Alerts - List By Resource Group

서비스:

Defender for Cloud

API 버전:

2022-01-01

리소스 그룹과 연결된 모든 경고 나열

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2022-01-01

URI 매개 변수

Name	In(다음 안에)	필수	형식	Description
resourceGroupName	path	True	string minLength: 1 maxLength: 90	리소스 그룹의 이름입니다. 이름은 대/소문자를 구분하지 않습니다.
subscriptionId	path	True	string (uuid)	대상 구독의 ID입니다. 값은 UUID여야 합니다.
api-version	query	True	string minLength: 1	이 작업에 사용할 API 버전입니다.

응답

Name	형식	Description
200 OK	AlertList	요청이 성공했습니다.
Other Status Codes	Common.CloudError	예기치 않은 오류 응답입니다.

보안

azure_auth

Azure Active Directory OAuth2 흐름.

형식: oauth2
Flow: implicit
권한 부여 URL: https://login.microsoftonline.com/common/oauth2/authorize

범위

Name	Description
user_impersonation	사용자 계정 가장

예제

Get security alerts on a resource group

샘플 요청

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2022-01-01

샘플 응답

상태 코드:

200

{
  "value": [
    {
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "properties": {
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "alertType": "VM_EICAR",
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "compromisedEntity": "vm1",
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "entities": [
          {
            "type": "ip",
            "address": "192.0.2.1",
            "location": {
              "asn": 6584,
              "city": "sonning",
              "countryCode": "gb",
              "latitude": 51.468,
              "longitude": -0.909,
              "state": "wokingham"
            }
          }
        ],
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Label": "Report: RDP Brute Forcing",
            "Type": "webLink"
          }
        ],
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "intent": "Execution",
        "isIncident": true,
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "productComponentName": "testName",
        "productName": "Azure Security Center",
        "remediationSteps": [
          "No further action is needed."
        ],
        "resourceIdentifiers": [
          {
            "type": "AzureResource",
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"
          },
          {
            "type": "LogAnalytics",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceResourceGroup": "myRg1",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23"
          }
        ],
        "severity": "High",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "status": "Active",
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "type": "supportingEvidenceList",
          "supportingEvidenceList": [
            {
              "type": "nestedList",
              "evidenceElements": [
                {
                  "type": "evidenceElement",
                  "innerElements": null,
                  "text": {
                    "arguments": {
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      },
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      }
                    },
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local",
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7"
                  }
                }
              ]
            },
            {
              "type": "tabularEvidences",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ],
              "title": "Investigate activity test"
            }
          ]
        },
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "vendorName": "Microsoft",
        "version": "2022-01-01"
      }
    }
  ]
}

정의

Name	Description
Alert	보안 경고
AlertEntity	엔터티 형식에 따라 속성 집합을 변경합니다.
AlertList	보안 경고 목록
AlertPropertiesSupportingEvidence	supportingEvidence 형식에 따라 속성 집합을 변경합니다.
AlertSeverity	검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
AlertStatus	경고의 수명 주기 상태입니다.
AzureResourceIdentifier	Azure 리소스 식별자입니다.
Common.CloudError	실패한 작업에 대한 오류 세부 정보를 반환하는 모든 Azure Resource Manager API에 대한 일반적인 오류 응답입니다. 또한 OData 오류 응답 형식을 따릅니다.
Common.CloudErrorBody	오류 세부 정보입니다.
createdByType	리소스를 만든 ID의 형식입니다.
ErrorAdditionalInfo	리소스 관리 오류 추가 정보입니다.
Intent	경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다.
LogAnalyticsIdentifier	Log Analytics 작업 영역 범위 식별자를 나타냅니다.
ResourceIdentifierType	경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다.
systemData	리소스의 생성 및 마지막 수정과 관련된 메타데이터입니다.

