Incidents - List Alerts
Získá všechna upozornění na incident.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/alerts?api-version=2024-03-01Parametry identifikátoru URI
| Name | V | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
ID incidentu |
|
resource
|
path | True |
string |
Název skupiny prostředků. V názvu se rozlišují malá a velká písmena. |
|
subscription
|
path | True |
string uuid |
ID cílového předplatného. Hodnota musí být UUID. |
|
workspace
|
path | True |
string |
Název pracovního prostoru. Regex pattern: |
|
api-version
|
query | True |
string |
Verze rozhraní API, která se má použít pro tuto operaci. |
Odpovědi
| Name | Typ | Description |
|---|---|---|
| 200 OK |
OK |
|
| Other Status Codes |
Chybová odpověď popisující, proč operace selhala. |
Zabezpečení
azure_auth
Tok Azure Active Directory OAuth2
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Name | Description |
|---|---|
| user_impersonation | zosobnění uživatelského účtu |
Příklady
Get all incident alerts.
Sample Request
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/alerts?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"name": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "SecurityAlert",
"properties": {
"systemAlertId": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"tactics": [],
"alertDisplayName": "myAlert",
"confidenceLevel": "Unknown",
"severity": "Low",
"vendorName": "Microsoft",
"productName": "Azure Security Center",
"alertType": "myAlert",
"processingEndTime": "2020-07-20T18:21:53.6158361Z",
"status": "New",
"endTimeUtc": "2020-07-20T18:21:53.6158361Z",
"startTimeUtc": "2020-07-20T18:21:53.6158361Z",
"timeGenerated": "2020-07-20T18:21:53.6158361Z",
"resourceIdentifiers": [
{
"type": "LogAnalytics",
"workspaceId": "c8c99641-985d-4e4e-8e91-fb3466cd0e5b",
"subscriptionId": "bd794837-4d29-4647-9105-6339bfdb4e6a",
"resourceGroup": "myRG"
}
],
"additionalData": {
"AlertMessageEnqueueTime": "2020-07-20T18:21:57.304Z"
},
"friendlyName": "myAlert"
}
}
]
}Definice
| Name | Description |
|---|---|
|
Alert |
Závažnost výstrahy |
|
Alert |
Stav životního cyklu výstrahy. |
|
Attack |
Závažnost výstrah vytvořených tímto pravidlem upozornění |
|
Cloud |
Struktura odpovědí na chyby. |
|
Cloud |
Podrobnosti o chybě. |
|
Confidence |
Úroveň spolehlivosti této výstrahy |
|
Confidence |
Důvody spolehlivosti |
|
Confidence |
Stav výpočtu skóre spolehlivosti, tj. udává, jestli výpočet skóre pro tuto výstrahu čeká, nepoužije se nebo je konečný. |
|
created |
Typ identity, která vytvořila prostředek. |
|
Entity |
Druh agregované entity. |
|
Incident |
Seznam výstrah incidentů |
|
Kill |
Obsahuje mapování fází záměru upozornění pro toto upozornění. |
|
Security |
Představuje entitu výstrahy zabezpečení. |
|
system |
Metadata týkající se vytvoření a poslední změny prostředku |
AlertSeverity
Závažnost výstrahy
| Name | Typ | Description |
|---|---|---|
| High |
string |
Vysoká závažnost |
| Informational |
string |
Informační závažnost |
| Low |
string |
Nízká závažnost |
| Medium |
string |
Střední závažnost |
AlertStatus
Stav životního cyklu výstrahy.
| Name | Typ | Description |
|---|---|---|
| Dismissed |
string |
Výstraha se zavřela jako falešně pozitivní |
| InProgress |
string |
Výstraha se zpracovává |
| New |
string |
Nová výstrahy |
| Resolved |
string |
Výstraha se po zpracování zavřela. |
| Unknown |
string |
Neznámá hodnota |
AttackTactic
Závažnost výstrah vytvořených tímto pravidlem upozornění
| Name | Typ | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Struktura odpovědí na chyby.
| Name | Typ | Description |
|---|---|---|
| error |
Data o chybách |
CloudErrorBody
Podrobnosti o chybě.
