Dokumentacja interfejsu API integracji dla lokalnych konsol zarządzania (publiczna wersja zapoznawcza)

Artykuł
03/31/2023

W tym artykule wymieniono interfejsy API obsługiwane do integracji Microsoft Defender dla IoT z usługami partnerskimi.

Na przykład ten interfejs API jest obecnie implementowany za pomocą samouczka: integrowanie usługi ServiceNow z Microsoft Defender dla IoT za pośrednictwem łącznika ServiceNow Service Graph Connector for Defender for IoT.

Uwaga

Interfejsy API integracji są przeznaczone do ciągłego uruchamiania i tworzenia stale działającego strumienia danych, takiego jak wykonywanie zapytań o nowe dane z ostatnich pięciu minut. Interfejsy API integracji zwracają dane ze znacznikiem czasu.

Aby po prostu wykonywać zapytania dotyczące danych, użyj zwykłych, niezwiązanych z integracją interfejsów API dla lokalnej konsoli zarządzania w celu wykonywania zapytań dotyczących wszystkich urządzeń lub konkretnego czujnika w celu wykonywania zapytań dotyczących urządzeń tylko z tego czujnika. Aby uzyskać więcej informacji, zobacz Defender for IoT API reference (Dokumentacja interfejsu API usługi Defender dla IoT).

Identyfikator URI: /external/v3/integration/

urządzenia (tworzenie i aktualizowanie urządzeń)

Ten interfejs API zwraca dane dotyczące wszystkich urządzeń, które zostały zaktualizowane po danym znaczniku czasu.

Identyfikator URI: /external/v3/integration/devices/<timestamp>

Parametry identyfikatora URI:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
Sygnatury czasowej	Godzina rozpoczęcia, od której są zwracane wyniki( w milisekundach czasu epoki i w strefie czasowej UTC).	`/external/v3/integration/devices/1664781014000`	Wymagane

GET

Parametry zapytania:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
sensorId	Zwracaj tylko urządzenia widoczne przez określony czujnik. Użyj wartości identyfikatora z wyników interfejsu API czujników (Pobierz czujniki).	`1`	Opcjonalne
notificationType	Określa typy urządzeń do zwrócenia. Obsługiwane wartości: - `0`: Zarówno zaktualizowane, jak i nowe urządzenia (ustawienie domyślne). - `1`: Tylko nowe urządzenia. - `2`: Tylko zaktualizowane urządzenia.	`2`	Opcjonalne
Strona	Definiuje liczbę, w której rozpoczyna się numeracja stron wyników. Na przykład `0`= pierwsza strona to 0. Wartość domyślna = `0`	`0`	Opcjonalne
Rozmiar	Definiuje rozmiar strony. Wartość domyślna = `50`	`75`	Opcjonalne

Typ: JSON

Pola odpowiedzi:

Nazwa	Typ	Dopuszczanie wartości null/brak wartości null	Lista wartości
u_count	Liczba całkowita	Nie można pustoć	Liczba obiektów w pełnym zestawie wyników, łącznie ze wszystkimi stronami.
u_devices	Tablica JSON obiektów urządzeń	Nie można pustoć	Tablica obiektów urządzeń zdefiniowana przez interfejs API urządzenia (Uzyskiwanie szczegółów dla urządzenia).

