Alerts - Get Resource Group Level

Referencia

Service:: Defender for Cloud

API Version:: 2022-01-01

Obtener una alerta asociada a un grupo de recursos o a un recurso de un grupo de recursos

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

Parámetros de identificador URI

Nombre	En	Requerido	Tipo	Description
alertName	path	True	string	Nombre del objeto de alerta
ascLocation	path	True	string	Ubicación donde ASC almacena los datos de la suscripción. se puede recuperar desde Get locations
resourceGroupName	path	True	string	Nombre del grupo de recursos dentro de la suscripción del usuario. El nombre distingue mayúsculas de minúsculas. Regex pattern: `^[-\w\._]+$`
subscriptionId	path	True	string	Identificador de suscripción de Azure Regex pattern: `^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$`
api-version	query	True	string	Versión de API para la operación

Respuestas

Nombre	Tipo	Description
200 OK	Alert	Aceptar
Other Status Codes	CloudError	Respuesta de error que describe el motivo del error de la operación.

Seguridad

azure_auth

Flujo OAuth2 de Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Nombre	Description
user_impersonation	suplantación de su cuenta de usuario

Ejemplos

Get security alert on a resource group from a security data location

Sample Request

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a?api-version=2022-01-01


/**
 * Samples for Alerts GetResourceGroupLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertResourceGroupLocation_example.json
     */
    /**
     * Sample code: Get security alert on a resource group from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnAResourceGroupFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getResourceGroupLevelWithResponse("myRg1", "westeurope",
            "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
func ExampleAlertsClient_GetResourceGroupLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetResourceGroupLevel(ctx, "myRg1", "westeurope", "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"supportingEvidenceList": []any{
	// 							map[string]any{
	// 								"type": "nestedList",
	// 								"evidenceElements":[]any{
	// 									map[string]any{
	// 										"type": "evidenceElement",
	// 										"innerElements": nil,
	// 										"text":map[string]any{
	// 											"arguments":map[string]any{
	// 												"domainName":map[string]any{
	// 													"type": "string",
	// 													"value": "domainName",
	// 												},
	// 												"sensitiveEnumerationTypes":map[string]any{
	// 													"type": "string[]",
	// 													"value":[]any{
	// 														"UseDesKey",
	// 													},
	// 												},
	// 											},
	// 											"fallback": "Actor enumerated UseDesKey on domain1.test.local",
	// 											"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
	// 										},
	// 									},
	// 								},
	// 							},
	// 							map[string]any{
	// 								"type": "tabularEvidences",
	// 								"columns":[]any{
	// 									"Date",
	// 									"Activity",
	// 									"User",
	// 									"TestedText",
	// 									"TestedValue",
	// 								},
	// 								"rows":[]any{
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser2",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser3",
	// 										"true",
	// 										true,
	// 									},
	// 								},
	// 								"title": "Investigate activity test",
	// 							},
	// 						},
	// 					},
	// 					Type: to.Ptr("supportingEvidenceList"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated a resource group or a resource in a resource group
 *
 * @summary Get an alert that is associated a resource group or a resource in a resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
 */
async function getSecurityAlertOnAResourceGroupFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const ascLocation = "westeurope";
  const alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getResourceGroupLevel(
    resourceGroupName,
    ascLocation,
    alertName,
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
// this example is just showing the usage of "Alerts_GetResourceGroupLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupSecurityAlertResource created on azure
// for more information of creating ResourceGroupSecurityAlertResource, please refer to the document of ResourceGroupSecurityAlertResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
AzureLocation ascLocation = new AzureLocation("westeurope");
string alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
ResourceIdentifier resourceGroupSecurityAlertResourceId = ResourceGroupSecurityAlertResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, ascLocation, alertName);
ResourceGroupSecurityAlertResource resourceGroupSecurityAlert = client.GetResourceGroupSecurityAlertResource(resourceGroupSecurityAlertResourceId);

// invoke the operation
ResourceGroupSecurityAlertResource result = await resourceGroupSecurityAlert.GetAsync();

