Alert interface
Avviso di sicurezza
- Extends
Proprietà
| alert |
Nome visualizzato dell'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| alert |
Identificatore univoco per la logica di rilevamento (tutte le istanze di avviso della stessa logica di rilevamento avranno lo stesso alertType). NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| alert |
Collegamento diretto alla pagina di avviso nel portale di Azure. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| compromised |
Nome visualizzato della risorsa più correlata a questo avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| correlation |
Chiave per la correlazione degli avvisi correlati. Avvisi con la stessa chiave di correlazione considerata correlata. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| description | Descrizione dell'attività sospetta rilevata. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| end |
Ora UTC dell'ultimo evento o dell'attività inclusa nell'avviso in formato ISO8601. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| entities | Elenco di entità correlate all'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| extended |
Collegamenti correlati all'avviso NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| extended |
Proprietà personalizzate per l'avviso. |
| intent | Finalità correlata alla kill chain dietro l'avviso. Per un elenco di valori supportati e spiegazioni delle finalità della catena di terminazioni supportate del Centro sicurezza di Azure. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| is |
Questo campo determina se l'avviso è un evento imprevisto (un raggruppamento composto di diversi avvisi) o un singolo avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| processing |
Ora di fine dell'elaborazione UTC dell'avviso nel formato ISO8601. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| product |
Nome del piano tariffario del Centro sicurezza di Azure che alimenta questo avviso. Altre informazioni: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| product |
Nome del prodotto che ha pubblicato questo avviso (Microsoft Sentinel, Microsoft Defender per identità, Microsoft Defender per endpoint, Microsoft Defender per Office, Microsoft Defender for Cloud Apps e così via). NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| remediation |
Elementi di azione manuali da intraprendere per correggere l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| resource |
Identificatori di risorsa che possono essere usati per indirizzare l'avviso al gruppo di esposizione del prodotto corretto (tenant, area di lavoro, sottoscrizione e così via). Possono essere presenti più identificatori di tipo diverso per ogni avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| severity | Livello di rischio della minaccia rilevata. Altre informazioni: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| start |
Ora UTC del primo evento o dell'attività inclusa nell'avviso in formato ISO8601. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| status | Stato del ciclo di vita dell'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| sub |
Tecniche secondarie correlate alla catena di kill dietro l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| supporting |
Modifica del set di proprietà in base al tipo di supportoEvidence. |
| system |
Identificatore univoco per l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| techniques | tecniche correlate alla kill chain dietro l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| time |
Ora UTC in cui l'avviso è stato generato nel formato ISO8601. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| vendor |
Nome del fornitore che genera l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| version | Versione dello schema. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
Proprietà ereditate
| id | NOTA ID risorsa: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| name | NOME RISORSA NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
| type | NOTA tipo di risorsa: questa proprietà non verrà serializzata. Può essere popolato solo dal server. |
Dettagli proprietà
alertDisplayName
Nome visualizzato dell'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
alertDisplayName?: stringValore della proprietà
string
alertType
Identificatore univoco per la logica di rilevamento (tutte le istanze di avviso della stessa logica di rilevamento avranno lo stesso alertType). NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
alertType?: stringValore della proprietà
string
alertUri
Collegamento diretto alla pagina di avviso nel portale di Azure. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
alertUri?: stringValore della proprietà
string
compromisedEntity
Nome visualizzato della risorsa più correlata a questo avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
compromisedEntity?: stringValore della proprietà
string
correlationKey
Chiave per la correlazione degli avvisi correlati. Avvisi con la stessa chiave di correlazione considerata correlata. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
correlationKey?: stringValore della proprietà
string
description
Descrizione dell'attività sospetta rilevata. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
description?: stringValore della proprietà
string
endTimeUtc
Ora UTC dell'ultimo evento o dell'attività inclusa nell'avviso in formato ISO8601. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
endTimeUtc?: DateValore della proprietà
Date
entities
Elenco di entità correlate all'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
entities?: AlertEntity[]Valore della proprietà
extendedLinks
Collegamenti correlati all'avviso NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
extendedLinks?: {[propertyName: string]: string}[]Valore della proprietà
{[propertyName: string]: string}[]
extendedProperties
Proprietà personalizzate per l'avviso.
extendedProperties?: {[propertyName: string]: string}Valore della proprietà
{[propertyName: string]: string}
intent
Finalità correlata alla kill chain dietro l'avviso. Per un elenco di valori supportati e spiegazioni delle finalità della catena di terminazioni supportate del Centro sicurezza di Azure. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
intent?: stringValore della proprietà
string
isIncident
Questo campo determina se l'avviso è un evento imprevisto (un raggruppamento composto di diversi avvisi) o un singolo avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
isIncident?: booleanValore della proprietà
boolean
processingEndTimeUtc
Ora di fine dell'elaborazione UTC dell'avviso nel formato ISO8601. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
processingEndTimeUtc?: DateValore della proprietà
Date
productComponentName
Nome del piano tariffario del Centro sicurezza di Azure che alimenta questo avviso. Altre informazioni: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
productComponentName?: stringValore della proprietà
string
productName
Nome del prodotto che ha pubblicato questo avviso (Microsoft Sentinel, Microsoft Defender per identità, Microsoft Defender per endpoint, Microsoft Defender per Office, Microsoft Defender for Cloud Apps e così via). NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
productName?: stringValore della proprietà
string
remediationSteps
Elementi di azione manuali da intraprendere per correggere l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
remediationSteps?: string[]Valore della proprietà
string[]
resourceIdentifiers
Identificatori di risorsa che possono essere usati per indirizzare l'avviso al gruppo di esposizione del prodotto corretto (tenant, area di lavoro, sottoscrizione e così via). Possono essere presenti più identificatori di tipo diverso per ogni avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
resourceIdentifiers?: ResourceIdentifierUnion[]Valore della proprietà
severity
Livello di rischio della minaccia rilevata. Altre informazioni: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
severity?: stringValore della proprietà
string
startTimeUtc
Ora UTC del primo evento o dell'attività inclusa nell'avviso in formato ISO8601. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
startTimeUtc?: DateValore della proprietà
Date
status
Stato del ciclo di vita dell'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
status?: stringValore della proprietà
string
subTechniques
Tecniche secondarie correlate alla catena di kill dietro l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
subTechniques?: string[]Valore della proprietà
string[]
supportingEvidence
Modifica del set di proprietà in base al tipo di supportoEvidence.
supportingEvidence?: AlertPropertiesSupportingEvidenceValore della proprietà
systemAlertId
Identificatore univoco per l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
systemAlertId?: stringValore della proprietà
string
techniques
tecniche correlate alla kill chain dietro l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
techniques?: string[]Valore della proprietà
string[]
timeGeneratedUtc
Ora UTC in cui l'avviso è stato generato nel formato ISO8601. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
timeGeneratedUtc?: DateValore della proprietà
Date
vendorName
Nome del fornitore che genera l'avviso. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
vendorName?: stringValore della proprietà
string
version
Versione dello schema. NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
version?: stringValore della proprietà
string
Dettagli proprietà ereditate
id
NOTA ID risorsa: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
id?: stringValore della proprietà
string
ereditato daResource.id
name
NOME RISORSA NOTA: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
name?: stringValore della proprietà
string
ereditato daResource.name
type
NOTA tipo di risorsa: questa proprietà non verrà serializzata. Può essere popolato solo dal server.
type?: stringValore della proprietà
string
ereditato daresource.type