Przykład odpowiedzi

{
    "u_devices": [{
        "u_operating_system": "",
        "u_ip_address_objects": [{
            "u_ip_address": "10.10.50.5",
            "u_guessed_mac_addresses": [{
                "u_mac_address": "00:02:a2:1f:1c:59"
            }]
        }],
        "u_zone": "asd",
        "u_name": "10.10.50.5",
        "u_mac_address_objects": [{
            "u_mac_address": "00:02:a2:1f:1c:59"
        }],
        "u_last_update": 1664782919000,
        "u_vendor": "HILSCHER GMBH",
        "u_cm_device_url": "https://<IP address>/#/sites/1/zones/1/devices-maps?devices=1",
        "u_sensor_ids": [{
            "u_sensor_id": 1
        }],
        "u_appliance": "Management console (CM)",
        "u_site": "asd",
        "u_device_type": {
            "u_category": "ICS",
            "u_purdue_layer": "Process Control",
            "u_name": "PLC"
        },
        "u_firmwares": [],
        "u_last_activity": 1664782791000,
        "u_purdue_layer": "N/A",
        "u_device_urls": [{
            "u_device_url": "https://<IP address>9/#/assets/highlight/1"
        }],
        "u_vlans": [{
            "u_vlan": "1"
        }],
        "u_groups": ["asd"],
        "u_first_discovered": 1664781051000,
        "u_id": 1,
        "u_protocol_objects": [{
            "u_protocol": "MODBUS"
        }]
    }, {
        "u_operating_system": "",
        "u_ip_address_objects": [{
            "u_ip_address": "10.10.20.10",
            "u_guessed_mac_addresses": [{
                "u_mac_address": "00:02:a2:1f:02:ba"
            }]
        }],
        "u_zone": "asd",
        "u_name": "10.10.20.10",
        "u_mac_address_objects": [{
            "u_mac_address": "00:02:a2:1f:02:ba"
        }],
        "u_last_update": 1664782859000,
        "u_vendor": "HILSCHER GMBH",
        "u_cm_device_url": "https://<IP address>/#/sites/1/zones/1/devices-maps?devices=50",
        "u_sensor_ids": [{
            "u_sensor_id": 1
        }],
        "u_appliance": "Management console (CM)",
        "u_site": "asd",
        "u_device_type": {
            "u_category": "ICS",
            "u_purdue_layer": "Process Control",
            "u_name": "PLC"
        },
        "u_firmwares": [],
        "u_last_activity": 1664782786000,
        "u_purdue_layer": "N/A",
        "u_device_urls": [{
            "u_device_url": "https://<IP address>9/#/assets/highlight/50"
        }],
        "u_vlans": [{
            "u_vlan": "1"
        }],
        "u_groups": ["asd"],
        "u_first_discovered": 1664781052000,
        "u_id": 50,
        "u_protocol_objects": [{
            "u_protocol": "MODBUS"
        }]
    }],
    "u_count": 204
}

Typ: GET

Interfejs API:

curl -k -H "Authorization: <Authorization token>" "https://<IP address>/external/v3/integration/devices/<Timestamp>"

Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" "https://127.0.0.1/external/v3/integration/devices/<Timestamp>"

połączenia (pobieranie połączeń urządzeń)

Ten interfejs API zwraca dane dotyczące wszystkich połączeń urządzeń, które zostały zaktualizowane po danym znaczniku czasu.

Identyfikator URI: /external/v3/integration/connections/<timestamp>

Parametry identyfikatora URI:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
Sygnatury czasowej	Godzina rozpoczęcia, od której są zwracane wyniki( w milisekundach czasu epoki i w strefie czasowej UTC).	`/external/v3/integration/devices/1664781014000`	Wymagane

GET

Parametry zapytania:

Nazwa	Opis	Przykład	Wymagane/opcjonalne
Strona	Definiuje liczbę, w której rozpoczyna się numeracja stron wyników. Na przykład `0`= pierwsza strona to 0. Wartość domyślna = `0`	`0`	Opcjonalne
Rozmiar	Definiuje rozmiar strony. Wartość domyślna = `50`	`75`	Opcjonalne

Typ: JSON

Pola odpowiedzi:

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_count	Liczba całkowita	Nie można pustoć	Liczba obiektów w pełnym zestawie wyników, w tym wszystkie strony.
u_connections	Tablica JSON obiektów połączenia	Nie można pustoć	Tablica obiektów połączenia

pola połączeń

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_appliance	Ciąg	Nie można pustoć	Nazwa czujnika, który wykrył połączenie.
u_src_device_id	Liczba całkowita	Nie można pustoć	Identyfikator urządzenia źródłowego połączenia.
u_src_device_name	Ciąg	Nie można pustoć	Nazwa urządzenia źródłowego połączenia.
u_dest_device_id	Liczba całkowita	Nie można pustoć	Identyfikator urządzenia docelowego połączenia.
u_dest_device_name	Ciąg	Nie można pustoć	Nazwa urządzenia docelowego połączenia.
u_connection_type	Ciąg	Nie można pustoć	Jeden z następujących elementów: `One Way`, , `Two WayMulticast`