| Name | Typ | Description |
|---|---|---|
| code |
string |
Identifikátor chyby. Kódy jsou neutrální a mají být využívány programově. |
| message |
string |
Zpráva popisující chybu, která má být vhodná k zobrazení v uživatelském rozhraní. |
ConfidenceLevel
Úroveň spolehlivosti této výstrahy
| Name | Typ | Description |
|---|---|---|
| High |
string |
Vysoká jistota, že výstraha je pravdivě pozitivní |
| Low |
string |
Nízká důvěra, což znamená, že máme pochybnosti, že se jedná skutečně o škodlivý útok nebo o součást útoku. |
| Unknown |
string |
Neznámá spolehlivost, je výchozí hodnota. |
ConfidenceReasons
Důvody spolehlivosti
| Name | Typ | Description |
|---|---|---|
| reason |
string |
Popis důvodu |
| reasonType |
string |
Typ (kategorie) důvodu |
ConfidenceScoreStatus
Stav výpočtu skóre spolehlivosti, tj. udává, jestli výpočet skóre pro tuto výstrahu čeká, nepoužije se nebo je konečný.
| Name | Typ | Description |
|---|---|---|
| Final |
string |
Konečné skóre bylo vypočteno a k dispozici |
| InProcess |
string |
Zatím nebylo nastaveno žádné skóre a probíhá výpočet. |
| NotApplicable |
string |
Skóre se pro tuto výstrahu nevypočítá, protože ho virtuální analytik nepodporuje. |
| NotFinal |
string |
Skóre se počítá a zobrazuje jako součást výstrahy, ale po zpracování dalších dat se může později znovu aktualizovat. |
createdByType
Typ identity, která vytvořila prostředek.
| Name | Typ | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityKindEnum
Druh agregované entity.
| Name | Typ | Description |
|---|---|---|
| Account |
string |
Entita představuje účet v systému. |
| AzureResource |
string |
Entita představuje prostředek Azure v systému. |
| Bookmark |
string |
Entita představuje záložku v systému. |
| CloudApplication |
string |
Entita představuje cloudovou aplikaci v systému. |
| DnsResolution |
string |
Entita představuje překlad DNS v systému. |
| File |
string |
Entita představuje soubor v systému. |
| FileHash |
string |
Entita představuje hodnotu hash souboru v systému. |
| Host |
string |
Entita představuje hostitele v systému. |
| IoTDevice |
string |
Entita představuje zařízení IoT v systému. |
| Ip |
string |
Entita představuje IP adresu v systému. |
| MailCluster |
string |
Entita představuje poštovní cluster v systému. |
| MailMessage |
string |
Entita představuje e-mailovou zprávu v systému. |
| Mailbox |
string |
Entita představuje poštovní schránku v systému. |
| Malware |
string |
Entita představuje malware v systému. |
| Process |
string |
Entita představuje proces v systému. |
| RegistryKey |
string |
Entita představuje klíč registru v systému. |
| RegistryValue |
string |
Entita představuje hodnotu registru v systému. |
| SecurityAlert |
string |
Entita představuje výstrahu zabezpečení v systému. |
| SecurityGroup |
string |
Entita představuje skupinu zabezpečení v systému. |
| SubmissionMail |
string |
Entita představuje odesílanou poštu v systému. |
| Url |
string |
Entita představuje adresu URL v systému. |
IncidentAlertList
Seznam výstrah incidentů
| Name | Typ | Description |
|---|---|---|
| value |
Pole upozornění na incidenty |
KillChainIntent
Obsahuje mapování fází záměru upozornění pro toto upozornění.