Alert

Object

보안 경고

Name	형식	Description
id	string (arm-id)	리소스에 대한 정규화된 리소스 ID입니다. 예: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}"
name	string	리소스의 이름
properties.alertDisplayName	string	경고의 표시 이름입니다.
properties.alertType	string	검색 논리에 대한 고유 식별자입니다(동일한 검색 논리의 모든 경고 인스턴스에는 동일한 alertType이 포함됨).
properties.alertUri	string	Azure Portal의 경고 페이지에 대한 직접 링크입니다.
properties.compromisedEntity	string	이 경고와 가장 관련된 리소스의 표시 이름입니다.
properties.correlationKey	string	관련 경고를 코어레이팅하기 위한 키입니다. 관련된 것으로 간주되는 상관 관계 키가 동일한 경고입니다.
properties.description	string	검색된 의심스러운 활동에 대한 설명입니다.
properties.endTimeUtc	string (date-time)	경고에 포함된 마지막 이벤트 또는 활동의 UTC 시간(ISO8601 형식)입니다.
properties.entities	AlertEntity[]	경고와 관련된 엔터티 목록입니다.
properties.extendedLinks	object[]	경고와 관련된 링크
properties.extendedProperties	object	경고에 대한 사용자 지정 속성입니다.
properties.intent	Intent	경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다.
properties.isIncident	boolean	이 필드는 경고가 인시던트(여러 경고의 복합 그룹화) 또는 단일 경고인지를 결정합니다.
properties.processingEndTimeUtc	string (date-time)	경고의 UTC 처리 종료 시간(ISO8601 형식)입니다.
properties.productComponentName	string	이 경고를 구동하는 Azure Security Center 가격 책정 계층의 이름입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	이 경고를 게시한 제품의 이름입니다(Microsoft Sentinel, Microsoft Defender for Identity, 엔드포인트용 Microsoft Defender, Office용 Microsoft Defender, 클라우드 앱용 Microsoft Defender 등).
properties.remediationSteps	string[]	경고를 수정하기 위해 수행할 수동 작업 항목입니다.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	경고를 올바른 제품 노출 그룹(테넌트, 작업 영역, 구독 등)으로 전송하는 데 사용할 수 있는 리소스 식별자입니다. 경고당 서로 다른 유형의 여러 식별자가 있을 수 있습니다.
properties.severity	AlertSeverity	검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string (date-time)	경고에 포함된 첫 번째 이벤트 또는 활동의 UTC 시간(ISO8601 형식)입니다.
properties.status	AlertStatus	경고의 수명 주기 상태입니다.
properties.subTechniques	string[]	경고 뒤에 체인 관련 하위 기술을 종료합니다.
properties.supportingEvidence	AlertPropertiesSupportingEvidence	supportingEvidence 형식에 따라 속성 집합을 변경합니다.
properties.systemAlertId	string	경고의 고유 식별자입니다.
properties.techniques	string[]	경고 뒤에 체인 관련 기술을 종료합니다.
properties.timeGeneratedUtc	string (date-time)	경고가 ISO8601 형식으로 생성된 UTC 시간입니다.
properties.vendorName	string	경고를 발생시키는 공급업체의 이름입니다.
properties.version	string	스키마 버전입니다.
systemData	systemData	createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다.
type	string	리소스의 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts"

AlertEntity

Object

엔터티 형식에 따라 속성 집합을 변경합니다.

Name	형식	Description
type	string	엔터티 형식

AlertList

Object

보안 경고 목록

Name	형식	Description
nextLink	string	항목의 다음 페이지에 대한 링크
value	Alert[]	이 페이지의 경고 항목

AlertPropertiesSupportingEvidence

Object

supportingEvidence 형식에 따라 속성 집합을 변경합니다.

Name	형식	Description
type	string	supportingEvidence의 형식

AlertSeverity

열거형

검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

값	Description
Informational	정보
Low	낮다
Medium	보통
High	높다

AlertStatus

열거형

경고의 수명 주기 상태입니다.

값	Description
Active	값을 지정하지 않는 경고에 '활성' 상태가 할당됩니다.
InProgress	처리 상태에 있는 경고
Resolved	처리 후 경고가 닫혔습니다.
Dismissed	경고가 가양성으로 해제됨

AzureResourceIdentifier

Object

Azure 리소스 식별자입니다.

Name	형식	Description
azureResourceId	string	경고를 받는 클라우드 리소스에 대한 ARM 리소스 식별자
type	string: AzureResource	경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다.

Common.CloudError

Object

실패한 작업에 대한 오류 세부 정보를 반환하는 모든 Azure Resource Manager API에 대한 일반적인 오류 응답입니다. 또한 OData 오류 응답 형식을 따릅니다.

Name	형식	Description
error.additionalInfo	ErrorAdditionalInfo[]	오류 추가 정보입니다.
error.code	string	오류 코드입니다.
error.details	Common.CloudErrorBody[]	오류 세부 정보입니다.
error.message	string	오류 메시지입니다.
error.target	string	오류 대상입니다.

Common.CloudErrorBody

Object

오류 세부 정보입니다.