Przykład odpowiedzi

{
    "u_count": 106,
    "u_connections": [{
        "u_src_device_id": 103,
        "u_dest_device_name": "10.10.10.16",
        "u_src_device_name": "10.10.10.18",
        "u_appliance": "Management console (CM)",
        "u_connection_type": "Two Way",
        "u_dest_device_id": 95
    }, {
        "u_src_device_id": 115,
        "u_dest_device_name": "10.10.10.64",
        "u_src_device_name": "10.10.10.30",
        "u_appliance": "Management console (CM)",
        "u_connection_type": "Two Way",
        "u_dest_device_id": 19
    }, {
        "u_src_device_id": 176,
        "u_dest_device_name": "10.10.45.7",
        "u_src_device_name": "10.10.45.100",
        "u_appliance": "Management console (CM)",
        "u_connection_type": "Two Way",
        "u_dest_device_id": 134
    },

Typ: GET

Interfejs API:

curl -k -H "Authorization: <Authorization token>" "https://<IP address>/external/v3/integration/connections/1664781014000"

Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" "https://127.0.0.1/external/v3/integration/connections/1664781014000"

urządzenie (pobieranie szczegółów dla urządzenia)

Ten interfejs API zwraca dane dotyczące określonego urządzenia dla danego identyfikatora urządzenia.

Identyfikator URI: /external/v3/integration/device/{deviceId}

GET

Parametry zapytania:

Nazwa	Opis	Przykład	Wymagane /Opcjonalne
Deviceid	Identyfikator żądanego urządzenia w lokalnej konsoli zarządzania	`1`	Wymagane

Typ: JSON

Pola odpowiedzi:

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_id	Długa liczba całkowita	Nie można pustoć	Identyfikator urządzenia w lokalnej konsoli zarządzania.
u_vendor	Ciąg	Dopuszczający wartość null	Nazwa dostawcy urządzenia.
u_appliance	Ciąg	Nie można pustoć	Nazwa czujnika, który wykrył urządzenie.
u_mac_address_objects	Tablica ciągów w formacie JSON	Nie można pustoć	Tablica wartości u_mac_address z listą adresów MAC urządzenia.
u_groups	Tablica ciągów w formacie JSON	Nie można pustoć	Tablica grup, które zawierają urządzenie.
u_site	Ciąg	Nie można pustoć	Nazwa witryny urządzenia.
u_zone	Ciąg	Nie można pustoć	Nazwa witryny urządzenia.
u_last_activity	DateTime	Nie można pustoć	Sygnatura czasowa ostatniego aktywnego urządzenia.
u_first_discovered	DateTime	Nie można pustoć	Sygnatura czasowa czasu odnajdywania urządzenia.
u_device_type	Ciąg	Nie można pustoć	Typ urządzenia
u_name	Ciąg	Nie można pustoć	Definiuje nazwę urządzenia.
u_ip_address_objects	Tablica adresów IP w formacie JSON	Nie można pustoć	Tablica obiektów adresów IP
u_mac_address_objects	Tablica adresów MAC w formacie JSON	Nie można pustoć	Tablica obiektów adresów MAC
u_protocol_objects	Tablica protokołów JSON	Nie można pustoć	Tablica obiektów protokołu
u_vlans	Tablica JSON obiektów sieci VLAN	Nie można pustoć	Tablica obiektów sieci VLAN
u_purdue_layer	Ciąg	Nie można pustoć	Definiuje domyślną warstwę Purdue dla tego typu urządzenia.
u_sensor_ids	Tablica JSON obiektów identyfikatora czujnika	Nie można pustoć	Tablica obiektów identyfikatora czujnika
u_cm_device_url	Ciąg	Nie można pustoć	Adres URL używany do uzyskiwania dostępu do urządzenia w lokalnej konsoli zarządzania.
u_device_urls	Tablica JSON obiektów URL	Nie można pustoć	Tablica obiektów adresu URL urządzenia
u_last_update	Długa liczba całkowita	Nie można pustoć	Definiuje znacznik czasu ostatniej aktualizacji urządzenia.
u_firmwares	Tablica JSON obiektów oprogramowania układowego	Nie można pustoć	Tablica obiektów oprogramowania układowego

