Alerts - List Resource Group Level By Region
Visa en lista över alla aviseringar som är associerade med resursgruppen som lagras på en viss plats
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts?api-version=2022-01-01
URI-parametrar
Name | I | Obligatorisk | Typ | Description |
---|---|---|---|---|
asc
|
path | True |
string |
Platsen där ASC lagrar prenumerationens data. kan hämtas från Hämta platser |
resource
|
path | True |
string |
Namnet på resursgruppen i användarens prenumeration. Namnet är skiftlägesokänsligt. Regex pattern: |
subscription
|
path | True |
string |
Azure-prenumerations-ID Regex pattern: |
api-version
|
query | True |
string |
API-version för åtgärden |
Svar
Name | Typ | Description |
---|---|---|
200 OK |
OK |
|
Other Status Codes |
Felsvar som beskriver varför åtgärden misslyckades. |
Säkerhet
azure_auth
Azure Active Directory OAuth2 Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Name | Description |
---|---|
user_impersonation | personifiera ditt användarkonto |
Exempel
Get security alerts on a resource group from a security data location
Sample Request
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts?api-version=2022-01-01
Sample Response
{
"value": [
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_EICAR",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"severity": "High",
"intent": "Execution",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"No further action is needed."
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"entities": [
{
"address": "192.0.2.1",
"location": {
"countryCode": "gb",
"state": "wokingham",
"city": "sonning",
"longitude": -0.909,
"latitude": 51.468,
"asn": 6584
},
"type": "ip"
}
],
"isIncident": true,
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"extendedProperties": {
"Property1": "Property1 information"
},
"compromisedEntity": "vm1",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"supportingEvidenceList": [
{
"evidenceElements": [
{
"text": {
"arguments": {
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
},
"domainName": {
"type": "string",
"value": "domainName"
}
},
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
"fallback": "Actor enumerated UseDesKey on domain1.test.local"
},
"type": "evidenceElement",
"innerElements": null
}
],
"type": "nestedList"
},
{
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
],
"type": "supportingEvidenceList"
}
}
}
]
}
Definitioner
Name | Description |
---|---|
Alert |
Säkerhetsavisering |
Alert |
Ändra uppsättning egenskaper beroende på entitetstyp. |
Alert |
Lista över säkerhetsaviseringar |
alert |
Risknivån för det hot som upptäcktes. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
alert |
Aviseringens livscykelstatus. |
Azure |
Azure-resursidentifierare. |
Cloud |
Vanliga felsvar för alla Azure Resource Manager API:er för att returnera felinformation för misslyckade åtgärder. (Detta följer även OData-felsvarsformatet.). |
Cloud |
Felinformationen. |
Error |
Ytterligare information om resurshanteringsfelet. |
intent |
Avsikten med dödskedjan bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center som stöds av kill chain-avsikter. |
Log |
Representerar en Log Analytics-omfångsidentifierare för arbetsytan. |
Supporting |
Ändra uppsättning egenskaper beroende på typen supportingEvidence. |
Alert
Säkerhetsavisering
Name | Typ | Description |
---|---|---|
id |
string |
Resurs-ID |
name |
string |
Resursnamn |
properties.alertDisplayName |
string |
Aviseringens visningsnamn. |
properties.alertType |
string |
Unik identifierare för identifieringslogik (alla aviseringsinstanser från samma identifieringslogik har samma alertType). |
properties.alertUri |
string |
En direktlänk till aviseringssidan i Azure-portalen. |
properties.compromisedEntity |
string |
Visningsnamnet för den resurs som är mest relaterad till den här aviseringen. |
properties.correlationKey |
string |
Nyckel för corelating relaterade aviseringar. Aviseringar med samma korrelationsnyckel som anses vara relaterade. |
properties.description |
string |
Beskrivning av den misstänkta aktiviteten som identifierades. |
properties.endTimeUtc |
string |
UTC-tiden för den senaste händelsen eller aktiviteten som ingår i aviseringen i ISO8601 format. |
properties.entities |
En lista över entiteter som är relaterade till aviseringen. |
|
properties.extendedLinks |
object[] |
Länkar relaterade till aviseringen |
properties.extendedProperties |
object |
Anpassade egenskaper för aviseringen. |
properties.intent |
Avsikten med dödskedjan bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center som stöds av kill chain-avsikter. |
|
properties.isIncident |
boolean |
Det här fältet avgör om aviseringen är en incident (en sammansatt gruppering av flera aviseringar) eller en enda avisering. |
properties.processingEndTimeUtc |
string |
UTC-bearbetningens sluttid för aviseringen i ISO8601 format. |
properties.productComponentName |
string |
Namnet på Azure Security Center prisnivå som driver den här aviseringen. Lära sig mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
properties.productName |
string |
Namnet på den produkt som publicerade aviseringen (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender för Endpoint, Microsoft Defender för Office, Microsoft Defender for Cloud Apps och så vidare). |
properties.remediationSteps |
string[] |
Manuella åtgärder som ska vidtas för att åtgärda aviseringen. |
properties.resourceIdentifiers | ResourceIdentifier[]: |
Resursidentifierare som kan användas för att dirigera aviseringen till rätt produktexponeringsgrupp (klientorganisation, arbetsyta, prenumeration osv.). Det kan finnas flera identifierare av olika typ per avisering. |
properties.severity |
Risknivån för det hot som upptäcktes. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
properties.startTimeUtc |
string |
UTC-tiden för den första händelsen eller aktiviteten som ingår i aviseringen i ISO8601 format. |
properties.status |
Aviseringens livscykelstatus. |
|
properties.subTechniques |
string[] |
Kill chain-relaterade undertekniker bakom aviseringen. |
properties.supportingEvidence |
Ändra uppsättning egenskaper beroende på typen supportingEvidence. |
|
properties.systemAlertId |
string |
Unik identifierare för aviseringen. |
properties.techniques |
string[] |
kill chain-relaterade tekniker bakom aviseringen. |
properties.timeGeneratedUtc |
string |
UTC-tiden då aviseringen genererades i ISO8601 format. |
properties.vendorName |
string |
Namnet på leverantören som genererar aviseringen. |
properties.version |
string |
Schemaversion. |
type |
string |
Resurstyp |
AlertEntity
Ändra uppsättning egenskaper beroende på entitetstyp.
