Api-Referenz für die Warnungsverwaltung für OT-Überwachungssensoren

In diesem Artikel werden die REST-APIs für die Warnungsverwaltung aufgeführt, die für Microsoft Defender für IoT OT-Überwachungssensoren unterstützt werden.

Warnungen (Warnungsinformationen abrufen)

Verwenden Sie diese API, um eine Liste aller Warnungen anzufordern, die der Defender für IoT-Sensor erkannt hat.

URI: /api/v1/alerts

GET

Abfrageparameter

Name	Beschreibung	Beispiel	Erforderlich/Optional
state	Rufen Sie nur behandelte oder nicht behandelte Warnungen ab. Unterstützte Werte: - `handled` - `unhandled`	`/api/v1/alerts?state=handled`	Optional
fromTime	Rufen Sie Warnungen ab einem bestimmten Zeitpunkt in Millisekunden ab Epochenzeit und in UTC-Zeitzone ab.	`/api/v1/alerts?fromTime=<epoch>`	Optional
toTime	Abrufen von Warnungen, die nur vorher zu einem bestimmten Zeitpunkt erstellt wurden, in Millisekunden ab Epochenzeit und in UTC-Zeitzone.	`/api/v1/alerts?toTime=<epoch>`	Optional
type	Ruft nur Warnungen eines bestimmten Typs ab. Unterstützte Werte: - `unexpected new devices` - `disconnections` Alle anderen Werte werden ignoriert.	`/api/v1/alerts?type=disconnections`	Optional

Typ: JSON

Eine Liste von Warnungen mit den folgenden Feldern:

Name	Typ	Nullable/Not nullable	Liste der Werte
ID	Numeric	Nullwerte nicht zulassen	-
time	Numeric	Nullwerte nicht zulassen	Millisekunden ab Epochenzeit in UTC-Zeitzone
title	Zeichenfolge	Nullwerte nicht zulassen	-
Nachricht	Zeichenfolge	Nullwerte nicht zulassen	-
Schweregrad	Zeichenfolge	Nullwerte nicht zulassen	`Warning`, `Minor`, `Major`oder `Critical`
Motor	Zeichenfolge	Nullwerte nicht zulassen	`Protocol Violation`, `Policy Violation`, `Malware`, `Anomaly`oder `Operational`
sourceDevice	Numeric	Nullwerte zulassend.	Geräte-ID
destinationDevice	Numeric	Nullwerte zulassend.	Geräte-ID
additionalInformation	Zusätzliches Informationsobjekt	Nullwerte zulassend.	-

Zusätzliche Informationsfelder

Name	Typ	Nullable/Not nullable	Liste der Werte
description	Zeichenfolge	Nullwerte nicht zulassen	-
Informationen	JSON-Array	Nullwerte nicht zulassen	Zeichenfolge

Für V2 hinzugefügt:

Name	Typ	Nullable/Not nullable	Liste der Werte
sourceDeviceAddress	Zeichenfolge	Nullwerte zulassend.	IP- oder MAC-Adresse
destinationDeviceAddress	Zeichenfolge	Nullwerte zulassend.	IP- oder MAC-Adresse
remediationSteps	JSON-Array	Nullwerte nicht zulassen	Zeichenfolgen, Korrekturschritte, die in der Warnung beschrieben werden

Weitere Informationen finden Sie unter Referenz zur Sensor-API-Version.

Anforderungsbeispiel

[
    {
        "engine": "Policy Violation",
        "severity": "Major",
        "title": "Internet Access Detected",
        "additionalinformation": {
            "information": [
                "170.60.50.201 over port BACnet (47808)"
            ],
            "description": "External Addresses"
        },
        "sourceDevice": null,
        "destinationDevice": null,
        "time": 1509881077000,
        "message": "Device 192.168.0.13 tried to access an external IP address which is an address in the Internet and is not allowed by policy. It is recommended to notify the security officer of the incident.",
        "id": 1
    },
    {
        "engine": "Protocol Violation",
        "severity": "Major",
        "title": "Illegal MODBUS Operation (Exception Raised by Master)",
        "sourceDevice": 3,
        "destinationDevice": 4,
        "time": 1505651605000,
        "message": "A MODBUS master 192.168.110.131 attempted to initiate an illegal operation.\nThe operation is considered to be illegal since it incorporated function code \#129 which should not be used by a master.\nIt is recommended to notify the security officer of the incident.",
        "id": 2,
        "additionalInformation": null,
    }
]

