Incidents - List Alerts
인시던트에 대한 모든 경고를 가져옵니다.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/alerts?api-version=2024-03-01URI 매개 변수
| Name | In(다음 안에) | 필수 | 형식 | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
인시던트 ID |
|
resource
|
path | True |
string |
리소스 그룹의 이름. 이름은 대소문자를 구분하지 않습니다. |
|
subscription
|
path | True |
string uuid |
대상 구독의 ID입니다. 값은 UUID여야 합니다. |
|
workspace
|
path | True |
string |
작업 영역의 이름 regex 패턴: |
|
api-version
|
query | True |
string |
이 작업에 사용할 API 버전입니다. |
응답
| Name | 형식 | Description |
|---|---|---|
| 200 OK |
정상 |
|
| Other Status Codes |
작업이 실패한 이유를 설명하는 오류 응답입니다. |
보안
azure_auth
Azure Active Directory OAuth2 Flow
형식:
oauth2
Flow:
implicit
권한 부여 URL:
https://login.microsoftonline.com/common/oauth2/authorize
범위
| Name | Description |
|---|---|
| user_impersonation | 사용자 계정 가장 |
예제
Get all incident alerts.
샘플 요청
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/alerts?api-version=2024-03-01
샘플 응답
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"name": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "SecurityAlert",
"properties": {
"systemAlertId": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"tactics": [],
"alertDisplayName": "myAlert",
"confidenceLevel": "Unknown",
"severity": "Low",
"vendorName": "Microsoft",
"productName": "Azure Security Center",
"alertType": "myAlert",
"processingEndTime": "2020-07-20T18:21:53.6158361Z",
"status": "New",
"endTimeUtc": "2020-07-20T18:21:53.6158361Z",
"startTimeUtc": "2020-07-20T18:21:53.6158361Z",
"timeGenerated": "2020-07-20T18:21:53.6158361Z",
"resourceIdentifiers": [
{
"type": "LogAnalytics",
"workspaceId": "c8c99641-985d-4e4e-8e91-fb3466cd0e5b",
"subscriptionId": "bd794837-4d29-4647-9105-6339bfdb4e6a",
"resourceGroup": "myRG"
}
],
"additionalData": {
"AlertMessageEnqueueTime": "2020-07-20T18:21:57.304Z"
},
"friendlyName": "myAlert"
}
}
]
}정의
| Name | Description |
|---|---|
|
Alert |
경고의 심각도 |
|
Alert |
경고의 수명 주기 상태. |
|
Attack |
이 경고 규칙에서 만든 경고의 심각도입니다. |
|
Cloud |
오류 응답 구조. |
|
Cloud |
오류 세부 정보입니다. |
|
Confidence |
이 경고의 신뢰도 수준입니다. |
|
Confidence |
신뢰도 이유 |
|
Confidence |
신뢰도 점수 계산은 상태. 즉, 이 경고에 대해 점수 계산이 보류 중인지 여부(적용 가능하거나 최종적이지 않음)를 나타냅니다. |
|
created |
리소스를 만든 ID의 형식입니다. |
|
Entity |
집계된 엔터티의 종류입니다. |
|
Incident |
인시던트 경고 목록입니다. |
|
Kill |
이 경고에 대한 경고 의도 단계 매핑을 보유합니다. |
|
Security |
보안 경고 엔터티를 나타냅니다. |
|
system |
리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다. |
AlertSeverity
경고의 심각도
| Name | 형식 | Description |
|---|---|---|
| High |
string |
높은 심각도 |
| Informational |
string |
정보 심각도 |
| Low |
string |
낮은 심각도 |
| Medium |
string |
중간 심각도 |
AlertStatus
경고의 수명 주기 상태.
| Name | 형식 | Description |
|---|---|---|
| Dismissed |
string |
가양성으로 해제된 경고 |
| InProgress |
string |
경고가 처리되고 있습니다. |
| New |
string |
새 경고 |
| Resolved |
string |
처리 후 경고 닫힘 |
| Unknown |
string |
알 수 없는 값 |
AttackTactic
이 경고 규칙에서 만든 경고의 심각도입니다.
| Name | 형식 | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
오류 응답 구조.
| Name | 형식 | Description |
|---|---|---|
| error |
오류 데이터 |
CloudErrorBody
오류 세부 정보입니다.