pola ip_address_object

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_ip_address	Ciąg	Nie można pustoć	Jeden z adresów IP urządzenia
u_guessed_mac_address	Ciąg	Nie można pustoć	Zgadane adresy MAC skojarzone z adresem IP

pola mac_address_object

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_mac_address	Ciąg	Nie można pustoć	Jeden z adresów MAC urządzenia.

pola protocol_object

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_protocol	Ciąg	Nie można pustoć	Jeden z protokołów używanych przez urządzenie.

vlan_object pola

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_vlan	Ciąg	Nie można pustoć	Jedna z sieci VLAN, w której znajduje się urządzenie.

pola sensor_id_object

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_sensor_id	Ciąg	Nie można pustoć	Identyfikator czujnika, który wykrył urządzenie.

pola device_url_object

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_device_url	Ciąg	Nie można pustoć	Adresy URL używane do wyświetlania urządzenia w lokalnej konsoli zarządzania.

pola firmware_object

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_appliance	Ciąg	Nie można pustoć	Nazwa lokalnej konsoli zarządzania, która zarządza urządzeniem.
u_id	Długa liczba całkowita	Nie można pustoć	Identyfikator urządzenia w lokalnej konsoli zarządzania
u_asset	Ciąg	Nie można pustoć	Nazwa urządzenia
u_address	Ciąg	Nie można pustoć	Adres oprogramowania układowego urządzenia
u_module_address	Ciąg	Dopuszczający wartość null	Adres modułu oprogramowania układowego urządzenia
u_serial	Ciąg	Dopuszczający wartość null	Numer seryjny oprogramowania układowego urządzenia
u_model	Ciąg	Dopuszczający wartość null	Model oprogramowania układowego urządzenia
u_version	Ciąg	Dopuszczający wartość null	Wersja oprogramowania układowego urządzenia
u_additional_data	Ciąg	Dopuszczający wartość null	Dodatkowe dane specyficzne dla dostawcy oprogramowania układowego urządzenia

Przykład odpowiedzi

[{
    "u_operating_system": "",
    "u_ip_address_objects": [{
        "u_ip_address": "10.10.50.5",
        "u_guessed_mac_addresses": [{
            "u_mac_address": "00:02:a2:1f:1c:59"
        }]
    }],
    "u_zone": "asd",
    "u_name": "10.10.50.5",
    "u_mac_address_objects": [{
        "u_mac_address": "00:02:a2:1f:1c:59"
    }],
    "u_last_update": 1664782919000,
    "u_vendor": "HILSCHER GMBH",
    "u_cm_device_url": "https://<IP address>/#/sites/1/zones/1/devices-maps?devices=1",
    "u_sensor_ids": [{
        "u_sensor_id": 1
    }],
    "u_appliance": "Management console (CM)",
    "u_site": "asd",
    "u_device_type": {
        "u_category": "ICS",
        "u_purdue_layer": "Process Control",
        "u_name": "PLC"
    },
    "u_firmwares": [],
    "u_last_activity": 1664782791000,
    "u_purdue_layer": "N/A",
    "u_device_urls": [{
        "u_device_url": "https://<IP address>9/#/assets/highlight/1"
    }],
    "u_vlans": [{
        "u_vlan": "1"
    }],
    "u_groups": ["asd"],
    "u_first_discovered": 1664781051000,
    "u_id": 1,
    "u_protocol_objects": [{
        "u_protocol": "MODBUS"
    }]
}]

Typ: GET

Interfejs API:

curl -k -H "Authorization: <Authorization token>" "https://<IP address>/external/v3/integration/device/<device ID>"

Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" "https://127.0.0.1/external/v3/integration/device/1"

deleteddevices (Pobieranie usuniętych urządzeń)

Ten interfejs API zwraca listę identyfikatorów ostatnio usuniętych urządzeń z podanej sygnatury czasowej.