| Name | Typ | Description |
|---|---|---|
| Collection |
string |
Kolekce se skládá z technik používaných k identifikaci a shromáždění informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací. Tato kategorie také zahrnuje umístění v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci. |
| CommandAndControl |
string |
Taktika velení a řízení představuje způsob, jakým nežádoucí osoba komunikuje se systémy, které mají pod kontrolou v rámci cílové sítě. |
| CredentialAccess |
string |
Přístup k přihlašovacím údajům představuje techniky, které vedou k přístupu k systému, doméně nebo přihlašovacím údajům služby nebo k jejich řízení, které se používají v podnikovém prostředí. Nežádoucí osoba se pravděpodobně pokusí získat legitimní přihlašovací údaje od uživatelů nebo účtů správců (správce místního systému nebo uživatelů domény s přístupem správce) k použití v síti. S dostatečným přístupem v rámci sítě může nežádoucí osoba vytvořit účty pro pozdější použití v rámci prostředí. |
| DefenseEvasion |
string |
Obrana se skládá z technik, které může nežádoucí osoba použít k tomu, aby se vyhnula detekci nebo se vyhnula jiné obraně. Někdy jsou tyto akce stejné jako nebo varianty technik v jiných kategoriích, které mají další výhodu v podvrácení konkrétní ochrany nebo zmírnění rizik. |
| Discovery |
string |
Zjišťování se skládá z technik, které nežádoucí sadě umožňují získat znalosti o systému a interní síti. Když nežádoucí osoba získá přístup k novému systému, musí se zorientovat v tom, co teď mají pod kontrolou a jaké výhody přináší provoz z tohoto systému svým aktuálním cílům nebo celkovým cílům během vniknutí. Operační systém poskytuje mnoho nativních nástrojů, které pomáhají v této fázi shromažďování informací po ohrožení zabezpečení. |
| Execution |
string |
Taktika provádění představuje techniky, které vedou ke spuštění nežádoucího kódu v místním nebo vzdáleném systému. Tato taktika se často používá ve spojení s laterálním pohybem k rozšíření přístupu ke vzdáleným systémům v síti. |
| Exfiltration |
string |
Exfiltrace označuje techniky a atributy, které vedou nebo pomáhají nežádoucímu odebrání souborů a informací z cílové sítě. Tato kategorie také zahrnuje umístění v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci. |
| Exploitation |
string |
Zneužití je fáze, ve které se útočníkovi podaří uchytnout napadený prostředek. Tato fáze se vztahuje nejen na výpočetní hostitele, ale také na prostředky, jako jsou uživatelské účty, certifikáty atd. Nežádoucí uživatelé budou po této fázi často moct řídit prostředek. |
| Impact |
string |
Primárním cílem záměru dopadu je přímé snížení dostupnosti nebo integrity systému, služby nebo sítě; včetně manipulace s daty s cílem ovlivnit obchodní nebo provozní proces. To by často odkazovalo na techniky, jako je výkupný software, defacementace, manipulace s daty a další. |
| LateralMovement |
string |
Laterální pohyb se skládá z technik, které umožňují nežádoucímu člověku přistupovat ke vzdáleným systémům v síti a řídit je a které by mohly, ale nemusí nutně zahrnovat provádění nástrojů ve vzdálených systémech. Techniky laterálního pohybu můžou nežádoucímu člověku umožnit shromažďovat informace ze systému, aniž by potřeboval další nástroje, jako je například nástroj pro vzdálený přístup. Nežádoucí osoba může laterální pohyb používat k mnoha účelům, včetně vzdáleného spuštění nástrojů, přesměrování na další systémy, přístupu ke konkrétním informacím nebo souborům, přístupu k dalším přihlašovacím údajům nebo k ovlivnění. |
| Persistence |
string |
Trvalost je jakákoli změna přístupu, akce nebo konfigurace systému, která nežádoucímu tomuto systému trvale poskytuje přítomnost. Nežádoucí osoba si často bude muset zachovat přístup k systémům prostřednictvím přerušení, jako jsou restartování systému, ztráta přihlašovacích údajů nebo jiná selhání, která by k restartování vyžadovala nástroj pro vzdálený přístup nebo alternativní zadní vrátka, aby znovu získali přístup. |
| PrivilegeEscalation |
string |
Eskalace oprávnění je výsledkem akcí, které nežádoucímu uživateli umožňují získat vyšší úroveň oprávnění v systému nebo síti. Některé nástroje nebo akce vyžadují vyšší úroveň oprávnění, aby fungovaly, a jsou pravděpodobně nezbytné v mnoha fázích celé operace. Za eskalaci oprávnění lze považovat také uživatelské účty s oprávněními pro přístup ke konkrétním systémům nebo k provádění konkrétních funkcí nezbytných pro nežádoucí osobu, aby dosáhli svého cíle. |
| Probing |
string |
Testování může být pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromáždění informací před zneužitím. Tento krok se obvykle detekuje jako pokus pocházející z prostředí mimo síť, ve snaze prohledat cílový systém a najít cestu. |
| Unknown |
string |
Výchozí hodnota. |
SecurityAlert
Představuje entitu výstrahy zabezpečení.
