Iot Security Solutions Analytics Aggregated Alert - List

  • Referenz
Service:
Defender for Cloud
API Version:
2019-08-01

Verwenden Sie diese Methode, um die aggregierte Warnungsliste Ihrer IoT-Sicherheitslösung abzurufen.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/iotSecuritySolutions/{solutionName}/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01
With optional parameters: 
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/iotSecuritySolutions/{solutionName}/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01&$top={$top}

URI-Parameter

Name In Erforderlich Typ Beschreibung
resourceGroupName
 path True

string

Der Name der Ressourcengruppe im Abonnement des Benutzers. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet.

Regex pattern: ^[-\w\._\(\)]+$
solutionName
 path True

string

Der Name der IoT-Sicherheitslösung.
subscriptionId
 path True

string

Azure-Abonnement-ID

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

API-Version für den Vorgang
$top
 query

integer

int32

Anzahl der abzurufenden Ergebnisse.

Antworten

Name Typ Beschreibung
200 OK

IoTSecurityAggregatedAlertList

OK
Other Status Codes

CloudError

Fehlerantwort mit Beschreibung des Grunds für den Fehler.

Sicherheit

azure_auth

Azure Active Directory-OAuth2-Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Beschreibung
user_impersonation Identitätswechsel Ihres Benutzerkontos

Beispiele

Get the aggregated alert list of yours IoT Security solution

Sample Request

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/iotSecuritySolutions/default/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01

Sample Response

Status code:
200 
{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02",
      "name": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02",
      "type": "Microsoft.Security/iotSecuritySolutions/analyticsModels/aggregatedAlerts",
      "properties": {
        "alertType": "IoT_Bruteforce_Fail",
        "alertDisplayName": "Failed Bruteforce",
        "aggregatedDateUtc": "2019-02-02",
        "vendorName": "Microsoft",
        "reportedSeverity": "Low",
        "remediationSteps": "",
        "description": "Multiple unsuccsseful login attempts identified. A Bruteforce attack on the device failed.",
        "count": 50,
        "effectedResourceType": "IoT Device",
        "systemSource": "Devices",
        "actionTaken": "Detected",
        "logAnalyticsQuery": "SecurityAlert | where tolower(ResourceId) == tolower('/subscriptions/b77ec8a9-04ed-48d2-a87a-e5887b978ba6/resourceGroups/IoT-Solution-DemoEnv/providers/Microsoft.Devices/IotHubs/rtogm-hub') and tolower(AlertName) == tolower('Custom Alert - number of device to cloud messages in MQTT protocol is not in the allowed range') | extend DeviceId=parse_json(ExtendedProperties)['DeviceId'] | project DeviceId, TimeGenerated, DisplayName, AlertSeverity, Description, RemediationSteps, ExtendedProperties",
        "topDevicesList": [
          {
            "deviceId": "testDevice1",
            "alertsCount": 45,
            "lastOccurrence": "10:42"
          },
          {
            "deviceId": "testDevice2",
            "alertsCount": 30,
            "lastOccurrence": "15:42"
          }
        ]
      }
    },
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Success/2019-02-02",
      "name": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Success/2019-02-02",
      "type": "Microsoft.Security/iotSecuritySolutions/analyticsModels/aggregatedAlerts",
      "properties": {
        "alertType": "IoT_Bruteforce_Success",
        "alertDisplayName": "Successful Bruteforce",
        "aggregatedDateUtc": "2019-02-02",
        "vendorName": "Microsoft",
        "reportedSeverity": "Low",
        "remediationSteps": "",
        "description": "Multiple unsuccsseful login attempts identified followed by a succssful login. A Bruteforce attack on the device was Successfule",
        "count": 600000,
        "effectedResourceType": "IoT Device",
        "systemSource": "Devices",
        "actionTaken": "Detected",
        "logAnalyticsQuery": "SecurityAlert | where tolower(ResourceId) == tolower('/subscriptions/b77ec8a9-04ed-48d2-a87a-e5887b978ba6/resourceGroups/IoT-Solution-DemoEnv/providers/Microsoft.Devices/IotHubs/rtogm-hub') and tolower(AlertName) == tolower('Custom Alert - number of device to cloud messages in MQTT protocol is not in the allowed range') | extend DeviceId=parse_json(ExtendedProperties)['DeviceId'] | project DeviceId, TimeGenerated, DisplayName, AlertSeverity, Description, RemediationSteps, ExtendedProperties",
        "topDevicesList": [
          {
            "deviceId": "testDevice1",
            "alertsCount": 12321,
            "lastOccurrence": "10:42"
          },
          {
            "deviceId": "testDevice2",
            "alertsCount": 455,
            "lastOccurrence": "15:42"
          }
        ]
      }
    }
  ]
}

Definitionen

Name Beschreibung
CloudError

Allgemeine Fehlerantwort für alle Azure Resource Manager-APIs, zur Rückgabe von Fehlerdetails für fehlgeschlagene Vorgänge. (Dies folgt auch dem OData-Fehlerantwortformat.).
CloudErrorBody

Die Fehlerdetails.
ErrorAdditionalInfo

Zusätzliche Informationen zum Ressourcenverwaltungsfehler.
IoTSecurityAggregatedAlert

Aggregierte Warnungsinformationen zur Sicherheitslösung
IoTSecurityAggregatedAlertList

Liste der aggregierten Warnungsdaten der IoT-Sicherheitslösung.
reportedSeverity

Bewerteter Warnungsschweregrad.
TopDevicesList

10 Geräte mit der höchsten Anzahl von Vorkommen dieses Warnungstyps an diesem Tag.

CloudError

Allgemeine Fehlerantwort für alle Azure Resource Manager-APIs, zur Rückgabe von Fehlerdetails für fehlgeschlagene Vorgänge. (Dies folgt auch dem OData-Fehlerantwortformat.).

Name Typ Beschreibung
error.additionalInfo

ErrorAdditionalInfo[]

Die zusätzlichen Fehlerinformationen.
error.code

string

Der Fehlercode.
error.details

CloudErrorBody[]

Die Fehlerdetails.
error.message

string

Die Fehlermeldung.
error.target

string

Das Fehlerziel.

CloudErrorBody

Die Fehlerdetails.

Name Typ Beschreibung
additionalInfo

ErrorAdditionalInfo[]

Die zusätzlichen Fehlerinformationen.
code

string

Der Fehlercode.
details

CloudErrorBody[]

Die Fehlerdetails.
message

string

Die Fehlermeldung.
target

string

Das Fehlerziel.

ErrorAdditionalInfo

Zusätzliche Informationen zum Ressourcenverwaltungsfehler.

Name Typ Beschreibung
info

object

Zusätzliche Informationen.
type

string

Typ der zusätzlichen Informationen.

IoTSecurityAggregatedAlert

Aggregierte Warnungsinformationen zur Sicherheitslösung

Name Typ Beschreibung
id

string

Ressourcen-ID
name

string

Ressourcenname
properties.actionTaken

string

Antwort auf Warnungen der IoT-Sicherheitslösung.
properties.aggregatedDateUtc

string

Datum der Erkennung.
properties.alertDisplayName

string

Anzeigename des Warnungstyps.
properties.alertType

string

Name des Warnungstyps.
properties.count

integer

Anzahl der Warnungen, die innerhalb des aggregierten Zeitfensters auftreten.
properties.description

string

Beschreibung des vermuteten Sicherheitsrisikos und der Bedeutung.
properties.effectedResourceType

string

Azure-Ressourcen-ID der Ressource, die die Warnungen empfangen hat.
properties.logAnalyticsQuery

string

Protokollanalyseabfrage zum Abrufen der Liste der betroffenen Geräte/Warnungen.
properties.remediationSteps

string

Empfohlene Schritte für die Korrektur.
properties.reportedSeverity

reportedSeverity

Bewerteter Warnungsschweregrad.
properties.systemSource

string

Der Typ der warnungen Ressource (Azure, Nicht-Azure).
properties.topDevicesList

TopDevicesList[]

10 Geräte mit der höchsten Anzahl von Vorkommen dieses Warnungstyps an diesem Tag.
properties.vendorName

string

Name des organization, der die Warnung ausgelöst hat.
tags

object

Ressourcentags
type

string

Ressourcentyp

IoTSecurityAggregatedAlertList

Liste der aggregierten Warnungsdaten der IoT-Sicherheitslösung.

Name Typ Beschreibung
nextLink

string

Wenn zu viele Warnungsdaten für eine Seite vorhanden sind, verwenden Sie diesen URI, um die nächste Seite abzurufen.
value

IoTSecurityAggregatedAlert[]

Liste der aggregierten Warnungsdaten.

reportedSeverity

Bewerteter Warnungsschweregrad.

Name Typ Beschreibung
High

string

Informational

string

Low

string

Medium

string

TopDevicesList

10 Geräte mit der höchsten Anzahl von Vorkommen dieses Warnungstyps an diesem Tag.

Name Typ Beschreibung
alertsCount

integer

Anzahl der für dieses Gerät ausgelösten Warnungen.
deviceId

string

Der Name des Geräts.
lastOccurrence

string

Zuletzt wurde diese Warnung für dieses Gerät an diesem Tag ausgelöst.