Typ: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/api/v1/alerts?state=<STATE>&fromTime=<FROM_TIME>&toTime=<TO_TIME>&type=<TYPE>'

Beispiel:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/api/v1/alerts?state=unhandled&fromTime=1594550986000&toTime=1594550986001&type=disconnections'

-Ereignisse (Abrufen von Zeitleiste Ereignissen)

Verwenden Sie diese API, um eine Liste der Ereignisse anzufordern, die an das Ereignis Zeitleiste gemeldet werden.

Hinweis

Die Ausführung der identischen API innerhalb derselben Stunde mit genau den gleichen Parameterwerten gibt einen zwischengespeicherten Wert zurück. Wenn Sie diese API zweimal pro Stunde ausführen, empfiehlt es sich, die Abfrageparameter zu ändern, um eine aktualisierte Antwort zu erhalten.

URI: /api/v1/events

GET

Abfrageparameter

Name	Beschreibung	Beispiel	Erforderlich/Optional
minutesTimeFrame	Filtern Sie die Ergebnisse nach einem bestimmten Zeitrahmen, in dem Ereignisse gemeldet wurden. Wird ab der aktuellen Zeit rückwärts definiert. Maximum = `4320` (3 Tage). Jeder größere Wert wird als 4320 ohne Fehler behandelt.	`/api/v1/events?minutesTimeFrame=20`	Optional
type	Filtert die Ergebnisse nur nach einem bestimmten Typ. Alle anderen Werte als unterstützte Typen werden ignoriert. Weitere Informationen finden Sie unter Ereignis `type` und `title` Referenz.	`/api/v1/events?type=DEVICE_CONNECTION_CREATED` `/api/v1/events?type=REMOTE_ACCESS&minutesTimeFrame`	Optional

Typ: JSON

Array von JSON-Objekten, die die letzten 100 Ereignisse darstellen, sortiert nach Ereigniszeitstempel, wobei zuerst das neueste Ereignis angezeigt wird.

Zu den Ereignisfeldern gehören:

Name	Typ	Nullable/Not nullable	Liste der Werte
Timestamp	Numeric	Nullwerte nicht zulassen	Millisekunden ab Epochenzeit in UTC-Zeitzone
type	Zeichenfolge	Nullwerte nicht zulassen	Einer der unterstützten Typen
title	Zeichenfolge	Nullwerte nicht zulassen	Einer der unterstützten Titel
Schweregrad	Zeichenfolge	Nullwerte nicht zulassen	`INFO`, `NOTICE` oder `ALERT`
owner	Zeichenfolge	Nullwerte zulassend.	Zeichenfolge. Wenn das Ereignis manuell erstellt wurde, enthält dieses Feld den Benutzernamen, der das Ereignis erstellt hat.
content	Zeichenfolge	Nullwerte nicht zulassen	Zeichenfolge, die das Ereignis beschreibt.

