Alerts - List
Enumerar todas las alertas asociadas a la suscripción
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/alerts?api-version=2022-01-01Parámetros de identificador URI
| Nombre | En | Requerido | Tipo | Description |
|---|---|---|---|---|
|
subscription
|
path | True |
string (uuid) |
Identificador de la suscripción de destino. El valor debe ser un UUID. |
|
api-version
|
query | True |
string minLength: 1 |
Versión de la API que se va a usar para esta operación. |
Respuestas
| Nombre | Tipo | Description |
|---|---|---|
| 200 OK |
La solicitud se ha realizado correctamente. |
|
| Other Status Codes |
Una respuesta de error inesperada. |
Seguridad
azure_auth
Flujo de OAuth2 de Azure Active Directory.
Tipo:
oauth2
Flujo:
implicit
Dirección URL de autorización:
https://login.microsoftonline.com/common/oauth2/authorize
Ámbitos
| Nombre | Description |
|---|---|
| user_impersonation | suplantar la cuenta de usuario |
Ejemplos
Get security alerts on a subscription
Solicitud de ejemplo
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/alerts?api-version=2022-01-01
Respuesta de muestra
{
"value": [
{
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"properties": {
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"alertType": "VM_EICAR",
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"compromisedEntity": "vm1",
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"entities": [
{
"type": "ip",
"address": "192.0.2.1",
"location": {
"asn": 6584,
"city": "sonning",
"countryCode": "gb",
"latitude": 51.468,
"longitude": -0.909,
"state": "wokingham"
}
}
],
"extendedLinks": [
{
"Category": "threat_reports",
"Href": "https://contoso.com/reports/DisplayReport",
"Label": "Report: RDP Brute Forcing",
"Type": "webLink"
}
],
"extendedProperties": {
"Property1": "Property1 information"
},
"intent": "Execution",
"isIncident": true,
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"productComponentName": "testName",
"productName": "Azure Security Center",
"remediationSteps": [
"No further action is needed."
],
"resourceIdentifiers": [
{
"type": "AzureResource",
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"
},
{
"type": "LogAnalytics",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceResourceGroup": "myRg1",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23"
}
],
"severity": "High",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"status": "Active",
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "tabularEvidences",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
],
"title": "Investigate activity test"
},
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"vendorName": "Microsoft",
"version": "2022-01-01"
}
},
{
"name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"type": "Microsoft.Security/Locations/alerts",
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"properties": {
"description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
"alertDisplayName": "Suspicious Screensaver process executed",
"alertType": "VM_SuspiciousScreenSaver",
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"compromisedEntity": "vm2",
"correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
"endTimeUtc": "2019-05-07T13:51:45.0045913Z",
"entities": [
{
"type": "host",
"OsVersion": null,
"azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
"dnsDomain": "",
"hostName": "vm2",
"netBiosName": "vm2",
"ntDomain": "",
"omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
"operatingSystem": "Unknown"
},
{
"name": "contosoUser",
"type": "account",
"logonId": "0x61450d87",
"ntDomain": "vm2",
"sid": "S-1-5-21-2144575486-8928446540-5163864319-500"
},
{
"name": "cmd.exe",
"type": "file",
"directory": "c:\\windows\\system32"
},
{
"type": "process",
"processId": "0x3c44"
},
{
"name": "scrsave.scr",
"type": "file",
"directory": "c:\\users\\contosoUser"
},
{
"type": "process",
"commandLine": "c:\\users\\contosoUser\\scrsave.scr",
"creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
"processId": "0x4aec"
}
],
"extendedLinks": [
{
"Category": "threat_reports",
"Href": "https://contoso.com/reports/DisplayReport",
"Label": "Report: RDP Brute Forcing",
"Type": "webLink"
}
],
"extendedProperties": {
"account logon id": "0x61450d87",
"command line": "c:\\users\\contosoUser\\scrsave.scr",
"domain name": "vm2",
"parent process": "cmd.exe",
"parent process id": "0x3c44",
"process id": "0x4aec",