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
SecurityAlertData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:: 200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "supportingEvidenceList": [
        {
          "evidenceElements": [
            {
              "text": {
                "arguments": {
                  "sensitiveEnumerationTypes": {
                    "type": "string[]",
                    "value": [
                      "UseDesKey"
                    ]
                  },
                  "domainName": {
                    "type": "string",
                    "value": "domainName"
                  }
                },
                "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                "fallback": "Actor enumerated UseDesKey on domain1.test.local"
              },
              "type": "evidenceElement",
              "innerElements": null
            }
          ],
          "type": "nestedList"
        },
        {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      ],
      "type": "supportingEvidenceList"
    }
  }
}

Definiciones

Nombre	Description
Alert	Alerta de seguridad
AlertEntity	Cambio del conjunto de propiedades en función del tipo de entidad.
alertSeverity	Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	Estado del ciclo de vida de la alerta.
AzureResourceIdentifier	Identificador de recursos de Azure.
CloudError	Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData).
CloudErrorBody	Detalle del error.
ErrorAdditionalInfo	Información adicional sobre el error de administración de recursos.
intent	Intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center.
LogAnalyticsIdentifier	Representa un identificador de ámbito del área de trabajo de Log Analytics.
SupportingEvidence	Cambio del conjunto de propiedades según el tipo de compatibilidadEvidence.

Alert

Alerta de seguridad

Nombre	Tipo	Description
id	string	Id. de recurso
name	string	Nombre del recurso
properties.alertDisplayName	string	Nombre para mostrar de la alerta.
properties.alertType	string	Identificador único de la lógica de detección (todas las instancias de alerta de la misma lógica de detección tendrán el mismo alertType).
properties.alertUri	string	Vínculo directo a la página de alertas en Azure Portal.
properties.compromisedEntity	string	Nombre para mostrar del recurso más relacionado con esta alerta.
properties.correlationKey	string	Clave para correlacionar alertas relacionadas. Alertas con la misma clave de correlación que se considera relacionada.
properties.description	string	Descripción de la actividad sospechosa detectada.
properties.endTimeUtc	string	Hora UTC del último evento o actividad incluido en la alerta en ISO8601 formato.
properties.entities	AlertEntity[]	Lista de entidades relacionadas con la alerta.
properties.extendedLinks	object[]	Vínculos relacionados con la alerta
properties.extendedProperties	object	Propiedades personalizadas para la alerta.
properties.intent	intent	Intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center.
properties.isIncident	boolean	Este campo determina si la alerta es un incidente (una agrupación compuesta de varias alertas) o una única alerta.
properties.processingEndTimeUtc	string	Hora de finalización del procesamiento UTC de la alerta en formato ISO8601.
properties.productComponentName	string	Nombre de Azure Security Center plan de tarifa que activa esta alerta. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	Nombre del producto que publicó esta alerta (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender para punto de conexión, Microsoft Defender para Office, Microsoft Defender for Cloud Apps, etc.).
properties.remediationSteps	string[]	Elementos de acción manual que se deben llevar a cabo para corregir la alerta.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Identificadores de recursos que se pueden usar para dirigir la alerta al grupo de exposición de productos adecuado (inquilino, área de trabajo, suscripción, etc.). Puede haber varios identificadores de tipo diferente por alerta.
properties.severity	alertSeverity	Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	La hora UTC del primer evento o actividad incluida en la alerta en formato ISO8601.
properties.status	alertStatus	Estado del ciclo de vida de la alerta.
properties.subTechniques	string[]	Las sub técnicas relacionadas con la cadena de eliminación detrás de la alerta.
properties.supportingEvidence	SupportingEvidence	Cambio del conjunto de propiedades según el tipo de compatibilidadEvidence.
properties.systemAlertId	string	Identificador único de la alerta.
properties.techniques	string[]	técnicas relacionadas con la cadena de eliminación detrás de la alerta.
properties.timeGeneratedUtc	string	Hora UTC a la que se generó la alerta en ISO8601 formato.
properties.vendorName	string	Nombre del proveedor que genera la alerta.
properties.version	string	Versión de esquema.
type	string	Tipo de recurso

AlertEntity

Cambio del conjunto de propiedades en función del tipo de entidad.

Nombre	Tipo	Description
type	string	Tipo de entidad

alertSeverity

Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Nombre	Tipo	Description
High	string	Alto
Informational	string	Informativo
Low	string	Bajo
Medium	string	Media

alertStatus

Estado del ciclo de vida de la alerta.

