Alerts - Get Subscription Level
구독과 연결된 경고 가져오기
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01URI 매개 변수
| Name | In(다음 안에) | 필수 | 형식 | Description |
|---|---|---|---|---|
|
alert
|
path | True |
string |
경고 개체의 이름 |
|
asc
|
path | True |
string |
ASC가 구독의 데이터를 저장하는 위치입니다. 위치 가져오기에서 검색할 수 있습니다. |
|
subscription
|
path | True |
string (uuid) |
대상 구독의 ID입니다. 값은 UUID여야 합니다. |
|
api-version
|
query | True |
string minLength: 1 |
이 작업에 사용할 API 버전입니다. |
응답
| Name | 형식 | Description |
|---|---|---|
| 200 OK |
Azure 작업이 성공적으로 완료되었습니다. |
|
| Other Status Codes |
예기치 않은 오류 응답입니다. |
보안
azure_auth
Azure Active Directory OAuth2 흐름.
형식:
oauth2
Flow:
implicit
권한 부여 URL:
https://login.microsoftonline.com/common/oauth2/authorize
범위
| Name | Description |
|---|---|
| user_impersonation | 사용자 계정 가장 |
예제
Get security alert on a subscription from a security data location
샘플 요청
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA?api-version=2022-01-01
샘플 응답
{
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"properties": {
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"alertType": "VM_EICAR",
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"compromisedEntity": "vm1",
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"entities": [
{
"type": "ip",
"address": "192.0.2.1",
"location": {
"asn": 6584,
"city": "sonning",
"countryCode": "gb",
"latitude": 51.468,
"longitude": -0.909,
"state": "wokingham"
}
}
],
"extendedLinks": [
{
"Category": "threat_reports",
"Href": "https://contoso.com/reports/DisplayReport",
"Label": "Report: RDP Brute Forcing",
"Type": "webLink"
}
],
"extendedProperties": {
"Property1": "Property1 information"
},
"intent": "Execution",
"isIncident": true,
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"productComponentName": "testName",
"productName": "Azure Security Center",
"remediationSteps": [
"No further action is needed."
],
"resourceIdentifiers": [
{
"type": "AzureResource",
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"
},
{
"type": "LogAnalytics",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceResourceGroup": "myRg1",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23"
}
],
"severity": "High",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"status": "Active",
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "tabularEvidences",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
],
"title": "Investigate activity test"
},
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"vendorName": "Microsoft",
"version": "2022-01-01"
}
}정의
| Name | Description |
|---|---|
| Alert |
보안 경고 |
|
Alert |
엔터티 형식에 따라 속성 집합을 변경합니다. |
|
Alert |
supportingEvidence 형식에 따라 속성 집합을 변경합니다. |
|
Alert |
검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
Alert |
경고의 수명 주기 상태입니다. |
|
Azure |
Azure 리소스 식별자입니다. |
|
Common. |
실패한 작업에 대한 오류 세부 정보를 반환하는 모든 Azure Resource Manager API에 대한 일반적인 오류 응답입니다. 또한 OData 오류 응답 형식을 따릅니다. |
|
Common. |
오류 세부 정보입니다. |
|
created |
리소스를 만든 ID의 형식입니다. |
|
Error |
리소스 관리 오류 추가 정보입니다. |
| Intent |
경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다. |
|
Log |
Log Analytics 작업 영역 범위 식별자를 나타냅니다. |
|
Resource |
경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다. |
|
system |
리소스의 생성 및 마지막 수정과 관련된 메타데이터입니다. |
Alert
보안 경고
| Name | 형식 | Description |
|---|---|---|
| id |
string (arm-id) |
리소스에 대한 정규화된 리소스 ID입니다. 예: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
리소스의 이름 |
| properties.alertDisplayName |
string |
경고의 표시 이름입니다. |
| properties.alertType |
string |
검색 논리에 대한 고유 식별자입니다(동일한 검색 논리의 모든 경고 인스턴스에는 동일한 alertType이 포함됨). |
| properties.alertUri |
string |