Identyfikator URI: /external/v3/integration/deleteddevices/

GET

Parametry identyfikatora URI:

Nazwa	Opis	Przykład	Wymagane /Opcjonalne
Sygnatury czasowej	Godzina rozpoczęcia, od której są zwracane wyniki w milisekundach z epoki i w strefie czasowej UTC.	`/external/v3/integration/deleteddevices/1664781014000`	Wymagane

Typ: tablica JSON usuniętych urządzeń

Usunięte pola urządzenia:

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_id	Długa liczba całkowita	Nie można pustoć	Identyfikator usuniętego urządzenia

Przykład odpowiedzi

[{
    "u_id": 192
}, {
    "u_id": 66
}, {
    "u_id": 4
}, {
    "u_id": 22
}, {
    "u_id": 24
}]

Typ: GET

Interfejs API:

curl -k -H "Authorization: <Authorization token>" "https://<IP address>/external/v3/integration/deleteddevices/<timestamp>"

Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" "https://127.0.0.1/external/v3/integration/deleteddevices/1664781014000"

czujniki (Pobieranie czujników)

Ten interfejs API zwraca listę obiektów czujników dla połączonych czujników sieci OT.

Identyfikator URI: /external/v3/integration/sensors/

GET

Identyfikator URI: /sensors

Brak parametrów zapytania

Typ: JSON

Pola odpowiedzi:

Tablica następujących pól:

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_id	Długa liczba całkowita	Nie można pustoć	Definiuje wewnętrzny identyfikator czujnika, który ma być używany w interfejsie API urządzeń (tworzenie i aktualizowanie urządzeń).
u_name	Ciąg	Nie można pustoć	Definiuje nazwę urządzenia czujnika.
u_interface_address	Ciąg	Nie można pustoć	Definiuje adres sieciowy urządzenia czujnika.
u_connection_state	Ciąg	Nie można pustoć	Definiuje stan połączenia urządzenia z lokalną konsolą zarządzania przy użyciu jednej z następujących wartości: - ZSYNCHRONIZOWANE: połączenie zakończyło się pomyślnie. - `OUT_OF_SYNC`: lokalna konsola zarządzania nie może przetwarzać danych odebranych z czujnika. - `TIME_DIFF_OFFSET`: Wykryto dryf czasu. Lokalna konsola zarządzania została odłączona od czujnika. `DISCONNECTED`: Czujnik nie komunikuje się z konsolą zarządzania. Sprawdź łączność sieciową.
u_version	Ciąg	Nie można pustoć	Ciąg reprezentujący wersję oprogramowania czujnika.
u_alert_count	Długa liczba całkowita	Nie można pustoć	Bieżąca liczba alertów wyzwalanych przez czujnik.
u_device_count	Długa liczba całkowita	Nie można pustoć	Bieżąca liczba urządzeń wykrytych przez czujnik.
u_unhandled_alert_count	Długa liczba całkowita	Nie można pustoć	Bieżąca liczba obecnie nieobsługiwanych alertów na czujniku.
u_is_activated	Wartość logiczna	Nie można pustoć	Określa, czy czujnik jest aktywowany.
u_data_intelligence_version	Ciąg	Nie można pustoć	Ciąg reprezentujący wersję analizy zagrożeń zainstalowaną na czujniku.
u_uid	Ciąg	Nie można pustoć	Definiuje unikatowy identyfikator czujnika w skali globalnej.
u_zone_id	Długa liczba całkowita	Dopuszczający wartość null	Zdefiniuj strefę urządzenia.
u_is_in_learning_mode	Wartość logiczna	Nie można pustoć	Określa, czy czujnik jest w trybie uczenia.
u_remote_upgrade_stage	Ciąg	Dopuszczający wartość null	Definiuje bieżący etap procesu aktualizacji wersji jako jeden z następujących elementów: - `UPLOADING` - `PREPARE_TO_INSTALL` - `STOPPING_PROCESSES` - `BACKING_UP_DATA` - `TAKING_SNAPSHOT` - `UPDATING_CONFIGURATION` - `UPDATING_DEPENDENCIES` - `UPDATING_LIBRARIES` - `PATCHING_DATABASES` - `STARTING_PROCESSES` - `VALIDATING_SYSTEM_SANITY` - `VALIDATION_SUCCEEDED_REBOOTING` - `SUCCESS` - `FAILURE` - `UPGRADE_STARTED` - `STARTING_INSTALLATION` - `INSTALLING_OPERATING_SYSTEM`