| Name | 형식 | Description |
|---|---|---|
| code |
string |
오류의 식별자입니다. 코드는 고정이며 프로그래밍 방식으로 사용하기 위한 것입니다. |
| message |
string |
사용자 인터페이스에 표시하기에 적합한 오류를 설명하는 메시지입니다. |
ConfidenceLevel
이 경고의 신뢰도 수준입니다.
| Name | 형식 | Description |
|---|---|---|
| High |
string |
경고가 참 긍정 악성이라는 높은 신뢰도 |
| Low |
string |
신뢰도가 낮음, 이는 실제로 악의적이거나 공격의 일부라는 의심이 있다는 것을 의미합니다. |
| Unknown |
string |
알 수 없는 신뢰도, 는 기본값입니다. |
ConfidenceReasons
신뢰도 이유
| Name | 형식 | Description |
|---|---|---|
| reason |
string |
이유 설명 |
| reasonType |
string |
이유의 형식(범주) |
ConfidenceScoreStatus
신뢰도 점수 계산은 상태. 즉, 이 경고에 대해 점수 계산이 보류 중인지 여부(적용 가능하거나 최종적이지 않음)를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| Final |
string |
최종 점수가 계산되고 사용 가능 |
| InProcess |
string |
아직 점수가 설정되지 않았으며 계산이 진행 중입니다. |
| NotApplicable |
string |
이 경고는 가상 분석가가 지원하지 않으므로 점수가 계산되지 않습니다. |
| NotFinal |
string |
점수가 계산되고 경고의 일부로 표시되지만 추가 데이터 처리 후 나중에 다시 업데이트될 수 있습니다. |
createdByType
리소스를 만든 ID의 형식입니다.
| Name | 형식 | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityKindEnum
집계된 엔터티의 종류입니다.
| Name | 형식 | Description |
|---|---|---|
| Account |
string |
엔터티는 시스템의 계정을 나타냅니다. |
| AzureResource |
string |
엔터티는 시스템의 Azure 리소스를 나타냅니다. |
| Bookmark |
string |
엔터티는 시스템의 책갈피를 나타냅니다. |
| CloudApplication |
string |
엔터티는 시스템의 클라우드 애플리케이션을 나타냅니다. |
| DnsResolution |
string |
엔터티는 시스템의 DNS 확인을 나타냅니다. |
| File |
string |
엔터티는 시스템의 파일을 나타냅니다. |
| FileHash |
string |
엔터티는 시스템의 파일 해시를 나타냅니다. |
| Host |
string |
엔터티는 시스템의 호스트를 나타냅니다. |
| IoTDevice |
string |
엔터티는 시스템의 IoT 디바이스를 나타냅니다. |
| Ip |
string |
엔터티는 시스템의 IP를 나타냅니다. |
| MailCluster |
string |
엔터티는 시스템의 메일 클러스터를 나타냅니다. |
| MailMessage |
string |
엔터티는 시스템의 메일 메시지를 나타냅니다. |
| Mailbox |
string |
엔터티는 시스템의 사서함을 나타냅니다. |
| Malware |
string |
엔터티는 시스템의 맬웨어를 나타냅니다. |
| Process |
string |
엔터티는 시스템의 프로세스를 나타냅니다. |
| RegistryKey |
string |
엔터티는 시스템의 레지스트리 키를 나타냅니다. |
| RegistryValue |
string |
엔터티는 시스템의 레지스트리 값을 나타냅니다. |
| SecurityAlert |
string |
엔터티는 시스템의 보안 경고를 나타냅니다. |
| SecurityGroup |
string |
엔터티는 시스템의 보안 그룹을 나타냅니다. |
| SubmissionMail |
string |
엔터티는 시스템의 제출 메일을 나타냅니다. |
| Url |
string |
엔터티는 시스템의 URL을 나타냅니다. |
IncidentAlertList
인시던트 경고 목록입니다.
| Name | 형식 | Description |
|---|---|---|
| value |
인시던트 경고의 배열입니다. |
KillChainIntent
이 경고에 대한 경고 의도 단계 매핑을 보유합니다.