Azure Portal의 경고 페이지에 대한 직접 링크입니다. |
| properties.compromisedEntity |
string |
이 경고와 가장 관련된 리소스의 표시 이름입니다. |
| properties.correlationKey |
string |
관련 경고를 코어레이팅하기 위한 키입니다. 관련된 것으로 간주되는 상관 관계 키가 동일한 경고입니다. |
| properties.description |
string |
검색된 의심스러운 활동에 대한 설명입니다. |
| properties.endTimeUtc |
string (date-time) |
경고에 포함된 마지막 이벤트 또는 활동의 UTC 시간(ISO8601 형식)입니다. |
| properties.entities |
경고와 관련된 엔터티 목록입니다. |
|
| properties.extendedLinks |
object[] |
경고와 관련된 링크 |
| properties.extendedProperties |
object |
경고에 대한 사용자 지정 속성입니다. |
| properties.intent |
경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다. |
|
| properties.isIncident |
boolean |
이 필드는 경고가 인시던트(여러 경고의 복합 그룹화) 또는 단일 경고인지를 결정합니다. |
| properties.processingEndTimeUtc |
string (date-time) |
경고의 UTC 처리 종료 시간(ISO8601 형식)입니다. |
| properties.productComponentName |
string |
이 경고를 구동하는 Azure Security Center 가격 책정 계층의 이름입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
| properties.productName |
string |
이 경고를 게시한 제품의 이름입니다(Microsoft Sentinel, Microsoft Defender for Identity, 엔드포인트용 Microsoft Defender, Office용 Microsoft Defender, 클라우드 앱용 Microsoft Defender 등). |
| properties.remediationSteps |
string[] |
경고를 수정하기 위해 수행할 수동 작업 항목입니다. |
| properties.resourceIdentifiers | ResourceIdentifier[]: |
경고를 올바른 제품 노출 그룹(테넌트, 작업 영역, 구독 등)으로 전송하는 데 사용할 수 있는 리소스 식별자입니다. 경고당 서로 다른 유형의 여러 식별자가 있을 수 있습니다. |
| properties.severity |
검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
| properties.startTimeUtc |
string (date-time) |
경고에 포함된 첫 번째 이벤트 또는 활동의 UTC 시간(ISO8601 형식)입니다. |
| properties.status |
경고의 수명 주기 상태입니다. |
|
| properties.subTechniques |
string[] |
경고 뒤에 체인 관련 하위 기술을 종료합니다. |
| properties.supportingEvidence |
supportingEvidence 형식에 따라 속성 집합을 변경합니다. |
|
| properties.systemAlertId |
string |
경고의 고유 식별자입니다. |
| properties.techniques |
string[] |
경고 뒤에 체인 관련 기술을 종료합니다. |
| properties.timeGeneratedUtc |
string (date-time) |
경고가 ISO8601 형식으로 생성된 UTC 시간입니다. |
| properties.vendorName |
string |
경고를 발생시키는 공급업체의 이름입니다. |
| properties.version |
string |
스키마 버전입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스의 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
AlertEntity
엔터티 형식에 따라 속성 집합을 변경합니다.
| Name | 형식 | Description |
|---|---|---|
| type |
string |
엔터티 형식 |
AlertPropertiesSupportingEvidence
supportingEvidence 형식에 따라 속성 집합을 변경합니다.
| Name | 형식 | Description |
|---|---|---|
| type |
string |
supportingEvidence의 형식 |
AlertSeverity
검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
| 값 | Description |
|---|---|
| Informational |
정보 |
| Low |
낮다 |
| Medium |
보통 |
| High |
높다 |
AlertStatus
경고의 수명 주기 상태입니다.
| 값 | Description |
|---|---|
| Active |
값을 지정하지 않는 경고에 '활성' 상태가 할당됩니다. |
| InProgress |
처리 상태에 있는 경고 |
| Resolved |
처리 후 경고가 닫혔습니다. |
| Dismissed |
경고가 가양성으로 해제됨 |
AzureResourceIdentifier
Azure 리소스 식별자입니다.
| Name | 형식 | Description |
|---|---|---|
| azureResourceId |
string |
경고를 받는 클라우드 리소스에 대한 ARM 리소스 식별자 |
| type |
string:
Azure |
경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다. |
Common.CloudError
실패한 작업에 대한 오류 세부 정보를 반환하는 모든 Azure Resource Manager API에 대한 일반적인 오류 응답입니다. 또한 OData 오류 응답 형식을 따릅니다.
| Name | 형식 | Description |
|---|---|---|
| error.additionalInfo |
오류 추가 정보입니다. |
|
| error.code |
string |
오류 코드입니다. |
| error.details |
오류 세부 정보입니다. |
|
| error.message |
string |
오류 메시지입니다. |
| error.target |
string |
오류 대상입니다. |
Common.CloudErrorBody
오류 세부 정보입니다.
| Name | 형식 | Description |
|---|---|---|
| additionalInfo |
오류 추가 정보입니다. |
|
| code |
string |
오류 코드입니다. |
| details |
오류 세부 정보입니다. |
|
| message |
string |
오류 메시지입니다. |
| target |
string |
오류 대상입니다. |
createdByType
리소스를 만든 ID의 형식입니다.
