Alerts - Get Resource Group Level
Získání upozornění, které je přidružené ke skupině prostředků nebo prostředku ve skupině prostředků
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01Parametry identifikátoru URI
| Name | V | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
alert
|
path | True |
string |
Název objektu upozornění |
|
asc
|
path | True |
string |
Umístění, kam ASC ukládá data předplatného. lze načíst z umístění Získat |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Název skupiny prostředků. Název nerozlišuje malá a velká písmena. |
|
subscription
|
path | True |
string (uuid) |
ID cílového předplatného. Hodnota musí být UUID. |
|
api-version
|
query | True |
string minLength: 1 |
Verze rozhraní API, která se má použít pro tuto operaci. |
Odpovědi
| Name | Typ | Description |
|---|---|---|
| 200 OK |
Operace Azure byla úspěšně dokončena. |
|
| Other Status Codes |
Neočekávaná chybová odpověď |
Zabezpečení
azure_auth
Azure Active Directory OAuth2 Flow.
Typ:
oauth2
Tok:
implicit
URL autorizace:
https://login.microsoftonline.com/common/oauth2/authorize
Rozsahy
| Name | Description |
|---|---|
| user_impersonation | zosobnění uživatelského účtu |
Příklady
Get security alert on a resource group from a security data location
Ukázkový požadavek
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a?api-version=2022-01-01
Ukázková odpověď
{
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"properties": {
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"alertType": "VM_EICAR",
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"compromisedEntity": "vm1",
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"entities": [
{
"type": "ip",
"address": "192.0.2.1",
"location": {
"asn": 6584,
"city": "sonning",
"countryCode": "gb",
"latitude": 51.468,
"longitude": -0.909,
"state": "wokingham"
}
}
],
"extendedLinks": [
{
"Category": "threat_reports",
"Href": "https://contoso.com/reports/DisplayReport",
"Label": "Report: RDP Brute Forcing",
"Type": "webLink"
}
],
"extendedProperties": {
"Property1": "Property1 information"
},
"intent": "Execution",
"isIncident": true,
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"productComponentName": "testName",
"productName": "Azure Security Center",
"remediationSteps": [
"No further action is needed."
],
"resourceIdentifiers": [
{
"type": "AzureResource",
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"
},
{
"type": "LogAnalytics",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceResourceGroup": "myRg1",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23"
}
],
"severity": "High",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"status": "Active",
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "supportingEvidenceList",
"supportingEvidenceList": [
{
"type": "nestedList",
"evidenceElements": [
{
"type": "evidenceElement",
"innerElements": null,
"text": {
"arguments": {
"domainName": {
"type": "string",
"value": "domainName"
},
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
}
},
"fallback": "Actor enumerated UseDesKey on domain1.test.local",
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7"
}
}
]
},
{
"type": "tabularEvidences",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
],
"title": "Investigate activity test"
}
]
},
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"vendorName": "Microsoft",
"version": "2022-01-01"
}
}Definice
| Name | Description |
|---|---|
| Alert |
Výstraha zabezpečení |
|
Alert |
Změna sady vlastností v závislosti na typu entity |
|
Alert |
Změna sady vlastností v závislosti na podpůrném typuEvidence |
|
Alert |
Úroveň rizika zjištěné hrozby. Další informace: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
Alert |
Stav životního cyklu výstrahy. |
|
Azure |
Identifikátor prostředku Azure. |
|
Common. |
Běžná chybová odpověď pro všechna rozhraní API Azure Resource Manageru pro vrácení podrobností o chybě pro neúspěšné operace (To se také řídí formátem odpovědi na chybu OData.) |
|
Common. |
Podrobnosti o chybě. |
|
created |
Typ identity, která prostředek vytvořila. |
|
Error |
Další informace o chybě správy prostředků |
| Intent |
Záměr související s řetězem kill za výstrahou. Seznam podporovaných hodnot a vysvětlení podporovaných záměrů řetězce ukončení služby Azure Security Center. |
|
Log |
Představuje identifikátor oboru pracovního prostoru služby Log Analytics. |
|
Resource |
Pro každou výstrahu může existovat více identifikátorů různých typů, toto pole určuje typ identifikátoru. |
|
system |
Metadata týkající se vytvoření a poslední změny prostředku. |
Alert
Výstraha zabezpečení
| Name | Typ | Description |
|---|---|---|
| id |
string (arm-id) |
Plně kvalifikované ID prostředku pro prostředek. Např. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
Název prostředku |
| properties.alertDisplayName |
string |
Zobrazovaný název výstrahy. |
| properties.alertType |
string |
Jedinečný identifikátor logiky detekce (všechny instance výstrah ze stejné logiky detekce budou mít stejný typ výstrahy). |
| properties.alertUri |
string |
Přímý odkaz na stránku upozornění na webu Azure Portal |
