Alerts - Get Resource Group Level
Obtener una alerta asociada a un grupo de recursos o a un recurso de un grupo de recursos
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01
Parámetros de identificador URI
Nombre | En | Requerido | Tipo | Description |
---|---|---|---|---|
alert
|
path | True |
string |
Nombre del objeto de alerta |
asc
|
path | True |
string |
Ubicación donde ASC almacena los datos de la suscripción. se puede recuperar desde Get locations |
resource
|
path | True |
string |
Nombre del grupo de recursos dentro de la suscripción del usuario. El nombre distingue mayúsculas de minúsculas. Regex pattern: |
subscription
|
path | True |
string |
Identificador de suscripción de Azure Regex pattern: |
api-version
|
query | True |
string |
Versión de API para la operación |
Respuestas
Nombre | Tipo | Description |
---|---|---|
200 OK |
Aceptar |
|
Other Status Codes |
Respuesta de error que describe el motivo del error de la operación. |
Seguridad
azure_auth
Flujo OAuth2 de Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nombre | Description |
---|---|
user_impersonation | suplantación de su cuenta de usuario |
Ejemplos
Get security alert on a resource group from a security data location
Sample Request
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a?api-version=2022-01-01
Sample Response
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_EICAR",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"severity": "High",
"intent": "Execution",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"No further action is needed."
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"entities": [
{
"address": "192.0.2.1",
"location": {
"countryCode": "gb",
"state": "wokingham",
"city": "sonning",
"longitude": -0.909,
"latitude": 51.468,
"asn": 6584
},
"type": "ip"
}
],
"isIncident": true,
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"extendedProperties": {
"Property1": "Property1 information"
},
"compromisedEntity": "vm1",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"supportingEvidenceList": [
{
"evidenceElements": [
{
"text": {
"arguments": {
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
},
"domainName": {
"type": "string",
"value": "domainName"
}
},
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
"fallback": "Actor enumerated UseDesKey on domain1.test.local"
},
"type": "evidenceElement",
"innerElements": null
}
],
"type": "nestedList"
},
{
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
],
"type": "supportingEvidenceList"
}
}
}
Definiciones
Nombre | Description |
---|---|
Alert |
Alerta de seguridad |
Alert |
Cambio del conjunto de propiedades en función del tipo de entidad. |
alert |
Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
alert |
Estado del ciclo de vida de la alerta. |
Azure |
Identificador de recursos de Azure. |
Cloud |
Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData). |
Cloud |
Detalle del error. |
Error |
Información adicional sobre el error de administración de recursos. |
intent |
Intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center. |
Log |
Representa un identificador de ámbito del área de trabajo de Log Analytics. |
Supporting |
Cambio del conjunto de propiedades según el tipo de compatibilidadEvidence. |
Alert
Alerta de seguridad
Nombre | Tipo | Description |
---|---|---|
id |
string |
Id. de recurso |
name |
string |
Nombre del recurso |
properties.alertDisplayName |
string |
Nombre para mostrar de la alerta. |
properties.alertType |
string |
Identificador único de la lógica de detección (todas las instancias de alerta de la misma lógica de detección tendrán el mismo alertType). |
properties.alertUri |
string |
Vínculo directo a la página de alertas en Azure Portal. |
properties.compromisedEntity |
string |
Nombre para mostrar del recurso más relacionado con esta alerta. |
properties.correlationKey |
string |
Clave para correlacionar alertas relacionadas. Alertas con la misma clave de correlación que se considera relacionada. |
properties.description |
string |
Descripción de la actividad sospechosa detectada. |
properties.endTimeUtc |
string |
Hora UTC del último evento o actividad incluido en la alerta en ISO8601 formato. |
properties.entities |
Lista de entidades relacionadas con la alerta. |
|
properties.extendedLinks |
object[] |
Vínculos relacionados con la alerta |
properties.extendedProperties |
object |
Propiedades personalizadas para la alerta. |
properties.intent |
Intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center. |
|
properties.isIncident |
boolean |
Este campo determina si la alerta es un incidente (una agrupación compuesta de varias alertas) o una única alerta. |
properties.processingEndTimeUtc |
string |
Hora de finalización del procesamiento UTC de la alerta en formato ISO8601. |
properties.productComponentName |
string |
Nombre de Azure Security Center plan de tarifa que activa esta alerta. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
properties.productName |
string |
Nombre del producto que publicó esta alerta (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender para punto de conexión, Microsoft Defender para Office, Microsoft Defender for Cloud Apps, etc.). |
properties.remediationSteps |
string[] |
Elementos de acción manual que se deben llevar a cabo para corregir la alerta. |
properties.resourceIdentifiers | ResourceIdentifier[]: |
Identificadores de recursos que se pueden usar para dirigir la alerta al grupo de exposición de productos adecuado (inquilino, área de trabajo, suscripción, etc.). Puede haber varios identificadores de tipo diferente por alerta. |
properties.severity |
Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
properties.startTimeUtc |
string |
La hora UTC del primer evento o actividad incluida en la alerta en formato ISO8601. |
properties.status |
Estado del ciclo de vida de la alerta. |
|
properties.subTechniques |
string[] |
Las sub técnicas relacionadas con la cadena de eliminación detrás de la alerta. |
properties.supportingEvidence |
Cambio del conjunto de propiedades según el tipo de compatibilidadEvidence. |
|
properties.systemAlertId |
string |
Identificador único de la alerta. |
properties.techniques |
string[] |
técnicas relacionadas con la cadena de eliminación detrás de la alerta. |
properties.timeGeneratedUtc |
string |
Hora UTC a la que se generó la alerta en ISO8601 formato. |
properties.vendorName |
string |
Nombre del proveedor que genera la alerta. |
properties.version |
string |
Versión de esquema. |
type |
string |
Tipo de recurso |
AlertEntity
Cambio del conjunto de propiedades en función del tipo de entidad.