| 값 | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
ErrorAdditionalInfo
리소스 관리 오류 추가 정보입니다.
| Name | 형식 | Description |
|---|---|---|
| info |
object |
추가 정보입니다. |
| type |
string |
추가 정보 유형입니다. |
Intent
경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다.
| 값 | Description |
|---|---|
| Unknown |
알려지지 않은 |
| PreAttack |
사전 공격(PreAttack)은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하는 데 실패한 시도일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 시작되어 대상 시스템을 검사하고 방법을 찾으려는 시도로 검색됩니다. PreAttack 단계에 대한 자세한 내용은 MITRE Pre-Att&ck 행렬읽을 수 있습니다. |
| InitialAccess |
InitialAccess는 공격자가 공격받은 리소스에 대한 발판을 마련하는 단계입니다. |
| Persistence |
지속성은 위협 행위자에게 해당 시스템에 지속적인 존재를 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. |
| PrivilegeEscalation |
권한 상승은 악의적 사용자가 시스템 또는 네트워크에 대해 더 높은 수준의 권한을 얻을 수 있도록 하는 작업의 결과입니다. |
| DefenseEvasion |
방어 회피는 악의적 사용자가 탐지를 회피하거나 다른 방어를 피하기 위해 사용할 수 있는 기술로 구성됩니다. |
| CredentialAccess |
자격 증명 액세스는 엔터프라이즈 환경 내에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 제어하는 기술을 나타냅니다. |
| Discovery |
검색은 악의적 사용자가 시스템 및 내부 네트워크에 대한 지식을 얻을 수 있도록 하는 기술로 구성됩니다. |
| LateralMovement |
횡적 이동은 악의적 사용자가 네트워크의 원격 시스템에 액세스하고 제어할 수 있도록 하는 기술로 구성되며, 반드시 원격 시스템에서 도구를 실행할 필요는 없습니다. |
| Execution |
실행 전술은 로컬 또는 원격 시스템에서 악의적으로 제어되는 코드를 실행하는 기술을 나타냅니다. |
| Collection |
컬렉션은 반출 전에 대상 네트워크에서 중요한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. |
| Exfiltration |
반출은 악의적 사용자가 대상 네트워크에서 파일 및 정보를 제거하는 데 도움이 되는 기술 및 특성을 나타냅니다. |
| CommandAndControl |
명령 및 제어 전술은 악의적 사용자가 대상 네트워크 내에서 제어하는 시스템과 통신하는 방법을 나타냅니다. |
| Impact |
영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이려고 합니다. 비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작을 포함합니다. |
| Probing |
검색은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하지 못한 시도일 수 있습니다. |
| Exploitation |
악용은 공격자가 공격받은 리소스에 대한 발판을 마련하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등과 같은 컴퓨팅 호스트 및 리소스와 관련이 있습니다. |
LogAnalyticsIdentifier
Log Analytics 작업 영역 범위 식별자를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| agentId |
string |
(선택 사항) 이 경고가 기반으로 하는 이벤트를 보고하는 LogAnalytics 에이전트 ID입니다. |
| type |
string:
Log |
경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다. |
| workspaceId |
string |
이 경고를 저장하는 LogAnalytics 작업 영역 ID입니다. |
| workspaceResourceGroup |
string |
이 경고를 저장하는 LogAnalytics 작업 영역에 대한 Azure 리소스 그룹 |
| workspaceSubscriptionId |
string pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$ |
이 경고를 저장하는 LogAnalytics 작업 영역의 Azure 구독 ID입니다. |
ResourceIdentifierType
경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다.
| 값 | Description |
|---|---|
| AzureResource |
AzureResource |
| LogAnalytics |
LogAnalytics |
systemData
리소스의 생성 및 마지막 수정과 관련된 메타데이터입니다.
| Name | 형식 | Description |
|---|---|---|
| createdAt |
string (date-time) |
리소스 만들기의 타임스탬프(UTC)입니다. |
| createdBy |
string |
리소스를 만든 ID입니다. |
| createdByType |
리소스를 만든 ID의 형식입니다. |
|
| lastModifiedAt |
string (date-time) |
리소스 마지막 수정의 타임스탬프(UTC) |
| lastModifiedBy |
string |
리소스를 마지막으로 수정한 ID입니다. |
| lastModifiedByType |
리소스를 마지막으로 수정한 ID의 형식입니다. |