"process name": "c:\\users\\contosoUser\\scrsave.scr",
"resourceType": "Virtual Machine",
"user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
"user name": "vm2\\contosoUser"
},
"intent": "Execution",
"isIncident": true,
"processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
"productComponentName": "testName2",
"productName": "Azure Security Center",
"remediationSteps": [
"1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
"2. Make sure the machine is completely updated and has an updated anti-malware application installed",
"3. Run a full anti-malware scan and verify that the threat was removed",
"4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
"5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
"6. Escalate the alert to the information security team"
],
"resourceIdentifiers": [
{
"type": "AzureResource",
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"
},
{
"type": "LogAnalytics",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceResourceGroup": "myRg1",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23"
}
],
"severity": "Medium",
"startTimeUtc": "2019-05-07T13:51:45.0045913Z",
"status": "Active",
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "supportingEvidenceList",
"supportingEvidenceList": [
{
"type": "nestedList",
"evidenceElements": [
{
"type": "evidenceElement",
"innerElements": null,
"text": {
"arguments": {
"domainName": {
"type": "string",
"value": "domainName"
},
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
}
},
"fallback": "Actor enumerated UseDesKey on domain1.test.local",
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7"
}
}
]
},
{
"type": "tabularEvidences",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
],
"title": "Investigate activity test"
}
]
},
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
"vendorName": "Microsoft",
"version": "2022-01-01"
}
}
]
}Definiciones
| Nombre | Description |
|---|---|
| Alert |
Alerta de seguridad |
|
Alert |
Cambio del conjunto de propiedades en función del tipo de entidad. |
|
Alert |
Lista de alertas de seguridad |
|
Alert |
Cambio del conjunto de propiedades en función del tipo de compatibilidadEvidencia. |
|
Alert |
Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
Alert |
Estado del ciclo de vida de la alerta. |
|
Azure |
Identificador de recursos de Azure. |
|
Common. |
Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData). |
|
Common. |
Detalle del error. |
|
created |
Tipo de identidad que creó el recurso. |
|
Error |
Información adicional sobre el error de administración de recursos. |
| Intent |
La intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de los valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center. |
|
Log |
Representa un identificador de ámbito del área de trabajo de Log Analytics. |
|
Resource |
Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador. |
|
system |
Metadatos relativos a la creación y última modificación del recurso. |
Alert
Alerta de seguridad
| Nombre | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
Identificador de recurso completo para el recurso. Por ejemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
Nombre del recurso |
| properties.alertDisplayName |
string |
Nombre para mostrar de la alerta. |
| properties.alertType |
string |
Identificador único de la lógica de detección (todas las instancias de alerta de la misma lógica de detección tendrán el mismo alertType). |
| properties.alertUri |
string |
Vínculo directo a la página de alertas en Azure Portal. |
| properties.compromisedEntity |
string |
Nombre para mostrar del recurso más relacionado con esta alerta. |
| properties.correlationKey |
string |
Clave para las alertas relacionadas con la creación de núcleos. Alertas con la misma clave de correlación que se considera relacionada. |
| properties.description |
string |
Descripción de la actividad sospechosa detectada. |
| properties.endTimeUtc |
string (date-time) |
Hora UTC del último evento o actividad incluido en la alerta en formato ISO8601. |
| properties.entities |
Lista de entidades relacionadas con la alerta. |
|
| properties.extendedLinks |
object[] |
Vínculos relacionados con la alerta |
| properties.extendedProperties |
object |
Propiedades personalizadas para la alerta. |
| properties.intent |
La intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de los valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center. |