Anforderungsbeispiel

[
    {
        "severity": "INFO",
        "title": "Back to Normal",
        "timestamp": 1504097077000,
        "content": "Device 10.2.1.15 was found responsive, after being suspected as disconnected",
        "owner": null,
        "type": "BACK_TO_NORMAL"
    },
    {
        "severity": "ALERT",
        "title": "Alert Detected",
        "timestamp": 1504096909000,
        "content": "Device 10.2.1.15 is suspected to be disconnected (unresponsive).",
        "owner": null,
        "type": "ALERT_REPORTED"
    },
    {
        "severity": "ALERT",
        "title": "Alert Detected",
        "timestamp": 1504094446000,
        "content": "A DNP3 Master 10.2.1.14 attempted to initiate a request which is not allowed by policy.\nThe policy indicates the allowed function codes, address ranges, point indexes and time intervals.\nIt is recommended to notify the security officer of the incident.",
        "owner": null,
        "type": "ALERT_REPORTED"
    },
    {
        "severity": "NOTICE",
        "title": "PLC Program Update",
        "timestamp": 1504094344000,
        "content": "Program update detected, sent from 10.2.1.25 to 10.2.1.14",
        "owner": null,
        "type": "PROGRAM_DEVICE"
    }
]

Typ: GET

API:

curl -k -H "Authorization: <AUTH_TOKEN>" 'https://<IP_ADDRESS>/api/v1/events?minutesTimeFrame=<TIME_FRAEM>&type=<TYPE>'

Beispiel:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" 'https://127.0.0.1/api/v1/events?minutesTimeFrame=20&type=DEVICE_CONNECTION_CREATED'`

Ereignis `type` und `title` Referenz

In diesem Abschnitt werden die Werte aufgelistet, die als Ereignistyp - und Titelwerte für die Ereignis-API unterstützt werden.