Przykład odpowiedzi

[
  {
    u_connection_state: "SYNCED",
    u_uid: "fab58081-1fde-4d3f-8eea-9aa723abbd55",
    u_name: "Microsoft Defender for IoT",
    u_is_activated: true,
    u_alert_count: 6,
    u_device_count: 202,
    u_interface_address: "https://<IP address>9",
    u_zone_id: 1,
    u_data_intelligence_version: "May 26, 2022",
    u_is_in_learning_mode: false,
    u_unhandled_alert_count: 6,
    u_remote_upgrade_stage: "",
    u_id: 1,
    u_version: "22.2.5.7-r-2121448",
  },
];

Typ: GET

Interfejs API:

curl -k -H "Authorization: <Authorization token>" "https://<IP Address>/external/v3/integration/sensors"

Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" "https://127.0.0.1/external/v3/integration/sensors"

devicecves (Pobieranie CVEs urządzenia)

Ten interfejs API zwraca listę aktywnych CVE dla wszystkich urządzeń, które zostały zaktualizowane od podanego znacznika czasu.

Identyfikator URI: /external/v3/integration/devicecves/

GET

Identyfikator URI: /external/v3/integration/devicecves/<timestamp>

Parametry identyfikatora URI

Nazwa	Opis	Przykład	Wymagane /Opcjonalne
Sygnatury czasowej	Godzina rozpoczęcia, od której są zwracane wyniki w milisekundach z epoki i w strefie czasowej UTC.	`/external/v3/integration/devicecves/1664781014000`	Wymagane

Parametry zapytania

Nazwa	Opis	Przykład	Wymagane /Opcjonalne
Strona	Definiuje liczbę, w której rozpoczyna się numeracja strony wyników.	`0`= pierwsza strona to 0. Wartość domyślna = `0`	Opcjonalne
Rozmiar	Definiuje rozmiar strony.	Wartość domyślna = `50`	Opcjonalne
sensorId	Pokazuje wyniki z określonego czujnika, zgodnie z definicją podanego identyfikatora czujnika.	`1`	Opcjonalne
Ocena	Określa minimalną ocenę CVE, która ma zostać pobrana. Wszystkie wyniki będą miały wynik CVE równy lub większy niż podana wartość.	Wartość domyślna = `0`.	Opcjonalne
deviceIds	Rozdzielona przecinkami lista identyfikatorów urządzeń, z których chcesz wyświetlić wyniki.	Na przykład: `1232,34,2,456`	Opcjonalne

Typ: Liczba i tablica JSON cves urządzeń

Pola odpowiedzi

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_count	Liczba całkowita	Nie można pustoć	Liczba obiektów w pełnym zestawie wyników, w tym wszystkie strony.
u_device_cves	Tablica JSON obiektów CVE urządzenia	Nie można pustoć	Tablica obiektów CVE urządzenia