Nombre	Tipo	Description
Active	string	A una alerta que no especifica un valor se le asigna el estado "Activo".
Dismissed	string	Alerta descartada como falso positivo
InProgress	string	Una alerta que está en estado de control
Resolved	string	Alerta cerrada después del control

AzureResourceIdentifier

Identificador de recursos de Azure.

Nombre	Tipo	Description
azureResourceId	string	Identificador de recursos de ARM para el recurso en la nube en el que se está alertando
type	string: AzureResource	Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador.

CloudError

Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData).

Nombre	Tipo	Description
error.additionalInfo	ErrorAdditionalInfo[]	Información adicional del error.
error.code	string	Código de error.
error.details	CloudErrorBody[]	Los detalles del error.
error.message	string	El mensaje de error.
error.target	string	Destino del error.

CloudErrorBody

Detalle del error.

Nombre	Tipo	Description
additionalInfo	ErrorAdditionalInfo[]	Información adicional del error.
code	string	Código de error.
details	CloudErrorBody[]	Los detalles del error.
message	string	El mensaje de error.
target	string	Destino del error.

ErrorAdditionalInfo

Información adicional sobre el error de administración de recursos.

Nombre	Tipo	Description
info	object	Información adicional.
type	string	Tipo de información adicional.

intent

Intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center.

Nombre	Tipo	Description
Collection	string	La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración.
CommandAndControl	string	La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino.
CredentialAccess	string	El acceso a credenciales representa técnicas que tienen como resultado el acceso o el control sobre las credenciales del sistema, dominio o servicio que se usan en un entorno empresarial.
DefenseEvasion	string	La evasión defensiva consiste en una serie de técnicas que un adversario puede usar para evadir la detección o evitar otras defensas.
Discovery	string	La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna.
Execution	string	La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto.
Exfiltration	string	La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino.
Exploitation	string	La explotación es la fase en la que un atacante se encarga de poner en marcha el recurso atacado. Esta fase es importante para los hosts de proceso y recursos, como las cuentas de usuario, los certificados, etc.
Impact	string	Los eventos de impacto intentan principalmente reducir directamente la disponibilidad o la integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo.
InitialAccess	string	InitialAccess es la fase en la que un atacante administra para llegar al recurso atacado.
LateralMovement	string	El movimiento lateral se compone de técnicas que permiten a un adversario tener acceso y controlar sistemas remotos en una red y, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos.
Persistence	string	La persistencia es cualquier cambio en el acceso, la acción o la configuración de un sistema que proporcione a un actor de amenaza una presencia persistente en ese sistema.
PreAttack	string	PreAttack podría ser un intento de tener acceso a un recurso determinado, con independencia de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se suele detectar como un intento, que se origina desde fuera de la red, para examinar el sistema de destino y encontrar una manera de hacerlo. Puede leer más detalles sobre la fase PreAttack en la matriz de&ck de MITRE Pre-Att.
PrivilegeEscalation	string	La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red.
Probing	string	El sondeo podría ser un intento de tener acceso a un recurso determinado, independientemente de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación.
Unknown	string	Desconocido

LogAnalyticsIdentifier

Representa un identificador de ámbito del área de trabajo de Log Analytics.

Nombre	Tipo	Description
agentId	string	(opcional) El identificador del agente de LogAnalytics notifica el evento en el que se basa esta alerta.
type	string: LogAnalytics	Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador.
workspaceId	string	Identificador del área de trabajo de LogAnalytics que almacena esta alerta.
workspaceResourceGroup	string	El grupo de recursos de Azure para el área de trabajo de LogAnalytics que almacena esta alerta.
workspaceSubscriptionId	string	Identificador de suscripción de Azure para el área de trabajo de LogAnalytics que almacena esta alerta.

SupportingEvidence

Cambio del conjunto de propiedades según el tipo de compatibilidadEvidence.

Nombre	Tipo	Description
type	string	Tipo de la clase supportingEvidence

Compartir a través de

Alerts - Get Resource Group Level

Parámetros de identificador URI

Respuestas

Seguridad

azure_auth

Scopes

Ejemplos

Get security alert on a resource group from a security data location

Sample Request

Sample Response

Definiciones

Alert

AlertEntity

alertSeverity

alertStatus

AzureResourceIdentifier

CloudError

CloudErrorBody

ErrorAdditionalInfo

intent

LogAnalyticsIdentifier

SupportingEvidence

Recursos adicionales