Alerts - Get Subscription Level

Service:

Defender for Cloud

API Version:

2022-01-01

サブスクリプションに関連付けられているアラートを取得する

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

URI パラメーター

名前	/	必須	型	説明
alertName	path	True	string	アラート オブジェクトの名前
ascLocation	path	True	string	ASC がサブスクリプションのデータを格納する場所。 [場所の取得] から取得できます
subscriptionId	path	True	string	Azure サブスクリプション ID Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	操作の API バージョン

応答

名前	型	説明
200 OK	Alert	OK
Other Status Codes	CloudError	操作に失敗した理由を説明するエラー応答。

セキュリティ

azure_auth

Azure Active Directory OAuth2 フロー

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名前	説明
user_impersonation	ユーザー アカウントの借用

例

Get security alert on a subscription from a security data location

Sample Request

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA?api-version=2022-01-01

Java

/**
 * Samples for Alerts GetSubscriptionLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertSubscriptionLocation_example.json
     */
    /**
     * Sample code: Get security alert on a subscription from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnASubscriptionFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getSubscriptionLevelWithResponse("westeurope",
            "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
func ExampleAlertsClient_GetSubscriptionLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetSubscriptionLevel(ctx, "westeurope", "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"columns": []any{
	// 							"Date",
	// 							"Activity",
	// 							"User",
	// 							"TestedText",
	// 							"TestedValue",
	// 						},
	// 						"rows": []any{
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser2",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser3",
	// 								"true",
	// 								true,
	// 							},
	// 						},
	// 						"title": "Investigate activity test",
	// 					},
	// 					Type: to.Ptr("tabularEvidences"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated with a subscription
 *
 * @summary Get an alert that is associated with a subscription
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
 */
async function getSecurityAlertOnASubscriptionFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const ascLocation = "westeurope";
  const alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getSubscriptionLevel(ascLocation, alertName);
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
// this example is just showing the usage of "Alerts_GetSubscriptionLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this SecurityCenterLocationResource created on azure
// for more information of creating SecurityCenterLocationResource, please refer to the document of SecurityCenterLocationResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
AzureLocation ascLocation = new AzureLocation("westeurope");
ResourceIdentifier securityCenterLocationResourceId = SecurityCenterLocationResource.CreateResourceIdentifier(subscriptionId, ascLocation);
SecurityCenterLocationResource securityCenterLocation = client.GetSecurityCenterLocationResource(securityCenterLocationResourceId);

// get the collection of this SubscriptionSecurityAlertResource
SubscriptionSecurityAlertCollection collection = securityCenterLocation.GetSubscriptionSecurityAlerts();

// invoke the operation
string alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
NullableResponse<SubscriptionSecurityAlertResource> response = await collection.GetIfExistsAsync(alertName);
SubscriptionSecurityAlertResource result = response.HasValue ? response.Value : null;

if (result == null)
{
    Console.WriteLine($"Succeeded with null as result");
}
else
{
    // the variable result is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityAlertData resourceData = result.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:

200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "type": "tabularEvidences",
      "title": "Investigate activity test",
      "columns": [
        "Date",
        "Activity",
        "User",
        "TestedText",
        "TestedValue"
      ],
      "rows": [
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser2",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser3",
          "true",
          true
        ]
      ]
    }
  }
}

定義

名前	説明
Alert	セキュリティ アラート
AlertEntity	エンティティの種類に応じて一連のプロパティを変更する。
alertSeverity	検出された脅威のリスク レベル。 詳細については、https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified を参照してください。
alertStatus	アラートのライフ サイクルの状態。
AzureResourceIdentifier	Azure リソース識別子。
CloudError	失敗した操作のエラーの詳細を返す、すべての Azure Resource Manager API に対する一般的なエラー応答 (これは OData エラー応答形式にも従います)。
CloudErrorBody	エラーの詳細。
ErrorAdditionalInfo	リソース管理エラーの追加情報。
intent	アラートの背後にある強制終了チェーンに関連するインテント。 サポートされている値の一覧と、Azure Security Centerでサポートされているキル チェーン意図の説明。
LogAnalyticsIdentifier	Log Analytics ワークスペーススコープ識別子を表します。
SupportingEvidence	サポートするEvidence の種類に応じて一連のプロパティを変更します。