| properties.compromisedEntity |
string |
Zobrazovaný název prostředku, který souvisí s touto výstrahou. |
| properties.correlationKey |
string |
Klíč pro spoluvytyčování souvisejících výstrah. Výstrahy se stejným korelačním klíčem, který se považuje za související. |
| properties.description |
string |
Popis podezřelé aktivity, která byla zjištěna. |
| properties.endTimeUtc |
string (date-time) |
Čas UTC poslední události nebo aktivity zahrnuté v upozornění ve formátu ISO8601. |
| properties.entities |
Seznam entit souvisejících s výstrahou |
|
| properties.extendedLinks |
object[] |
Odkazy související s upozorněním |
| properties.extendedProperties |
object |
Vlastní vlastnosti výstrahy |
| properties.intent |
Záměr související s řetězem kill za výstrahou. Seznam podporovaných hodnot a vysvětlení podporovaných záměrů řetězce ukončení služby Azure Security Center. |
|
| properties.isIncident |
boolean |
Toto pole určuje, jestli se jedná o incident (složené seskupení několika výstrah) nebo o jednu výstrahu. |
| properties.processingEndTimeUtc |
string (date-time) |
Koncový čas zpracování utc výstrahy ve formátu ISO8601. |
| properties.productComponentName |
string |
Název cenové úrovně služby Azure Security Center, která tuto výstrahu vynutí. Další informace: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
| properties.productName |
string |
Název produktu, který publikoval toto upozornění (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender for Office, Microsoft Defender for Cloud Apps atd.). |
| properties.remediationSteps |
string[] |
Položky ruční akce, které se mají provést k nápravě výstrahy. |
| properties.resourceIdentifiers | ResourceIdentifier[]: |
Identifikátory prostředků, které lze použít k nasměrování výstrahy na správnou skupinu vystavení produktu (tenant, pracovní prostor, předplatné atd.). Pro každou výstrahu může existovat více identifikátorů různých typů. |
| properties.severity |
Úroveň rizika zjištěné hrozby. Další informace: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
| properties.startTimeUtc |
string (date-time) |
Čas UTC první události nebo aktivity zahrnuté v upozornění ve formátu ISO8601. |
| properties.status |
Stav životního cyklu výstrahy. |
|
| properties.subTechniques |
string[] |
Za upozorněním ukončete dílčí techniky související s řetězem. |
| properties.supportingEvidence |
Změna sady vlastností v závislosti na podpůrném typuEvidence |
|
| properties.systemAlertId |
string |
Jedinečný identifikátor výstrahy. |
| properties.techniques |
string[] |
Techniky související s ukončovacím řetězcem, které stojí za upozorněním. |
| properties.timeGeneratedUtc |
string (date-time) |
Čas UTC, kdy se výstraha vygenerovala ve formátu ISO8601 |
| properties.vendorName |
string |
Název dodavatele, který výstrahu vyvolá. |
| properties.version |
string |
Verze schématu |
| systemData |
Metadata služby Azure Resource Manager obsahující informace o tom, kdo jej vytvořil a upravil. |
|
| type |
string |
Typ prostředku. Například "Microsoft. Compute/virtualMachines" nebo "Microsoft. Úložiště/úložištěÚčty" |
AlertEntity
Změna sady vlastností v závislosti na typu entity
| Name | Typ | Description |
|---|---|---|
| type |
string |
Typ entity |
AlertPropertiesSupportingEvidence
Změna sady vlastností v závislosti na podpůrném typuEvidence
| Name | Typ | Description |
|---|---|---|
| type |
string |
Typ podpůrné funkceEvidence |
AlertSeverity
Úroveň rizika zjištěné hrozby. Další informace: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
| Hodnota | Description |
|---|---|
| Informational |
Informační |
| Low |
Nízký |
| Medium |
Středně |
| High |
Vysoko |
AlertStatus
Stav životního cyklu výstrahy.
| Hodnota | Description |
|---|---|
| Active |
Upozornění, které neurčí hodnotu, má přiřazený stav Aktivní. |
| InProgress |
Výstraha, která je ve stavu zpracování |
| Resolved |
Výstraha se po zpracování zavřela. |
| Dismissed |
Upozornění bylo zamítnuto jako falešně pozitivní |
AzureResourceIdentifier
Identifikátor prostředku Azure.
| Name | Typ | Description |
|---|---|---|
| azureResourceId |
string |
Identifikátor prostředku ARM pro cloudový prostředek, na který se zobrazuje upozornění |
| type |
string:
Azure |
Pro každou výstrahu může existovat více identifikátorů různých typů, toto pole určuje typ identifikátoru. |
Common.CloudError
Běžná chybová odpověď pro všechna rozhraní API Azure Resource Manageru pro vrácení podrobností o chybě pro neúspěšné operace (To se také řídí formátem odpovědi na chybu OData.)
| Name | Typ | Description |
|---|---|---|
| error.additionalInfo |
Další informace o chybě. |
|
| error.code |
string |
Kód chyby. |
| error.details |
Podrobnosti o chybě. |
|
| error.message |
string |
Chybová zpráva. |
| error.target |
string |
Cíl chyby. |
Common.CloudErrorBody
Podrobnosti o chybě.
| Name | Typ | Description |
|---|---|---|
| additionalInfo |
Další informace o chybě. |
|
| code |
string |
Kód chyby. |
| details |
Podrobnosti o chybě. |
|
| message |
string |
Chybová zpráva. |
| target |
string |
Cíl chyby. |
createdByType
Typ identity, která prostředek vytvořila.