Pola CVE urządzenia

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_id	Liczba całkowita	Nie można pustoć	Identyfikator urządzenia w lokalnej konsoli zarządzania.
u_name	Ciąg	Nie można pustoć	Nazwa urządzenia.
u_ip_address_objects	Tablica JSON obiektów adresów IP	Nie można pustoć	Tablica u_ip_address wartości definiujących adresy IP urządzeń.
u_mac_address_objects	Tablica adresów MAC w formacie JSON	Nie można pustoć	Tablica wartości u_mac_address z listą adresów MAC urządzenia.
u_last_activity	Liczba całkowita	Nie można pustoć	Sygnatura czasowa ostatniego wystąpienia ruchu z urządzenia lub do urządzenia.
u_last_update	Liczba całkowita	Nie można pustoć	Sygnatura czasowa ostatniej zmiany właściwości na urządzeniu, w tym zarówno zmiany użytkownika, jak i automatyczne zmiany systemu.
u_cves	Tablica CVE w formacie JSON	Nie można pustoć	Tablica obiektów szczegółów CVE

Uwaga

Jeśli usługa Defender for IoT może pewnie zidentyfikować adres MAC jednego z jego adresów IP, adres MAC jest zwracany bezpośrednio w u_mac_address_objects polu.

Jeśli usługa Defender dla IoT nie jest całkowicie pewna adresu MAC, na przykład jeśli ruch został kierowany przez router, adres MAC jest zwracany w polu zamiast tego w u_guessed_mac_address ramach tablicy adresów IP JSON.

pola u_ip_address_objects

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_ip_address	Ciąg	Nie można pustoć	Jeden z adresów IP urządzenia
u_guessed_mac_address	Tablica adresów MAC w formacie JSON	Nie można pustoć	Tablica adresów MAC w formacie JSON

pola u_mac_address_objects

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_mac_address	Ciąg	Nie można pustoć	Jeden z adresów MAC urządzenia

pola u_cves

Nazwa	Typ	Nullable /Not nullable	Lista wartości
u_address	Ciąg	Nie można pustoć	Adres określonego interfejsu z określonym oprogramowaniem układowym, w którym wykryto cve.
u_cve_id	Ciąg	Nie można pustoć	Definiuje identyfikator CVE
u_score	Ciąg	Nie można pustoć	Definiuje ocenę ryzyka CVE
u_attack_vector	Ciąg	Nie można pustoć	Definiuje wektor ataku jako jeden z następujących elementów: `ADJACENT_NETWORK`, , `LOCALNETWORK`
u_description	Ciąg	Nie można pustoć	Definiuje opis CVE