| Name | Typ | Description |
|---|---|---|
| id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
| kind | string: |
Druh entity. |
| name |
string |
Název prostředku |
| properties.additionalData |
object |
Sada vlastních polí, která by měla být součástí entity a která se zobrazí uživateli. |
| properties.alertDisplayName |
string |
Zobrazovaný název výstrahy. |
| properties.alertLink |
string |
Odkaz URI výstrahy |
| properties.alertType |
string |
Název typu výstrahy. |
| properties.compromisedEntity |
string |
Zobrazovaný název hlavní entity, u které se sestavuje. |
| properties.confidenceLevel |
Úroveň spolehlivosti této výstrahy |
|
| properties.confidenceReasons |
Důvody spolehlivosti |
|
| properties.confidenceScore |
number |
Skóre spolehlivosti výstrahy. |
| properties.confidenceScoreStatus |
Stav výpočtu skóre spolehlivosti, tj. udává, jestli výpočet skóre pro tuto výstrahu čeká, nepoužije se nebo je konečný. |
|
| properties.description |
string |
Popis upozornění. |
| properties.endTimeUtc |
string |
Koncový čas dopadu upozornění (čas poslední události přispívající k upozornění). |
| properties.friendlyName |
string |
Zobrazovaný název položky grafu, který je krátce čitelný popis instance položky grafu. Tato vlastnost je volitelná a může být vygenerovaná systémem. |
| properties.intent |
Obsahuje mapování fází záměru upozornění pro toto upozornění. |
|
| properties.processingEndTime |
string |
Čas, kdy byla výstraha zpřístupněna pro použití. |
| properties.productComponentName |
string |
Název komponenty uvnitř produktu, který výstrahu vygeneroval. |
| properties.productName |
string |
Název produktu, který tuto výstrahu publikoval. |
| properties.productVersion |
string |
Verze produktu, který výstrahu generuje. |
| properties.providerAlertId |
string |
Identifikátor výstrahy uvnitř produktu, který výstrahu vygeneroval. |
| properties.remediationSteps |
string[] |
Ruční akce, které se mají provést k nápravě výstrahy. |
| properties.resourceIdentifiers |
object[] |
Seznam identifikátorů prostředků výstrahy. |
| properties.severity |
Závažnost výstrahy |
|
| properties.startTimeUtc |
string |
Počáteční čas dopadu upozornění (čas první události přispívající k upozornění). |
| properties.status |
Stav životního cyklu výstrahy. |
|
| properties.systemAlertId |
string |
Obsahuje identifikátor produktu výstrahy pro produkt. |
| properties.tactics |
Taktika upozornění |
|
| properties.timeGenerated |
string |
Čas vygenerování výstrahy |
| properties.vendorName |
string |
Název dodavatele, který výstrahu vyvolal. |
| systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
| type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
systemData
Metadata týkající se vytvoření a poslední změny prostředku
| Name | Typ | Description |
|---|---|---|
| createdAt |
string |
Časové razítko vytvoření prostředku (UTC) |
| createdBy |
string |
Identita, která prostředek vytvořila. |
| createdByType |
Typ identity, která vytvořila prostředek. |
|
| lastModifiedAt |
string |
Časové razítko poslední změny prostředku (UTC) |
| lastModifiedBy |
string |
Identita, která naposledy změnila prostředek. |
| lastModifiedByType |
Typ identity, která naposledy změnila prostředek. |