| Name | 형식 | Description |
|---|---|---|
| Collection |
string |
수집은 반출 전에 대상 네트워크에서 민감한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다. |
| CommandAndControl |
string |
명령 및 제어 기법은 악의적 사용자가 대상 네트워크 내에서 제어되는 시스템과 통신하는 방법을 나타냅니다. |
| CredentialAccess |
string |
자격 증명 액세스는 엔터프라이즈 환경에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 이를 제어하는 기술을 나타냅니다. 악의적 사용자는 네트워크 내에서 사용하기 위해 사용자 또는 관리자 계정(로컬 시스템 관리자 또는 관리자 액세스 권한이 있는 도메인 사용자)으로부터 합법적인 자격 증명을 얻으려고 시도할 가능성이 높습니다. 네트워크 내에 액세스 권한이 충분하면 악의적 사용자는 나중에 환경 내에서 사용할 계정을 만들 수 있습니다. |
| DefenseEvasion |
string |
방어 회피는 악의적 사용자가 감지나 기타 방어를 피하는 데 사용할 수 있는 기술로 구성됩니다. 경우에 따라 이러한 작업은 특정 방어 또는 완화를 전복하는 추가 이점이 있는 다른 범주의 기술 또는 변형과 동일합니다. |
| Discovery |
string |
검색은 악의적 사용자가 시스템과 내부 네트워크에 대한 정보를 얻을 수 있는 기술로 구성됩니다. 악의적 사용자는 새 시스템에 액세스할 때 자신이 현재 제어할 수 있는 항목과 해당 시스템에서 운영하는 이점이 침입 중에 현재 목적 또는 전체 목표를 향하도록 합니다. 운영 체제는 이러한 타협 후 정보 수집 단계를 지원하는 많은 기본 도구를 제공합니다. |
| Execution |
string |
실행 기법은 로컬 또는 원격 시스템에서 악의적 사용자가 제어하는 코드를 실행하게 되는 기술을 나타냅니다. 이 기법은 네트워크의 원격 시스템에 대한 액세스 권한을 확장하기 위해 측면 이동과 함께 사용되는 경우가 많습니다. |
| Exfiltration |
string |
반출은 악의적 사용자가 대상 네트워크에서 파일과 정보를 이동하게 만들거나 이동하는 데 도움이 되는 기술과 특성을 의미합니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다. |
| Exploitation |
string |
악용은 공격자가 공격받은 리소스에 대한 발판을 마련하는 단계입니다. 이 단계는 컴퓨팅 호스트뿐만 아니라 사용자 계정, 인증서 등의 리소스에도 적용됩니다. 악의적 사용자는 이 단계 이후에 리소스를 제어할 수 있는 경우가 많습니다. |
| Impact |
string |
영향 의도 기본 목표는 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이는 것입니다. 비즈니스 또는 운영 프로세스에 영향을 주는 데이터 조작을 포함합니다. 이것은 종종 랜섬웨어, 훼손, 데이터 조작 등과 같은 기술을 말합니다. |
| LateralMovement |
string |
측면 이동은 악의적 사용자가 네트워크를 통해 원격 시스템에 액세스하고 제어할 수 있는 기술로 구성되어 있지만 반드시 원격 시스템에서 도구를 실행할 수 있는 것은 아닙니다. 악의적 사용자는 측면 이동 기술을 통해 원격 액세스 도구와 같은 추가 도구가 없어도 시스템에서 정보를 수집할 수 있습니다. 악의적 사용자는 도구의 원격 실행, 추가 시스템으로 피벗, 특정 정보 또는 파일에 액세스, 추가 자격 증명에 액세스 또는 영향을 유발하는 등 여러 가지 목적으로 측면 이동을 사용할 수 있습니다. |
| Persistence |
string |
지속성은 악의적 사용자가 해당 시스템에 영구적으로 존재하도록 하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. 악의적 사용자는 시스템 다시 시작, 자격 증명 손실 또는 원격 액세스 도구를 다시 시작하거나 다시 액세스 권한을 다시 받기 위해 백도어 대체가 필요한 기타 오류와 같은 중단을 통해 시스템에 대한 액세스를 유지 관리해야 하는 경우가 많습니다. |
| PrivilegeEscalation |
string |
권한 상승은 악의적 사용자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻을 수 있는 작업의 결과입니다. 특정 도구나 작업을 수행하려면 더 높은 수준의 권한이 필요하며 작업 전체의 여러 지점에서 필요할 수 있습니다. 특정 시스템에 대한 액세스 권한 또는 악의적 사용자가 목표를 달성하는 데 필요한 특정 기능을 수행할 권한이 있는 사용자 계정도 권한 상승으로 간주할 수 있습니다. |
| Probing |
string |