Ereignistyp	Ereignistitel
DEVICE_CREATE	Gerät erkannt
DEVICE_UPDATE	Gerät aktualisiert
ALERT_REPORTED	Warnung erkannt
ALERT_UPDATED	Warnung aktualisiert
SCAN	Gerät überprüfen erkannt
PROGRAM_DEVICE	SPS-Programmierung
MMS_PROGRAM_DEVICE	SPS-Programmupdate
SCL_UPLOADED	SCL hochgeladen
EXCLUSION_RULE_CREATED	Ausschlussregel erstellt
EXCLUSION_RULE_REMOVED	Ausschlussregel entfernt
EXCLUSION_RULE_UPDATED	Ausschlussregel aktualisiert
DEVICE_CONNECTION_CREATED	Geräteverbindung erkannt
USER_LOGIN	Benutzeranmeldungsversuch
FILE_TRANSFER	Dateiübertragung erkannt
CUSTOM_EVENT	Benutzerdefiniertes Ereignis
REMOTE_ACCESS	Remotezugriffsverbindung hergestellt
BACK_TO_NORMAL	Zurück zu Normal
MMS_MEMORY_BLOCK_OPERATION	MMS-Speicherblockvorgang
MMS_PROGRAM_OPERATION	MMS-Programmvorgang
HTTP_BASIC_AUTHENTICATION	HTTP-Standardauthentifizierung
SIEMENS_S_7_MEMORY_BLOCK_OPERATION	Siemens S7 Memory Block Operation
SIEMENS_S_7_AUTHENTICATION	Siemens S7 Authentication
REPORT_CREATED	Bericht erstellt
SNMP_TRAP	SNMP-Trap erkannt
DATABASE_ACTION	Datenbankstrukturbearbeitung
PLC_MODULE_CHANGE	Änderung des PLC-Moduls
FIRMWARE_UPDATE	Firmwareupdate
PLC_START	SPS Start
SRTP_PLC_RESET	SPS-Zurücksetzung
SRTP_PLC_COPY_FIRMWARE	Firmwareupdate
SRTP_LOGIN_PROGRAMMING	SPS-Programmiermodussatz
SRTP_PLC_CHANGE_PASSWORD	PLC-Kennwortänderung
OPC_DATA_ACCESS_GROUP_MANAGEMENT_OPERATION	OPC Data Access Group Management Operation
OPC_DATA_ACCESS_ITEM_MANAGEMENT_OPERATION	OPC Data Access Item Management Operation
OPC_DATA_ACCESS_IO_SUBSCRIPTION_MANAGEMENT_OPERATION	OPC Data Access E/A-Abonnementverwaltungsvorgang
OPC_AE_EVENT_SUBSCRIPTION	OPC AE-Ereignisabonnement
OPC_AE_EVENT_CONDITION_MANAGEMENT_OPERATION	OPC AE-Ereignisbedingungsverwaltungsvorgang
OPC_AE_EVENT	OPC AE-Ereignis
SRTP_CHANGE_PRIVILEGE	SPS-Änderungszugriffsebene
SRTP_CHANGE_LEVEL_FAILED	Fehler bei der SPS-Änderungszugriffsebene
SUITELINK_INIT_CONNECTION	Wonderware-Sitzung initialisiert
USER_OPERATION	Benutzervorgang
DIP_UPLOADED	Data Intelligence-Paket hochgeladen
FTP_AUTHENTICATION_FAILURE	FTP-Authentifizierungsfehler
PROFINET_DPC_VALUE_SET	Profinet SET-Vorgang
S7PLUS_PLC_MODE_CHANGE	SPS-Modusänderung
S7_PLC_MODE_CHANGE	SPS-Modusänderung
DELETE_DEVICE	Gerät gelöscht
S7PLUS_PROGRAMMING	SPS-Programmierung
FIRMWARE_CHANGED	PLC-Firmware geändert
DELTAV_PROGRAMMING	DeltaV-Installationsskript
USER_DEFINED_RULE_CREATED	Benutzerdefinierte Regel erstellt
USER_DEFINED_RULE_EDITED	Benutzerdefinierte Regel bearbeitet
USER_DEFINED_RULE_DELETED	Benutzerdefinierte Regel gelöscht
USER_DEFINED_RULE_OPERATION	Benutzerdefinierter Regelvorgang
REMOTE_PROCESS_EXECUTION	Remoteprozessausführung
DEVICE_UNIFICATION	Gerät aktualisiert
NOTIFICATION	Die Benachrichtigung wurde manuell aufgelöst.
ENIP_CONTROLLER_PROGRAM_DELETE	Controllerprogramm löschen
ENIP_CONTROLLER_PROGRAM_RESET	Zurücksetzen des Controllerprogramms
ENIP_CONTROLLER_GENERIC_RESET	Controllerzurücksetzung
ENIP_CONTROLLER_GENERIC_STOP	Controller beenden
ENIP_CONTROLLER_GENERIC_START	Controller starten
TELNET_AUTHENTICATION_FAILURE	Telnet-Authentifizierungsfehler
CONFIGURATION_OF_CLEARTEXT_PASSWORD	Konfiguration des Klartextkennworts
CLEARTEXT_AUTHENTICATION	Cleartext-Authentifizierung
PROGRAM_UPLOAD_DEVICE	PLC-Programmupload
CONFIGURATION_CHANGE	PLC Configuration Write
CONFIGURATION_READ	SPS-Konfiguration lesen
SYSLOG_MSG	Syslog-Nachricht
INTERNET_ACCESS	Internetzugang
CAMP_MEMORY_WRITE_OPERATION	Common ASCII Message Protocol Memory Write Operation
MUTED_ALERT	Ereignis erkannt und stummgeschaltet
DHCP_UPDATE	Adressaktualisierung
DIP_FAILURE	Fehler bei der Installation des Data Intelligence-Pakets
DELETE_DEVICE_SCHEDULE	Inaktive Geräte, die zum Löschen geplant sind
PLC_OPERATING_MODE_CHANGED	SPS-Betriebsmodusänderung erkannt
HARDWARE_UPDATE_BY_IDENTIFIER	Adressaktualisierung

Nächste Schritte

Weitere Informationen finden Sie in der Übersicht über die Defender für IoT-API.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-29

Api-Referenz für die Warnungsverwaltung für OT-Überwachungssensoren

Warnungen (Warnungsinformationen abrufen)

GET

Abfrageparameter

-Ereignisse (Abrufen von Zeitleiste Ereignissen)

GET

Abfrageparameter

Ereignis type und title Referenz

Nächste Schritte

Feedback

Zusätzliche Ressourcen

Ereignis `type` und `title` Referenz