|
| properties.isIncident |
boolean |
Este campo determina si la alerta es un incidente (una agrupación compuesta de varias alertas) o una sola alerta. |
| properties.processingEndTimeUtc |
string (date-time) |
Hora de finalización del procesamiento UTC de la alerta en formato ISO8601. |
| properties.productComponentName |
string |
Nombre del plan de tarifa de Azure Security Center que activa esta alerta. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
| properties.productName |
string |
Nombre del producto que publicó esta alerta (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender para punto de conexión, Microsoft Defender para punto de conexión, Microsoft Defender para Office, Microsoft Defender para aplicaciones en la nube, etc.). |
| properties.remediationSteps |
string[] |
Elementos de acción manuales que se van a realizar para corregir la alerta. |
| properties.resourceIdentifiers | ResourceIdentifier[]: |
Identificadores de recursos que se pueden usar para dirigir la alerta al grupo de exposición de productos adecuado (inquilino, área de trabajo, suscripción, etc.). Puede haber varios identificadores de tipo diferente por alerta. |
| properties.severity |
Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
| properties.startTimeUtc |
string (date-time) |
Hora UTC del primer evento o actividad incluido en la alerta en formato ISO8601. |
| properties.status |
Estado del ciclo de vida de la alerta. |
|
| properties.subTechniques |
string[] |
Elimina las sub técnicas relacionadas con la cadena detrás de la alerta. |
| properties.supportingEvidence |
Cambio del conjunto de propiedades en función del tipo de compatibilidadEvidencia. |
|
| properties.systemAlertId |
string |
Identificador único de la alerta. |
| properties.techniques |
string[] |
técnicas relacionadas con la cadena de eliminación detrás de la alerta. |
| properties.timeGeneratedUtc |
string (date-time) |
Hora UTC a la que se generó la alerta en formato ISO8601. |
| properties.vendorName |
string |
Nombre del proveedor que genera la alerta. |
| properties.version |
string |
Versión del esquema. |
| systemData |
Metadatos de Azure Resource Manager que contienen información createdBy y modifiedBy. |
|
| type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
AlertEntity
Cambio del conjunto de propiedades en función del tipo de entidad.
| Nombre | Tipo | Description |
|---|---|---|
| type |
string |
Tipo de entidad |
AlertList
Lista de alertas de seguridad
| Nombre | Tipo | Description |
|---|---|---|
| nextLink |
string |
Vínculo a la página siguiente de elementos |
| value |
Alert[] |
Los elementos de alerta de esta página |
AlertPropertiesSupportingEvidence
Cambio del conjunto de propiedades en función del tipo de compatibilidadEvidencia.
| Nombre | Tipo | Description |
|---|---|---|
| type |
string |
Tipo de la videncia auxiliar |
AlertSeverity
Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
| Valor | Description |
|---|---|
| Informational |
Informativo |
| Low |
Bajo |
| Medium |
Medio |
| High |
Alto |
AlertStatus
Estado del ciclo de vida de la alerta.
| Valor | Description |
|---|---|
| Active |
A una alerta que no especifica un valor se le asigna el estado "Activo". |
| InProgress |
Una alerta que está en estado de control |
| Resolved |
Alerta cerrada después del control |
| Dismissed |
Alerta descartada como falso positivo |
AzureResourceIdentifier
Identificador de recursos de Azure.
| Nombre | Tipo | Description |
|---|---|---|
| azureResourceId |
string |
Identificador de recursos de ARM para el recurso en la nube en el que se está alertando |
| type |
string:
Azure |
Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador. |
Common.CloudError
Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData).
| Nombre | Tipo | Description |
|---|---|---|
| error.additionalInfo |
Información adicional del error. |
|
| error.code |
string |
Código de error. |
| error.details |
Detalles del error. |
|
| error.message |
string |
Mensaje de error. |
| error.target |
string |
Destino del error. |
Common.CloudErrorBody
Detalle del error.
| Nombre | Tipo | Description |
|---|---|---|
| additionalInfo |
Información adicional del error. |
|
| code |
string |
Código de error. |
| details |
Detalles del error. |
|
| message |
string |
Mensaje de error. |
| target |
string |
Destino del error. |
createdByType
Tipo de identidad que creó el recurso.