검색은 악의적인 의도 또는 악용 전에 정보를 수집하기 위해 대상 시스템에 대한 액세스 권한을 얻지 못한 시도와 관계없이 특정 리소스에 액세스하려는 시도일 수 있습니다. 이 단계는 일반적으로 대상 시스템을 검사하고 방법을 찾기 위해 네트워크 외부에서 시작된 시도로 검색됩니다. |
| Unknown |
string |
기본값입니다. |
SecurityAlert
보안 경고 엔터티를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind | string: |
엔터티의 종류입니다. |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
object |
엔터티의 일부여야 하며 사용자에게 표시되는 사용자 지정 필드 모음입니다. |
| properties.alertDisplayName |
string |
경고의 표시 이름입니다. |
| properties.alertLink |
string |
경고의 URI 링크입니다. |
| properties.alertType |
string |
경고의 형식 이름입니다. |
| properties.compromisedEntity |
string |
보고되는 기본 엔터티의 표시 이름입니다. |
| properties.confidenceLevel |
이 경고의 신뢰도 수준입니다. |
|
| properties.confidenceReasons |
신뢰도 이유 |
|
| properties.confidenceScore |
number |
경고의 신뢰도 점수입니다. |
| properties.confidenceScoreStatus |
신뢰도 점수 계산은 상태. 즉, 이 경고에 대해 점수 계산이 보류 중인지 여부(적용 가능하거나 최종적이지 않음)를 나타냅니다. |
|
| properties.description |
string |
경고 설명. |
| properties.endTimeUtc |
string |
경고의 영향 종료 시간(경고에 기여하는 마지막 이벤트의 시간)입니다. |
| properties.friendlyName |
string |
그래프 항목 instance 대한 사람이 읽을 수 있는 간단한 설명인 그래프 항목 표시 이름입니다. 이 속성은 선택 사항이며 시스템이 생성될 수 있습니다. |
| properties.intent |
이 경고에 대한 경고 의도 단계 매핑을 보유합니다. |
|
| properties.processingEndTime |
string |
경고를 사용할 수 있게 된 시간입니다. |
| properties.productComponentName |
string |
경고를 생성한 제품 내 구성 요소의 이름입니다. |
| properties.productName |
string |
이 경고를 게시한 제품의 이름입니다. |
| properties.productVersion |
string |
경고를 생성하는 제품의 버전입니다. |
| properties.providerAlertId |
string |
경고를 생성한 제품 내 경고의 식별자입니다. |
| properties.remediationSteps |
string[] |
경고를 수정하기 위해 수행하는 수동 작업 항목입니다. |
| properties.resourceIdentifiers |
object[] |
경고의 리소스 식별자 목록입니다. |
| properties.severity |
경고의 심각도 |
|
| properties.startTimeUtc |
string |
경고의 영향 시작 시간(경고에 기여하는 첫 번째 이벤트의 시간)입니다. |
| properties.status |
경고의 수명 주기 상태. |
|
| properties.systemAlertId |
string |
제품에 대한 경고의 제품 식별자를 보유합니다. |
| properties.tactics |
경고의 전술 |
|
| properties.timeGenerated |
string |
경고가 생성된 시간입니다. |
| properties.vendorName |
string |
경고를 발생시키는 공급업체의 이름입니다. |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
systemData
리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다.
| Name | 형식 | Description |
|---|---|---|
| createdAt |
string |
UTC(리소스 만들기)의 타임스탬프입니다. |
| createdBy |
string |
리소스를 만든 ID입니다. |
| createdByType |
리소스를 만든 ID의 형식입니다. |
|
| lastModifiedAt |
string |
리소스 마지막 수정의 타임스탬프(UTC) |
| lastModifiedBy |
string |
리소스를 마지막으로 수정한 ID입니다. |
| lastModifiedByType |
리소스를 마지막으로 수정한 ID 유형입니다. |