Adresseopdatering
DIP_FAILURE	Fejl under installation af Data Intelligence-pakke
DELETE_DEVICE_SCHEDULE	Inaktive enheder planlagt til sletning
PLC_OPERATING_MODE_CHANGED	DER er registreret en ændring af PLC-driftstilstand
HARDWARE_UPDATE_BY_IDENTIFIER	Adresseopdatering

Næste trin

Du kan få flere oplysninger i referenceoversigten for Defender for IoT API.

Feedback

Var denne side nyttig?

Last updated on 2026-04-29

API-reference til administration af advarsler for OT-overvågningssensorer

beskeder (hent beskedoplysninger)

FÅ

Forespørgselsparametre

events (Hent tidslinjehændelser)

FÅ

Forespørgselsparametre

Hændelse type og title reference

Næste trin

Feedback

Yderligere ressourcer

Hændelse `type` og `title` reference