| Valor | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
ErrorAdditionalInfo
Información adicional sobre el error de administración de recursos.
| Nombre | Tipo | Description |
|---|---|---|
| info |
object |
Información adicional. |
| type |
string |
Tipo de información adicional. |
Intent
La intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de los valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center.
| Valor | Description |
|---|---|
| Unknown |
Desconocido |
| PreAttack |
PreAttack podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. Normalmente, este paso se detecta como un intento, que se origina desde fuera de la red, para examinar el sistema de destino y encontrar una manera de hacerlo. Puede leer más detalles sobre la fase PreAttack en matriz de&matriz de ck de MITRE pre-Att. |
| InitialAccess |
InitialAccess es la fase en la que un atacante administra la base de datos del recurso atacado. |
| Persistence |
La persistencia es cualquier cambio de acceso, acción o configuración a un sistema que proporciona a un actor de amenazas una presencia persistente en ese sistema. |
| PrivilegeEscalation |
La elevación de privilegios es el resultado de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. |
| DefenseEvasion |
La evasión de defensa consiste en técnicas que un adversario puede usar para eludir la detección o evitar otras defensas. |
| CredentialAccess |
El acceso a credenciales representa técnicas que dan lugar a acceso o control sobre las credenciales de sistema, dominio o servicio que se usan en un entorno empresarial. |
| Discovery |
La detección consta de técnicas que permiten al adversario obtener conocimientos sobre el sistema y la red interna. |
| LateralMovement |
El movimiento lateral consta de técnicas que permiten a un adversario acceder y controlar sistemas remotos en una red y podrían, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. |
| Execution |
La táctica de ejecución representa técnicas que dan lugar a la ejecución de código controlado por adversarios en un sistema local o remoto. |
| Collection |
La colección consta de técnicas que se usan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la filtración. |
| Exfiltration |
La filtración hace referencia a técnicas y atributos que dan como resultado o ayudan al adversario a quitar archivos e información de una red de destino. |
| CommandAndControl |
La táctica de comando y control representa cómo los adversarios se comunican con los sistemas bajo su control dentro de una red de destino. |
| Impact |
Los eventos de impacto tratan principalmente de reducir directamente la disponibilidad o integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. |
| Probing |
El sondeo podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. |
| Exploitation |
La explotación es la fase en la que un atacante administra para obtener un punto de vista sobre el recurso atacado. Esta fase es relevante para hosts de proceso y recursos como cuentas de usuario, certificados, etc. |
LogAnalyticsIdentifier
Representa un identificador de ámbito del área de trabajo de Log Analytics.
| Nombre | Tipo | Description |
|---|---|---|
| agentId |
string |
(opcional) El identificador del agente de LogAnalytics notifica el evento en el que se basa esta alerta. |
| type |
string:
Log |
Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador. |
| workspaceId |
string |
Identificador del área de trabajo de LogAnalytics que almacena esta alerta. |
| workspaceResourceGroup |
string |
El grupo de recursos de Azure para el área de trabajo de LogAnalytics que almacena esta alerta. |
| workspaceSubscriptionId |
string pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$ |
Identificador de suscripción de Azure para el área de trabajo de LogAnalytics que almacena esta alerta. |
ResourceIdentifierType
Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador.
| Valor | Description |
|---|---|
| AzureResource |
AzureResource |
| LogAnalytics |
Análisis de registros |
systemData
Metadatos relativos a la creación y última modificación del recurso.
| Nombre | Tipo | Description |
|---|---|---|
| createdAt |
string (date-time) |
Marca de tiempo de creación de recursos (UTC). |
| createdBy |
string |
Identidad que creó el recurso. |
| createdByType |
Tipo de identidad que creó el recurso. |
|
| lastModifiedAt |
string (date-time) |
Marca de tiempo de la última modificación del recurso (UTC) |
| lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
| lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |