Alerts - List Subscription Level By Region
Listar todos os alertas associados à assinatura armazenados em um local específico
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts?api-version=2022-01-01Parâmetros do URI
| Name | Em | Necessário | Tipo | Description |
|---|---|---|---|---|
|
asc
|
path | True |
string |
O local onde o ASC armazena os dados da assinatura. pode ser recuperado em Obter locais |
|
subscription
|
path | True |
string (uuid) |
O ID da assinatura de destino. O valor deve ser um UUID. |
|
api-version
|
query | True |
string minLength: 1 |
A versão da API a utilizar para esta operação. |
Respostas
| Name | Tipo | Description |
|---|---|---|
| 200 OK |
Operação do Azure concluída com sucesso. |
|
| Other Status Codes |
Uma resposta de erro inesperada. |
Segurança
azure_auth
Azure Active Directory OAuth2 Flow.
Tipo:
oauth2
Fluxo:
implicit
URL de Autorização:
https://login.microsoftonline.com/common/oauth2/authorize
Âmbitos
| Name | Description |
|---|---|
| user_impersonation | personificar a sua conta de utilizador |
Exemplos
Get security alerts on a subscription from a security data location
Pedido de amostra
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts?api-version=2022-01-01
Resposta da amostra
{
"value": [
{
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"properties": {
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"alertType": "VM_EICAR",
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"compromisedEntity": "vm1",
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"entities": [
{
"type": "ip",
"address": "192.0.2.1",
"location": {
"asn": 6584,
"city": "sonning",
"countryCode": "gb",
"latitude": 51.468,
"longitude": -0.909,
"state": "wokingham"
}
}
],
"extendedLinks": [
{
"Category": "threat_reports",
"Href": "https://contoso.com/reports/DisplayReport",
"Label": "Report: RDP Brute Forcing",
"Type": "webLink"
}
],
"extendedProperties": {
"Property1": "Property1 information"
},
"intent": "Execution",
"isIncident": true,
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"productComponentName": "testName",
"productName": "Azure Security Center",
"remediationSteps": [
"No further action is needed."
],
"resourceIdentifiers": [
{
"type": "AzureResource",
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"
},
{
"type": "LogAnalytics",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceResourceGroup": "myRg1",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23"
}
],
"severity": "High",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"status": "Active",
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "tabularEvidences",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
],
"title": "Investigate activity test"
},
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"vendorName": "Microsoft",
"version": "2022-01-01"
}
},
{
"name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"type": "Microsoft.Security/Locations/alerts",
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"properties": {
"description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
"alertDisplayName": "Suspicious Screensaver process executed",
"alertType": "VM_SuspiciousScreenSaver",
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"compromisedEntity": "vm2",
"correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
"endTimeUtc": "2019-05-07T13:51:45.0045913Z",
"entities": [
{
"type": "host",
"OsVersion": null,
"azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
"dnsDomain": "",
"hostName": "vm2",
"netBiosName": "vm2",
"ntDomain": "",
"omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
"operatingSystem": "Unknown"
},
{
"name": "contosoUser",
"type": "account",
"logonId": "0x61450d87",
"ntDomain": "vm2",
"sid": "S-1-5-21-2144575486-8928446540-5163864319-500"
},
{
"name": "cmd.exe",
"type": "file",
"directory": "c:\\windows\\system32"
},
{
"type": "process",
"processId": "0x3c44"
},
{
"name": "scrsave.scr",
"type": "file",
"directory": "c:\\users\\contosoUser"
},
{
"type": "process",
"commandLine": "c:\\users\\contosoUser\\scrsave.scr",
"creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
"processId": "0x4aec"
}
],
"extendedLinks": [
{
"Category": "threat_reports",
"Href": "https://contoso.com/reports/DisplayReport",
"Label": "Report: RDP Brute Forcing",
"Type": "webLink"
}
],
"extendedProperties": {
"account logon id": "0x61450d87",
"command line": "c:\\users\\contosoUser\\scrsave.scr",
"domainName": "vm2",
"parent process": "cmd.exe",
"parent process id": "0x3c44",
"process id": "0x4aec",
"processName": "c:\\users\\contosoUser\\scrsave.scr",
"resourceType": "Virtual Machine",
"user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
"userName": "vm2\\contosoUser"
},
"intent": "Execution",
"isIncident": true,
"processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
"productComponentName": "testName2",
"productName": "Azure Security Center",
"remediationSteps": [
"1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
"2. Make sure the machine is completely updated and has an updated anti-malware application installed",
"3. Run a full anti-malware scan and verify that the threat was removed",
"4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
"5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
"6. Escalate the alert to the information security team"
],
"resourceIdentifiers": [
{
"type": "AzureResource",
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"
},
{
"type": "LogAnalytics",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceResourceGroup": "myRg1",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23"
}
],
"severity": "Medium",
"startTimeUtc": "2019-05-07T13:51:45.0045913Z",
"status": "Active",
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "supportingEvidenceList",
"supportingEvidenceList": [
{
"type": "nestedList",
"evidenceElements": [
{
"type": "evidenceElement",
"innerElements": null,
"text": {
"arguments": {
"domainName": {
"type": "string",
"value": "domainName"
},
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
}
},
"fallback": "Actor enumerated UseDesKey on domain1.test.local",
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7"
}
}
]
},
{
"type": "tabularEvidences",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
],
"title": "Investigate activity test"
}
]
},
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
"vendorName": "Microsoft",
"version": "2022-01-01"
}
}
]
}Definições
| Name | Description |
|---|---|
| Alert |
Alerta de segurança |
|
Alert |
Alterar o conjunto de propriedades dependendo do tipo de entidade. |
|
Alert |
Lista de alertas de segurança |
|
Alert |
Alterando o conjunto de propriedades dependendo do tipo supportingEvidence. |
|
Alert |
O nível de risco da ameaça que foi detetada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
Alert |
O status do ciclo de vida do alerta. |
|
Azure |
Identificador de recurso do Azure. |
|
Common. |
Resposta de erro comum para todas as APIs do Azure Resource Manager para retornar detalhes de erro para operações com falha. (Isso também segue o formato de resposta de erro OData.) |
|
Common. |
O detalhe do erro. |
|
created |
O tipo de identidade que criou o recurso. |
|
Error |
O erro de gerenciamento de recursos informações adicionais. |
| Intent |
A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores suportados e explicações sobre as intenções da cadeia de eliminação suportadas do Centro de Segurança do Azure. |
|
Log |
Representa um identificador de escopo do espaço de trabalho do Log Analytics. |
|
Resource |
Pode haver vários identificadores de tipo diferente por alerta, este campo especifica o tipo de identificador. |
|
system |
Metadados referentes à criação e última modificação do recurso. |
Alert
Alerta de segurança
| Name | Tipo | Description |
|---|---|---|
| id |
string (arm-id) |
ID de recurso totalmente qualificado para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
O nome do recurso |
| properties.alertDisplayName |
string |
O nome para exibição do alerta. |
| properties.alertType |
string |
Identificador exclusivo para a lógica de deteção (todas as instâncias de alerta da mesma lógica de deteção terão o mesmo alertType). |
| properties.alertUri |
string |
Um link direto para a página de alerta no Portal do Azure. |
| properties.compromisedEntity |
string |
O nome para exibição do recurso mais relacionado a esse alerta. |
| properties.correlationKey |
string |
Chave para corelacionar alertas relacionados. Alertas com a mesma chave de correlação considerados relacionados. |
| properties.description |
string |
Descrição da atividade suspeita que foi detetada. |
| properties.endTimeUtc |
string (date-time) |
A hora UTC do último evento ou atividade incluída no alerta em formato ISO8601. |
| properties.entities |
Uma lista de entidades relacionadas com o alerta. |
|
| properties.extendedLinks |
object[] |
Ligações relacionadas com o alerta |
| properties.extendedProperties |
object |
Propriedades personalizadas para o alerta. |
| properties.intent |
A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores suportados e explicações sobre as intenções da cadeia de eliminação suportadas do Centro de Segurança do Azure. |
|
| properties.isIncident |
boolean |
Este campo determina se o alerta é um incidente (um agrupamento composto de vários alertas) ou um único alerta. |
| properties.processingEndTimeUtc |
string (date-time) |
A hora de término do processamento UTC do alerta em formato ISO8601. |
| properties.productComponentName |
string |
O nome da camada de preços da Central de Segurança do Azure que alimenta esse alerta. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
| properties.productName |
string |
O nome do produto que publicou este alerta (Microsoft Sentinel, Microsoft Defender para Identidade, Microsoft Defender para Endpoint, Microsoft Defender for Office, Microsoft Defender for Cloud Apps e assim por diante). |
| properties.remediationSteps |
string[] |
Itens de ação manual a serem tomados para corrigir o alerta. |
| properties.resourceIdentifiers | ResourceIdentifier[]: |
Os identificadores de recursos que podem ser usados para direcionar o alerta para o grupo de exposição de produto correto (locatário, espaço de trabalho, assinatura, etc.). Pode haver vários identificadores de tipo diferente por alerta. |
| properties.severity |
O nível de risco da ameaça que foi detetada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
| properties.startTimeUtc |
string (date-time) |
A hora UTC do primeiro evento ou atividade incluída no alerta em formato ISO8601. |
| properties.status |
O status do ciclo de vida do alerta. |
|
| properties.subTechniques |
string[] |
Kill chain sub-técnicas relacionadas por trás do alerta. |
| properties.supportingEvidence |
Alterando o conjunto de propriedades dependendo do tipo supportingEvidence. |
|
| properties.systemAlertId |
string |
Identificador exclusivo do alerta. |
| properties.techniques |
string[] |
técnicas relacionadas à cadeia de matar por trás do alerta. |
| properties.timeGeneratedUtc |
string (date-time) |
A hora UTC em que o alerta foi gerado em formato ISO8601. |
| properties.vendorName |
string |
O nome do fornecedor que gera o alerta. |
| properties.version |
string |
Versão do esquema. |
| systemData |
Metadados do Azure Resource Manager contendo informações createdBy e modifiedBy. |
|
| type |
string |
O tipo do recurso. Por exemplo, "Microsoft. Computação/Máquinas Virtuais" ou "Microsoft. ContasArmazenamento/Armazenamento" |
AlertEntity
Alterar o conjunto de propriedades dependendo do tipo de entidade.
| Name | Tipo | Description |
|---|---|---|
| type |
string |
Tipo de entidade |
AlertList
Lista de alertas de segurança
| Name | Tipo | Description |
|---|---|---|
| nextLink |
string |
O link para a página seguinte dos itens |
| value |
Alert[] |
Os itens de alerta nesta página |
AlertPropertiesSupportingEvidence
Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.
| Name | Tipo | Description |
|---|---|---|
| type |
string |
Tipo de suporteEvidência |
AlertSeverity
O nível de risco da ameaça que foi detetada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
| Valor | Description |
|---|---|
| Informational |
Informativo |
| Low |
Baixo |
| Medium |
Média |
| High |
Alto |
AlertStatus
O status do ciclo de vida do alerta.
| Valor | Description |
|---|---|
| Active |
Um alerta que não especifica um valor recebe o status 'Ativo' |
| InProgress |
Um alerta que está no estado de manipulação |
| Resolved |
Alerta fechado após o manuseamento |
| Dismissed |
Alerta descartado como falso positivo |
AzureResourceIdentifier
Identificador de recurso do Azure.
| Name | Tipo | Description |
|---|---|---|
| azureResourceId |
string |
Identificador de recurso ARM para o recurso de nuvem que está sendo alertado em |
| type |
string:
Azure |
Pode haver vários identificadores de tipo diferente por alerta, este campo especifica o tipo de identificador. |
Common.CloudError
Resposta de erro comum para todas as APIs do Azure Resource Manager para retornar detalhes de erro para operações com falha. (Isso também segue o formato de resposta de erro OData.)
| Name | Tipo | Description |
|---|---|---|
| error.additionalInfo |
O erro informações adicionais. |
|
| error.code |
string |
O código de erro. |
| error.details |
Os detalhes do erro. |
|
| error.message |
string |
A mensagem de erro. |
| error.target |
string |
O destino do erro. |
Common.CloudErrorBody
O detalhe do erro.
| Name | Tipo | Description |
|---|---|---|
| additionalInfo |
O erro informações adicionais. |
|
| code |
string |
O código de erro. |
| details |
Os detalhes do erro. |
|
| message |
string |
A mensagem de erro. |
| target |
string |
O destino do erro. |
createdByType
O tipo de identidade que criou o recurso.
| Valor | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
ErrorAdditionalInfo
O erro de gerenciamento de recursos informações adicionais.
| Name | Tipo | Description |
|---|---|---|
| info |
object |
As informações adicionais. |
| type |
string |
O tipo de informação adicional. |
Intent
A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores suportados e explicações sobre as intenções da cadeia de eliminação suportadas do Centro de Segurança do Azure.
| Valor | Description |
|---|---|
| Unknown |
Desconhecido |
| PreAttack |
PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção maliciosa, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Esta etapa geralmente é detetada como uma tentativa, originada de fora da rede, de verificar o sistema de destino e encontrar uma maneira de entrar. Mais detalhes sobre o estágio PreAttack podem ser lidos em MITRE Pre-Att&ck matrix. |
| InitialAccess |
InitialAccess é o estágio em que um invasor consegue se firmar no recurso atacado. |
| Persistence |
Persistência é qualquer acesso, ação ou alteração de configuração em um sistema que dá a um agente de ameaça uma presença persistente nesse sistema. |
| PrivilegeEscalation |
O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede. |
| DefenseEvasion |
A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da deteção ou evitar outras defesas. |
| CredentialAccess |
O acesso a credenciais representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço que são usadas em um ambiente corporativo. |
| Discovery |
A descoberta consiste em técnicas que permitem ao adversário obter conhecimento sobre o sistema e a rede interna. |
| LateralMovement |
O movimento lateral consiste em técnicas que permitem a um adversário aceder e controlar sistemas remotos numa rede e poderia, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. |
| Execution |
A tática de execução representa técnicas que resultam na execução de código controlado por adversários em um sistema local ou remoto. |
| Collection |
A coleta consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração. |
| Exfiltration |
Exfiltração refere-se a técnicas e atributos que resultam ou ajudam no adversário removendo arquivos e informações de uma rede de destino. |
| CommandAndControl |
A tática de comando e controle representa como os adversários se comunicam com os sistemas sob seu controle dentro de uma rede alvo. |
| Impact |
Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo comercial ou operacional. |
| Probing |
A sondagem pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção maliciosa, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. |
| Exploitation |
A exploração é o estágio em que um invasor consegue se firmar no recurso atacado. Esta etapa é relevante para hosts de computação e recursos, como contas de usuário, certificados, etc. |
LogAnalyticsIdentifier
Representa um identificador de escopo do espaço de trabalho do Log Analytics.
| Name | Tipo | Description |
|---|---|---|
| agentId |
string |
(facultativo) A ID do agente do LogAnalytics que relata o evento no qual esse alerta se baseia. |
| type |
string:
Log |
Pode haver vários identificadores de tipo diferente por alerta, este campo especifica o tipo de identificador. |
| workspaceId |
string |
A ID do espaço de trabalho do LogAnalytics que armazena esse alerta. |
| workspaceResourceGroup |
string |
O grupo de recursos azure para o espaço de trabalho LogAnalytics que armazena este alerta |
| workspaceSubscriptionId |
string pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$ |
A ID de assinatura azure para o espaço de trabalho do LogAnalytics que armazena esse alerta. |
ResourceIdentifierType
Pode haver vários identificadores de tipo diferente por alerta, este campo especifica o tipo de identificador.
| Valor | Description |
|---|---|
| AzureResource |
AzureResource |
| LogAnalytics |
LogAnalytics |
systemData
Metadados referentes à criação e última modificação do recurso.
| Name | Tipo | Description |
|---|---|---|
| createdAt |
string (date-time) |
O carimbo de data/hora da criação de recursos (UTC). |
| createdBy |
string |
A identidade que criou o recurso. |
| createdByType |
O tipo de identidade que criou o recurso. |
|
| lastModifiedAt |
string (date-time) |
O carimbo de data/hora da última modificação do recurso (UTC) |
| lastModifiedBy |
string |
A identidade que modificou o recurso pela última vez. |
| lastModifiedByType |
O tipo de identidade que modificou o recurso pela última vez. |