Przykład odpowiedzi

{
    "u_count": 2,
    "u_device_cves": [{
        "u_ip_address_objects": [{
            "u_ip_address": "192.168.1.127",
            "u_guessed_mac_addresses": [{
                "u_mac_address": "00:0f:38:67:4f:1c"
            }]
        }],
        "u_name": "192.168.1.127",
        "u_mac_address_objects": [{
            "u_mac_address": "00:0f:38:67:4f:1c"
        }],
        "u_last_update": 1664787209000,
        "u_last_activity": 1664782792000,
        "u_id": 135,
        "u_cves": [{
            "u_cve_id": "CVE-2015-2373",
            "u_score": "10.0",
            "u_ip_address": "192.168.1.127",
            "u_description": "The Remote Desktop Protocol (RDP) server service in Microsoft Windows 7 SP1, Windows 8, and Windows Server 2012 allows remote attackers to execute arbitrary code via a series of crafted packets, aka \"Remote Desktop Protocol (RDP) Remote Code Execution Vulnerability.\"",
            "u_attack_vector": "NETWORK"
        }, {
            "u_cve_id": "CVE-2015-1635",
            "u_score": "10.0",
            "u_ip_address": "192.168.1.127",
            "u_description": "HTTP.sys in Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, and Windows Server 2012 Gold and R2 allows remote attackers to execute arbitrary code via crafted HTTP requests, aka \"HTTP.sys Remote Code Execution Vulnerability.\"",
            "u_attack_vector": "NETWORK"
        }, {
            "u_cve_id": "CVE-2015-0014",
            "u_score": "10.0",
            "u_ip_address": "192.168.1.127",
            "u_description": "Buffer overflow in the Telnet service in Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, and Windows Server 2012 Gold and R2 allows remote attackers to execute arbitrary code via crafted packets, aka \"Windows Telnet Service Buffer Overflow Vulnerability.\"",
            "u_attack_vector": "NETWORK"
        }]
    }, {
        "u_ip_address_objects": [{
            "u_ip_address": "10.13.10.5",
            "u_guessed_mac_addresses": [{
                "u_mac_address": "00:05:f0:00:0f:cd"
            }]
        }],
        "u_name": "10.13.10.5",
        "u_mac_address_objects": [{
            "u_mac_address": "00:05:f0:00:0f:cd"
        }],
        "u_last_update": 1664787149000,
        "u_last_activity": 1664782792000,
        "u_id": 181,
        "u_cves": [{
            "u_cve_id": "CVE-2016-7182",
            "u_score": "10.0",
            "u_ip_address": "10.13.10.5",
            "u_description": "The Graphics component in Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; Windows 10 Gold, 1511, and 1607; Office 2007 SP3; Office 2010 SP2; Word Viewer; Skype for Business 2016; Lync 2013 SP1; Lync 2010; Lync 2010 Attendee; and Live Meeting 2007 Console allows attackers to execute arbitrary code via a crafted True Type font, aka \"True Type Font Parsing Elevation of Privilege Vulnerability.\"",
            "u_attack_vector": "NETWORK"
        }, {
            "u_cve_id": "CVE-2016-3270",
            "u_score": "10.0",
            "u_ip_address": "10.13.10.5",
            "u_description": "The Graphics component in the kernel in Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607 allows local users to gain privileges via a crafted application, aka \"Win32k Elevation of Privilege Vulnerability.\"",
            "u_attack_vector": "NETWORK"
        }, {
            "u_cve_id": "CVE-2016-3266",
            "u_score": "10.0",
            "u_ip_address": "10.13.10.5",
            "u_description": "The kernel-mode drivers in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, and Windows 10 Gold, 1511, and 1607 allow local users to gain privileges via a crafted application, aka \"Win32k Elevation of Privilege Vulnerability,\" a different vulnerability than CVE-2016-3376, CVE-2016-7185, and CVE-2016-7211.",
            "u_attack_vector": "NETWORK"
        }]
    }]
}

Typ: GET

Interfejs API:

curl -k -H "Authorization: <Authorization token>" "https://<IP Address>/external/v3/integration/devicecves/<timestamp>"

Przykład:

curl -k -H "Authorization: 1234b734a9244d54ab8d40aedddcabcd" "https://127.0.0.1/external/v3/integration/devicecves/1664781014000"

Następne kroki

Aby uzyskać więcej informacji, zobacz:

Udostępnij za pośrednictwem

Dokumentacja interfejsu API integracji dla lokalnych konsol zarządzania (publiczna wersja zapoznawcza)

urządzenia (tworzenie i aktualizowanie urządzeń)

GET

Przykład odpowiedzi

połączenia (pobieranie połączeń urządzeń)

GET

pola połączeń

Przykład odpowiedzi

urządzenie (pobieranie szczegółów dla urządzenia)

GET

pola ip_address_object

pola mac_address_object

pola protocol_object

vlan_object pola

pola sensor_id_object

pola device_url_object

pola firmware_object

Przykład odpowiedzi

deleteddevices (Pobieranie usuniętych urządzeń)

GET

Przykład odpowiedzi

czujniki (Pobieranie czujników)

GET

Przykład odpowiedzi

devicecves (Pobieranie CVEs urządzenia)

GET

Parametry identyfikatora URI

Parametry zapytania

Pola odpowiedzi

Pola CVE urządzenia

pola u_ip_address_objects

pola u_mac_address_objects

pola u_cves

Przykład odpowiedzi

Następne kroki

Opinia

Dodatkowe zasoby