Name	형식	Description
additionalInfo	ErrorAdditionalInfo[]	오류 추가 정보입니다.
code	string	오류 코드입니다.
details	Common.CloudErrorBody[]	오류 세부 정보입니다.
message	string	오류 메시지입니다.
target	string	오류 대상입니다.

createdByType

열거형

리소스를 만든 ID의 형식입니다.

값	Description
User
Application
ManagedIdentity
Key

ErrorAdditionalInfo

Object

리소스 관리 오류 추가 정보입니다.

Name	형식	Description
info	object	추가 정보입니다.
type	string	추가 정보 유형입니다.

Intent

열거형

경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다.

값	Description
Unknown	알려지지 않은
PreAttack	사전 공격(PreAttack)은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하는 데 실패한 시도일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 시작되어 대상 시스템을 검사하고 방법을 찾으려는 시도로 검색됩니다. PreAttack 단계에 대한 자세한 내용은 MITRE Pre-Att&ck 행렬읽을 수 있습니다.
InitialAccess	InitialAccess는 공격자가 공격받은 리소스에 대한 발판을 마련하는 단계입니다.
Persistence	지속성은 위협 행위자에게 해당 시스템에 지속적인 존재를 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다.
PrivilegeEscalation	권한 상승은 악의적 사용자가 시스템 또는 네트워크에 대해 더 높은 수준의 권한을 얻을 수 있도록 하는 작업의 결과입니다.
DefenseEvasion	방어 회피는 악의적 사용자가 탐지를 회피하거나 다른 방어를 피하기 위해 사용할 수 있는 기술로 구성됩니다.
CredentialAccess	자격 증명 액세스는 엔터프라이즈 환경 내에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 제어하는 기술을 나타냅니다.
Discovery	검색은 악의적 사용자가 시스템 및 내부 네트워크에 대한 지식을 얻을 수 있도록 하는 기술로 구성됩니다.
LateralMovement	횡적 이동은 악의적 사용자가 네트워크의 원격 시스템에 액세스하고 제어할 수 있도록 하는 기술로 구성되며, 반드시 원격 시스템에서 도구를 실행할 필요는 없습니다.
Execution	실행 전술은 로컬 또는 원격 시스템에서 악의적으로 제어되는 코드를 실행하는 기술을 나타냅니다.
Collection	컬렉션은 반출 전에 대상 네트워크에서 중요한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다.
Exfiltration	반출은 악의적 사용자가 대상 네트워크에서 파일 및 정보를 제거하는 데 도움이 되는 기술 및 특성을 나타냅니다.
CommandAndControl	명령 및 제어 전술은 악의적 사용자가 대상 네트워크 내에서 제어하는 시스템과 통신하는 방법을 나타냅니다.
Impact	영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이려고 합니다. 비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작을 포함합니다.
Probing	검색은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하지 못한 시도일 수 있습니다.
Exploitation	악용은 공격자가 공격받은 리소스에 대한 발판을 마련하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등과 같은 컴퓨팅 호스트 및 리소스와 관련이 있습니다.

LogAnalyticsIdentifier

Object

Log Analytics 작업 영역 범위 식별자를 나타냅니다.

Name	형식	Description
agentId	string	(선택 사항) 이 경고가 기반으로 하는 이벤트를 보고하는 LogAnalytics 에이전트 ID입니다.
type	string: LogAnalytics	경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다.
workspaceId	string	이 경고를 저장하는 LogAnalytics 작업 영역 ID입니다.
workspaceResourceGroup	string	이 경고를 저장하는 LogAnalytics 작업 영역에 대한 Azure 리소스 그룹
workspaceSubscriptionId	string pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$	이 경고를 저장하는 LogAnalytics 작업 영역의 Azure 구독 ID입니다.

ResourceIdentifierType

열거형

경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다.

값	Description
AzureResource	AzureResource
LogAnalytics	LogAnalytics

systemData

Object

리소스의 생성 및 마지막 수정과 관련된 메타데이터입니다.

Name	형식	Description
createdAt	string (date-time)	리소스 만들기의 타임스탬프(UTC)입니다.
createdBy	string	리소스를 만든 ID입니다.
createdByType	createdByType	리소스를 만든 ID의 형식입니다.
lastModifiedAt	string (date-time)	리소스 마지막 수정의 타임스탬프(UTC)
lastModifiedBy	string	리소스를 마지막으로 수정한 ID입니다.
lastModifiedByType	createdByType	리소스를 마지막으로 수정한 ID의 형식입니다.