Name | Typ | Description |
---|---|---|
type |
string |
Typ av entitet |
AlertList
Lista över säkerhetsaviseringar
Name | Typ | Description |
---|---|---|
nextLink |
string |
URI:n för att hämta nästa sida. |
value |
Alert[] |
beskriver egenskaper för säkerhetsaviseringar. |
alertSeverity
Risknivån för det hot som upptäcktes. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
Name | Typ | Description |
---|---|---|
High |
string |
Högt |
Informational |
string |
Information |
Low |
string |
Låg |
Medium |
string |
Medel |
alertStatus
Aviseringens livscykelstatus.
Name | Typ | Description |
---|---|---|
Active |
string |
En avisering som inte anger något värde tilldelas statusen "Aktiv" |
Dismissed |
string |
Avisering avvisad som falsk positiv |
InProgress |
string |
En avisering som är i hanteringstillstånd |
Resolved |
string |
Avisering stängd efter hantering |
AzureResourceIdentifier
Azure-resursidentifierare.
Name | Typ | Description |
---|---|---|
azureResourceId |
string |
ARM-resursidentifierare för molnresursen som aviseras |
type |
string:
Azure |
Det kan finnas flera identifierare av olika typ per avisering. Det här fältet anger identifierartyp. |
CloudError
Vanliga felsvar för alla Azure Resource Manager API:er för att returnera felinformation för misslyckade åtgärder. (Detta följer även OData-felsvarsformatet.).
Name | Typ | Description |
---|---|---|
error.additionalInfo |
Ytterligare information om felet. |
|
error.code |
string |
Felkoden. |
error.details |
Felinformationen. |
|
error.message |
string |
Felmeddelandet. |
error.target |
string |
Felmålet. |
CloudErrorBody
Felinformationen.
Name | Typ | Description |
---|---|---|
additionalInfo |
Ytterligare information om felet. |
|
code |
string |
Felkoden. |
details |
Felinformationen. |
|
message |
string |
Felmeddelandet. |
target |
string |
Felmålet. |
ErrorAdditionalInfo
Ytterligare information om resurshanteringsfelet.
Name | Typ | Description |
---|---|---|
info |
object |
Ytterligare information. |
type |
string |
Den ytterligare informationstypen. |
intent
Avsikten med dödskedjan bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center som stöds av kill chain-avsikter.
Name | Typ | Description |
---|---|---|
Collection |
string |
Samlingen består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering. |
CommandAndControl |
string |
Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk. |
CredentialAccess |
string |
Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö. |
DefenseEvasion |
string |
Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra försvar. |
Discovery |
string |
Identifiering består av tekniker som gör det möjligt för angriparen att få kunskap om systemet och det interna nätverket. |
Execution |
string |
Körningstaktiken representerar tekniker som resulterar i körning av adversary-kontrollerad kod på ett lokalt eller fjärranslutet system. |
Exfiltration |
string |
Exfiltrering refererar till tekniker och attribut som leder till eller hjälper den angripare som tar bort filer och information från ett målnätverk. |
Exploitation |
string |
Exploatering är den fas där en angripare lyckas få fotfäste på den angripna resursen. Det här steget är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv. |
Impact |
string |
Påverkanshändelser försöker främst direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk. inklusive manipulering av data som påverkar en affärs- eller driftprocess. |
InitialAccess |
string |
InitialAccess är den fas där en angripare lyckas få fotfäste på den angripna resursen. |
LateralMovement |
string |
Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och kan, men inte nödvändigtvis, inkludera körning av verktyg på fjärrsystem. |
Persistence |
string |
Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar till ett system som ger en hotskådespelare en beständig närvaro i systemet. |
PreAttack |
string |
PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett en skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före exploatering. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och hitta en väg in. Mer information om PreAttack-fasen kan läsas i MITRE Pre-Att&ck-matrisen. |
PrivilegeEscalation |
string |
Privilegieeskalering är resultatet av åtgärder som gör det möjligt för en angripare att få en högre behörighetsnivå i ett system eller nätverk. |
Probing |
string |
Avsökning kan antingen vara ett försök att komma åt en viss resurs oavsett en skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före exploatering. |
Unknown |
string |
Okänt |
LogAnalyticsIdentifier
Representerar en Log Analytics-omfångsidentifierare för arbetsytan.
Name | Typ | Description |
---|---|---|
agentId |
string |
(valfritt) LogAnalytics-agent-ID:t rapporterar händelsen som aviseringen baseras på. |
type |
string:
Log |
Det kan finnas flera identifierare av olika typ per avisering. Det här fältet anger identifierartypen. |
workspaceId |
string |
LogAnalytics-arbetsytans ID som lagrar den här aviseringen. |
workspaceResourceGroup |
string |
Azure-resursgruppen för LogAnalytics-arbetsytan som lagrar den här aviseringen |
workspaceSubscriptionId |
string |
Azure-prenumerations-ID:t för LogAnalytics-arbetsytan som lagrar den här aviseringen. |
SupportingEvidence
Ändra uppsättning egenskaper beroende på typen supportingEvidence.
Name | Typ | Description |
---|---|---|
type |
string |
Typ av supportEvidence |