Alert

セキュリティ アラート

名前	型	説明
id	string	リソース ID
name	string	リソース名
properties.alertDisplayName	string	アラートの表示名。
properties.alertType	string	検出ロジックの一意識別子 (同じ検出ロジックのすべてのアラート インスタンスは、同じ alertType を持ちます)。
properties.alertUri	string	Azure Portal のアラート ページへの直接リンク。
properties.compromisedEntity	string	このアラートに最も関連したリソースの表示名。
properties.correlationKey	string	関連するアラートをコアレーションするためのキー。 関連付けられているものと見なされる同じ関連付けキーを持つアラート。
properties.description	string	検出された疑わしいアクティビティの説明。
properties.endTimeUtc	string	アラートに含まれる最後のイベントまたはアクティビティの UTC 時刻 (ISO8601形式)。
properties.entities	AlertEntity[]	アラートに関連するエンティティのリスト。
properties.extendedLinks	object[]	アラートに関連するリンク
properties.extendedProperties	object	アラートのカスタム プロパティ。
properties.intent	intent	アラートの背後にある強制終了チェーンに関連するインテント。 サポートされている値の一覧と、Azure Security Centerでサポートされているキル チェーン意図の説明。
properties.isIncident	boolean	このフィールドは、アラートがインシデントである (複数のアラートの複合グループ化) か、単一のアラートであるかを決定します。
properties.processingEndTimeUtc	string	アラートの UTC 処理終了時刻 (ISO8601形式)。
properties.productComponentName	string	このアラートに電力を供給する価格レベルAzure Security Center名前。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	このアラートを発行した製品の名前 (Microsoft Sentinel、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office、Microsoft Defender for Cloud Appsなど)。
properties.remediationSteps	string[]	アラートを修復するために実行する手動のアクション項目。
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	適切な製品公開グループ (テナント、ワークスペース、サブスクリプションなど) にアラートを送信するために使用できるリソース識別子。 アラートごとに異なる種類の識別子を複数指定できます。
properties.severity	alertSeverity	検出された脅威のリスク レベル。 詳細については、https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified を参照してください。
properties.startTimeUtc	string	アラートに含まれる最初のイベントまたはアクティビティの UTC 時刻 (ISO8601形式)。
properties.status	alertStatus	アラートのライフ サイクルの状態。
properties.subTechniques	string[]	アラートの背後にあるチェーン関連のサブ手法を強制終了します。
properties.supportingEvidence	SupportingEvidence	サポートするEvidence の種類に応じて一連のプロパティを変更します。
properties.systemAlertId	string	アラートの一意識別子。
properties.techniques	string[]	アラートの背後にあるキル チェーン関連の手法。
properties.timeGeneratedUtc	string	アラートがISO8601形式で生成された UTC 時刻。
properties.vendorName	string	アラートを発生させたベンダーの名前。
properties.version	string	スキーマ バージョン。
type	string	リソースの種類

AlertEntity

エンティティの種類に応じて一連のプロパティを変更する。

名前	型	説明
type	string	エンティティの種類

alertSeverity

検出された脅威のリスク レベル。 詳細については、https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified を参照してください。

名前	型	説明
High	string	高
Informational	string	Informational
Low	string	低
Medium	string	Medium

alertStatus

アラートのライフ サイクルの状態。

名前	型	説明
Active	string	値を指定しないアラートには、状態 'Active' が割り当てられます
Dismissed	string	誤検知として無視されたアラート
InProgress	string	処理状態のアラート
Resolved	string	処理後に閉じたアラート

AzureResourceIdentifier

Azure リソース識別子。

名前	型	説明
azureResourceId	string	アラート対象のクラウド リソースの ARM リソース識別子
type	string: AzureResource	アラートごとに異なる種類の複数の識別子を指定できます。このフィールドは識別子の種類を指定します。

CloudError

失敗した操作のエラーの詳細を返す、すべての Azure Resource Manager API に対する一般的なエラー応答 (これは OData エラー応答形式にも従います)。

