Alerts - List

  • Referens
Service:
Defender for Cloud
API Version:
2022-01-01

Visa en lista över alla aviseringar som är associerade med prenumerationen

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/alerts?api-version=2022-01-01

URI-parametrar

Name I Obligatorisk Typ Description
subscriptionId
 path True

string

Azure-prenumerations-ID

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

API-version för åtgärden

Svar

Name Typ Description
200 OK

AlertList

OK
Other Status Codes

CloudError

Felsvar som beskriver varför åtgärden misslyckades.

Säkerhet

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation personifiera ditt användarkonto

Exempel

Get security alerts on a subscription

Sample Request

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/alerts?api-version=2022-01-01

Sample Response

Status code:
200 
{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      }
    },
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
      "name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_SuspiciousScreenSaver",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName2",
        "alertDisplayName": "Suspicious Screensaver process executed",
        "description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
        "severity": "Medium",
        "intent": "Execution",
        "startTimeUtc": "2019-05-07T13:51:45.0045913Z",
        "endTimeUtc": "2019-05-07T13:51:45.0045913Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
          "2. Make sure the machine is completely updated and has an updated anti-malware application installed",
          "3. Run a full anti-malware scan and verify that the threat was removed",
          "4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
          "5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
          "6. Escalate the alert to the information security team"
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
        "entities": [
          {
            "dnsDomain": "",
            "ntDomain": "",
            "hostName": "vm2",
            "netBiosName": "vm2",
            "azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
            "omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
            "operatingSystem": "Unknown",
            "type": "host",
            "OsVersion": null
          },
          {
            "name": "contosoUser",
            "ntDomain": "vm2",
            "logonId": "0x61450d87",
            "sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
            "type": "account"
          },
          {
            "directory": "c:\\windows\\system32",
            "name": "cmd.exe",
            "type": "file"
          },
          {
            "processId": "0x3c44",
            "type": "process"
          },
          {
            "directory": "c:\\users\\contosoUser",
            "name": "scrsave.scr",
            "type": "file"
          },
          {
            "processId": "0x4aec",
            "commandLine": "c:\\users\\contosoUser\\scrsave.scr",
            "creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
            "type": "process"
          }
        ],
        "isIncident": true,
        "correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
        "compromisedEntity": "vm2",
        "extendedProperties": {
          "domain name": "vm2",
          "user name": "vm2\\contosoUser",
          "process name": "c:\\users\\contosoUser\\scrsave.scr",
          "command line": "c:\\users\\contosoUser\\scrsave.scr",
          "parent process": "cmd.exe",
          "process id": "0x4aec",
          "account logon id": "0x61450d87",
          "user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
          "parent process id": "0x3c44",
          "resourceType": "Virtual Machine"
        },
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

Definitioner

Name Description
Alert

Säkerhetsavisering
AlertEntity

Ändra uppsättning egenskaper beroende på entitetstyp.
AlertList

Lista över säkerhetsaviseringar
alertSeverity

Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus

Livscykelstatus för aviseringen.
AzureResourceIdentifier

Azure-resursidentifierare.
CloudError

Vanligt felsvar för alla Azure Resource Manager-API:er för att returnera felinformation för misslyckade åtgärder. (Detta följer även OData-felsvarsformatet.).
CloudErrorBody

Felinformationen.
ErrorAdditionalInfo

Ytterligare information om resurshanteringsfelet.
intent

Den kill chain-relaterade avsikten bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center av avsikterna för kill chain som stöds.
LogAnalyticsIdentifier

Representerar en Log Analytics-arbetsyteomfångsidentifierare.
SupportingEvidence

Ändra uppsättning egenskaper beroende på typen supportingEvidence.

Alert

Säkerhetsavisering

Name Typ Description
id

string

Resurs-ID
name

string

Resursnamn
properties.alertDisplayName

string

Aviseringens visningsnamn.
properties.alertType

string

Unik identifierare för identifieringslogik (alla aviseringsinstanser från samma identifieringslogik har samma alertType).
properties.alertUri

string

En direktlänk till aviseringssidan i Azure-portalen.
properties.compromisedEntity

string

Visningsnamnet för den resurs som är mest relaterad till den här aviseringen.
properties.correlationKey

string

Nyckel för att corelatera relaterade aviseringar. Aviseringar med samma korrelationsnyckel anses vara relaterade.
properties.description

string

Beskrivning av den misstänkta aktivitet som har identifierats.
properties.endTimeUtc

string

UTC-tiden för den senaste händelsen eller aktiviteten som ingår i aviseringen i ISO8601 format.
properties.entities

AlertEntity[]

En lista över entiteter som är relaterade till aviseringen.
properties.extendedLinks

object[]

Länkar relaterade till aviseringen
properties.extendedProperties

object

Anpassade egenskaper för aviseringen.
properties.intent

intent

Den kill chain-relaterade avsikten bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center av avsikterna för kill chain som stöds.
properties.isIncident

boolean

Det här fältet avgör om aviseringen är en incident (en sammansatt gruppering av flera aviseringar) eller en enda avisering.
properties.processingEndTimeUtc

string

UTC-bearbetningen av sluttiden för aviseringen i ISO8601 format.
properties.productComponentName

string

Namnet på Azure Security Center prisnivå som driver den här aviseringen. Lära sig mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName

string

Namnet på den produkt som publicerade aviseringen (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender för Endpoint, Microsoft Defender för Office, Microsoft Defender for Cloud Apps och så vidare).
properties.remediationSteps

string[]

Manuella åtgärdsobjekt att vidta för att åtgärda aviseringen.
properties.resourceIdentifiers ResourceIdentifier[]:

Resursidentifierarna som kan användas för att dirigera aviseringen till rätt produktexponeringsgrupp (klientorganisation, arbetsyta, prenumeration osv.). Det kan finnas flera identifierare av olika typ per avisering.
properties.severity

alertSeverity

Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc

string

UTC-tiden för den första händelsen eller aktiviteten som ingår i aviseringen i ISO8601 format.
properties.status

alertStatus

Livscykelstatus för aviseringen.
properties.subTechniques

string[]

Kill chain related sub-techniques behind the alert (Döda kedja-relaterade undertekniker bakom aviseringen).
properties.supportingEvidence

SupportingEvidence

Ändra uppsättning egenskaper beroende på typen supportingEvidence.
properties.systemAlertId

string

Unik identifierare för aviseringen.
properties.techniques

string[]

kill chain-relaterade tekniker bakom aviseringen.
properties.timeGeneratedUtc

string

UTC-tiden då aviseringen genererades i ISO8601 format.
properties.vendorName

string

Namnet på leverantören som genererar aviseringen.
properties.version

string

Schemaversion.
type

string

Resurstyp

AlertEntity

Ändra uppsättning egenskaper beroende på entitetstyp.

Name Typ Description
type

string

Typ av entitet

AlertList

Lista över säkerhetsaviseringar

Name Typ Description
nextLink

string

URI:n för att hämta nästa sida.
value

Alert[]

beskriver säkerhetsaviseringsegenskaper.

alertSeverity

Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Name Typ Description
High

string

Högt
Informational

string

Information
Low

string

Låg
Medium

string

Medel

alertStatus

Livscykelstatus för aviseringen.

Name Typ Description
Active

string

En avisering som inte anger något värde tilldelas statusen "Aktiv"
Dismissed

string

Avisering avvisad som falsk positiv
InProgress

string

En avisering som är i hanteringstillstånd
Resolved

string

Avisering stängd efter hantering

AzureResourceIdentifier

Azure-resursidentifierare.

Name Typ Description
azureResourceId

string

ARM-resursidentifierare för molnresursen som aviseras
type string:

AzureResource

Det kan finnas flera identifierare av olika typ per avisering. Det här fältet anger identifierartypen.

CloudError

Vanligt felsvar för alla Azure Resource Manager-API:er för att returnera felinformation för misslyckade åtgärder. (Detta följer även OData-felsvarsformatet.).

Name Typ Description
error.additionalInfo

ErrorAdditionalInfo[]

Ytterligare information om felet.
error.code

string

Felkoden.
error.details

CloudErrorBody[]

Felinformationen.
error.message

string

Felmeddelandet.
error.target

string

Felmålet.

CloudErrorBody

Felinformationen.

Name Typ Description
additionalInfo

ErrorAdditionalInfo[]

Ytterligare information om felet.
code

string

Felkoden.
details

CloudErrorBody[]

Felinformationen.
message

string

Felmeddelandet.
target

string

Felmålet.

ErrorAdditionalInfo

Ytterligare information om resurshanteringsfelet.

Name Typ Description
info

object

Den ytterligare informationen.
type

string

Ytterligare informationstyp.

intent

Den kill chain-relaterade avsikten bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center av avsikterna för kill chain som stöds.

Name Typ Description
Collection

string

Insamling består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering.
CommandAndControl

string

Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk.
CredentialAccess

string

Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö.
DefenseEvasion

string

Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra försvar.
Discovery

string

Identifiering består av tekniker som gör det möjligt för angriparen att få kunskap om systemet och det interna nätverket.
Execution

string

Körningstaktiken representerar tekniker som resulterar i körning av manipulerad kod på ett lokalt eller fjärranslutet system.
Exfiltration

string

Exfiltrering avser tekniker och attribut som leder till eller hjälper angriparen att ta bort filer och information från ett målnätverk.
Exploitation

string

Utnyttjande är den fas där en angripare lyckas få fotfäste på den angripna resursen. Den här fasen är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv.
Impact

string

Påverkanshändelser försöker främst att direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk. inklusive manipulering av data för att påverka en affärsprocess eller en operativ process.
InitialAccess

string

InitialAccess är den fas där en angripare lyckas få fotfäste på den angripna resursen.
LateralMovement

string

Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och kan, men inte nödvändigtvis, inkludera körning av verktyg på fjärrsystem.
Persistence

string

Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar i ett system som ger en hotskådespelare en beständig närvaro i systemet.
PreAttack

string

PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett en skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och hitta en väg in. Mer information om PreAttack-fasen kan läsas i MITRE Pre-Att&ck-matrisen.
PrivilegeEscalation

string

Privilegieeskalering är resultatet av åtgärder som gör att en angripare kan få en högre behörighetsnivå i ett system eller nätverk.
Probing

string

Avsökning kan antingen vara ett försök att komma åt en viss resurs oavsett en skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet.
Unknown

string

Okänt

LogAnalyticsIdentifier

Representerar en Log Analytics-arbetsyteomfångsidentifierare.

Name Typ Description
agentId

string

(valfritt) LogAnalytics-agent-ID:t rapporterar händelsen som aviseringen baseras på.
type string:

LogAnalytics

Det kan finnas flera identifierare av olika typ per avisering. Det här fältet anger identifierartyp.
workspaceId

string

LogAnalytics-arbetsytans ID som lagrar den här aviseringen.
workspaceResourceGroup

string

Azure-resursgruppen för LogAnalytics-arbetsytan som lagrar den här aviseringen
workspaceSubscriptionId

string

Azure-prenumerations-ID:t för LogAnalytics-arbetsytan som lagrar den här aviseringen.

SupportingEvidence

Ändra uppsättning egenskaper beroende på typen supportingEvidence.

Name Typ Description
type

string

Typ av supportingEvidence