| Hodnota | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
ErrorAdditionalInfo
Další informace o chybě správy prostředků
| Name | Typ | Description |
|---|---|---|
| info |
object |
Další informace. |
| type |
string |
Další typ informací. |
Intent
Záměr související s řetězem kill za výstrahou. Seznam podporovaných hodnot a vysvětlení podporovaných záměrů řetězce ukončení služby Azure Security Center.
| Hodnota | Description |
|---|---|
| Unknown |
Neznámý |
| PreAttack |
Předběžné připojení může být buď pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr, nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromáždění informací před zneužitím. Tento krok se obvykle detekuje jako pokus, který pochází z oblasti mimo síť, ke kontrole cílového systému a vyhledání cesty. Další podrobnosti o preattack fázi lze přečíst v MITRE Pre-Att&ck matice. |
| InitialAccess |
InitialAccess je fáze, ve které se útočníkovi podaří získat přístup k napadenému prostředku. |
| Persistence |
Trvalost je jakákoli změna přístupu, akce nebo konfigurace v systému, která dává objektu actor hrozby trvalou přítomnost v daném systému. |
| PrivilegeEscalation |
Eskalace oprávnění je výsledkem akcí, které nežádoucímu uživateli umožňují získat vyšší úroveň oprávnění v systému nebo síti. |
| DefenseEvasion |
Úniky se skládají z technik, které může nežádoucí osoba použít k tomu, aby se zabránilo detekci nebo zabránění jiným obranám. |
| CredentialAccess |
Přístup k přihlašovacím údajům představuje techniky, které vedou k přístupu k systému, doméně nebo přihlašovacím údajům služby, které se používají v podnikovém prostředí nebo k jejich řízení. |
| Discovery |
Zjišťování se skládá z technik, které nežádoucímu uživateli umožňují získat znalosti o systému a interní síti. |
| LateralMovement |
Laterální pohyb se skládá z technik, které nežádoucímu člověku umožňují přistupovat ke vzdáleným systémům v síti a řídit je a nemusí nutně zahrnovat provádění nástrojů ve vzdálených systémech. |
| Execution |
Taktika provádění představuje techniky, které vedou ke spuštění nežádoucího kódu řízeného v místním nebo vzdáleném systému. |
| Collection |
Kolekce se skládá z technik používaných k identifikaci a shromažďování informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací. |
| Exfiltration |
Exfiltrace odkazuje na techniky a atributy, které vedou k nežádoucímu odebrání souborů a informací z cílové sítě nebo pomáhají. |
| CommandAndControl |
Taktika příkazů a řízení představuje způsob, jakým nežádoucí osoba komunikují se systémy pod jejich kontrolou v rámci cílové sítě. |
| Impact |
Události dopadu se primárně snaží snížit dostupnost nebo integritu systému, služby nebo sítě; včetně manipulace s daty, které mají vliv na obchodní nebo provozní proces. |
| Probing |
Sondování může být buď pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr, nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromáždění informací před zneužitím. |
| Exploitation |
Zneužití je fáze, ve které se útočníkovi podaří získat zápatí napadeného prostředku. Tato fáze je relevantní pro výpočetní hostitele a prostředky, jako jsou uživatelské účty, certifikáty atd. |
LogAnalyticsIdentifier
Představuje identifikátor oboru pracovního prostoru služby Log Analytics.
| Name | Typ | Description |
|---|---|---|
| agentId |
string |
(volitelné) ID agenta LogAnalytics hlásí událost, na které je tato výstraha založená. |
| type |
string:
Log |
Pro každou výstrahu může existovat více identifikátorů různých typů, toto pole určuje typ identifikátoru. |
| workspaceId |
string |
ID pracovního prostoru LogAnalytics, ve které je tato výstraha uložená. |
| workspaceResourceGroup |
string |
Skupina prostředků Azure pro pracovní prostor LogAnalytics, do které se ukládá tato výstraha |
| workspaceSubscriptionId |
string pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$ |
ID předplatného Azure pro pracovní prostor LogAnalytics, do které se ukládá toto upozornění. |
ResourceIdentifierType
Pro každou výstrahu může existovat více identifikátorů různých typů, toto pole určuje typ identifikátoru.
| Hodnota | Description |
|---|---|
| AzureResource |
AzureResource |
| LogAnalytics |
LogAnalytics |
systemData
Metadata týkající se vytvoření a poslední změny prostředku.
| Name | Typ | Description |
|---|---|---|
| createdAt |
string (date-time) |
Časové razítko vytvoření prostředku (UTC). |
| createdBy |
string |
Identita, která prostředek vytvořila. |
| createdByType |
Typ identity, která prostředek vytvořila. |
|
| lastModifiedAt |
string (date-time) |
Časové razítko poslední změny zdroje (UTC) |
| lastModifiedBy |
string |
Identita, která naposledy změnila prostředek. |
| lastModifiedByType |
Typ identity, která naposledy změnila prostředek. |