名前	型	説明
error.additionalInfo	ErrorAdditionalInfo[]	エラーの追加情報。
error.code	string	エラー コード。
error.details	CloudErrorBody[]	エラーの詳細です。
error.message	string	エラー メッセージ。
error.target	string	エラーのターゲット。

CloudErrorBody

エラーの詳細。

名前	型	説明
additionalInfo	ErrorAdditionalInfo[]	エラーの追加情報。
code	string	エラー コード。
details	CloudErrorBody[]	エラーの詳細です。
message	string	エラー メッセージ。
target	string	エラーのターゲット。

ErrorAdditionalInfo

リソース管理エラーの追加情報。

名前	型	説明
info	object	追加情報。
type	string	追加情報の種類。

intent

アラートの背後にある強制終了チェーンに関連するインテント。 サポートされている値の一覧と、Azure Security Centerでサポートされているキル チェーン意図の説明。

名前	型	説明
Collection	string	コレクションは、窃盗の前に、対象ネットワークから、機密ファイルなどの情報を識別および収集するための手法で構成されます。
CommandAndControl	string	指揮統制の手段は、ターゲット ネットワーク内で攻撃者の管理下にあるシステムと攻撃者が通信する方法を表します。
CredentialAccess	string	資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、サービスの資格情報にアクセスしたり制御したりするための技法を表します。
DefenseEvasion	string	防御回避には、敵対者が検出を回避したり、他の防御を回避したりするために使用できる技法が含まれます。
Discovery	string	検出には、敵対者がシステムと内部ネットワークに関する知識を得られるようにする技法が含まれます。
Execution	string	実行手段は、ローカルまたはリモート システムで敵対者によって制御されたコードを実行するための手法を表します。
Exfiltration	string	窃盗は、敵対者が対象ネットワークからファイルや情報を削除したり、削除するのに役立てたりする技法と属性を指します。
Exploitation	string	悪用は、攻撃者が攻撃対象リソースに足掛かりを得ようとする段階です。 この段階は、コンピューティング ホストと、ユーザー アカウントや証明書などのリソースに関連しています。
Impact	string	影響イベントでは、主として、システム、サービス、ネットワークの可用性や整合性を直接低下させることが試みられます。ビジネスまたは運用プロセスに影響を与えるデータの操作が含まれます。
InitialAccess	string	InitialAccess は、攻撃者が攻撃されたリソースの足掛かりを得るために管理するステージです。
LateralMovement	string	横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成されており、リモート システムでのツールの実行が含まれることがありますが、必ず含まれるわけではありません。
Persistence	string	永続化とは、脅威アクターにシステムでの永続的プレゼンスを与える、システムに対するアクセス、操作、構成の変更です。
PreAttack	string	攻撃前とは、悪意のある目的に関係なく特定のリソースにアクセスしようとすること、または攻撃の前に情報を収集するためにターゲット システムにアクセスを試みて失敗することです。 通常、この手順は、ターゲット システムをスキャンして方法を見つけるための、ネットワークの外部からの試行として検出されます。 PreAttack ステージの詳細については、 MITRE Pre-Att&ck matrix で確認できます。
PrivilegeEscalation	string	特権エスカレーションとは、敵対者がシステムまたはネットワークの高レベルのアクセス許可を取得できるようにする操作の結果です。
Probing	string	プローブは、悪意のある目的に関係なく特定のリソースにアクセスしようとすること、または攻撃の前に情報を収集するためにターゲット システムにアクセスを試みて失敗することです。
Unknown	string	Unknown

LogAnalyticsIdentifier

Log Analytics ワークスペーススコープ識別子を表します。

名前	型	説明
agentId	string	(省略可能)このアラートの基になっているイベントを報告する LogAnalytics エージェント ID。
type	string: LogAnalytics	アラートごとに異なる種類の複数の識別子を指定できます。このフィールドは識別子の種類を指定します。
workspaceId	string	このアラートを格納する LogAnalytics ワークスペース ID。
workspaceResourceGroup	string	このアラートを格納している LogAnalytics ワークスペースの Azure リソース グループ
workspaceSubscriptionId	string	このアラートを格納している LogAnalytics ワークスペースの Azure サブスクリプション ID。

SupportingEvidence

サポートするEvidence の種類に応じて一連のプロパティを変更します。

名前	型	説明
type	string	supportingEvidence の種類