Nombre | Tipo | Description |
---|---|---|
type |
string |
Tipo de entidad |
alertSeverity
Nivel de riesgo de la amenaza detectada. Más información: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
Nombre | Tipo | Description |
---|---|---|
High |
string |
Alto |
Informational |
string |
Informativo |
Low |
string |
Bajo |
Medium |
string |
Media |
alertStatus
Estado del ciclo de vida de la alerta.
Nombre | Tipo | Description |
---|---|---|
Active |
string |
A una alerta que no especifica un valor se le asigna el estado "Activo". |
Dismissed |
string |
Alerta descartada como falso positivo |
InProgress |
string |
Una alerta que está en estado de control |
Resolved |
string |
Alerta cerrada después del control |
AzureResourceIdentifier
Identificador de recursos de Azure.
Nombre | Tipo | Description |
---|---|---|
azureResourceId |
string |
Identificador de recursos de ARM para el recurso en la nube en el que se está alertando |
type |
string:
Azure |
Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador. |
CloudError
Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData).
Nombre | Tipo | Description |
---|---|---|
error.additionalInfo |
Información adicional del error. |
|
error.code |
string |
Código de error. |
error.details |
Los detalles del error. |
|
error.message |
string |
El mensaje de error. |
error.target |
string |
Destino del error. |
CloudErrorBody
Detalle del error.
Nombre | Tipo | Description |
---|---|---|
additionalInfo |
Información adicional del error. |
|
code |
string |
Código de error. |
details |
Los detalles del error. |
|
message |
string |
El mensaje de error. |
target |
string |
Destino del error. |
ErrorAdditionalInfo
Información adicional sobre el error de administración de recursos.
Nombre | Tipo | Description |
---|---|---|
info |
object |
Información adicional. |
type |
string |
Tipo de información adicional. |
intent
Intención relacionada con la cadena de eliminación detrás de la alerta. Para obtener una lista de valores admitidos y explicaciones de las intenciones de cadena de eliminación admitidas de Azure Security Center.
Nombre | Tipo | Description |
---|---|---|
Collection |
string |
La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración. |
CommandAndControl |
string |
La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino. |
CredentialAccess |
string |
El acceso a credenciales representa técnicas que tienen como resultado el acceso o el control sobre las credenciales del sistema, dominio o servicio que se usan en un entorno empresarial. |
DefenseEvasion |
string |
La evasión defensiva consiste en una serie de técnicas que un adversario puede usar para evadir la detección o evitar otras defensas. |
Discovery |
string |
La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna. |
Execution |
string |
La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto. |
Exfiltration |
string |
La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino. |
Exploitation |
string |
La explotación es la fase en la que un atacante se encarga de poner en marcha el recurso atacado. Esta fase es importante para los hosts de proceso y recursos, como las cuentas de usuario, los certificados, etc. |
Impact |
string |
Los eventos de impacto intentan principalmente reducir directamente la disponibilidad o la integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. |
InitialAccess |
string |
InitialAccess es la fase en la que un atacante administra para llegar al recurso atacado. |
LateralMovement |
string |
El movimiento lateral se compone de técnicas que permiten a un adversario tener acceso y controlar sistemas remotos en una red y, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. |
Persistence |
string |
La persistencia es cualquier cambio en el acceso, la acción o la configuración de un sistema que proporcione a un actor de amenaza una presencia persistente en ese sistema. |
PreAttack |
string |
PreAttack podría ser un intento de tener acceso a un recurso determinado, con independencia de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se suele detectar como un intento, que se origina desde fuera de la red, para examinar el sistema de destino y encontrar una manera de hacerlo. Puede leer más detalles sobre la fase PreAttack en la matriz de&ck de MITRE Pre-Att. |
PrivilegeEscalation |
string |
La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. |
Probing |
string |
El sondeo podría ser un intento de tener acceso a un recurso determinado, independientemente de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación. |
Unknown |
string |
Desconocido |
LogAnalyticsIdentifier
Representa un identificador de ámbito del área de trabajo de Log Analytics.
Nombre | Tipo | Description |
---|---|---|
agentId |
string |
(opcional) El identificador del agente de LogAnalytics notifica el evento en el que se basa esta alerta. |
type |
string:
Log |
Puede haber varios identificadores de tipo diferente por alerta; este campo especifica el tipo de identificador. |
workspaceId |
string |
Identificador del área de trabajo de LogAnalytics que almacena esta alerta. |
workspaceResourceGroup |
string |
El grupo de recursos de Azure para el área de trabajo de LogAnalytics que almacena esta alerta. |
workspaceSubscriptionId |
string |
Identificador de suscripción de Azure para el área de trabajo de LogAnalytics que almacena esta alerta. |
SupportingEvidence
Cambio del conjunto de propiedades según el tipo de compatibilidadEvidence.
Nombre | Tipo | Description |
---|---|---|
type |
string |
Tipo de la clase supportingEvidence |