Alerts - List
Visa en lista över alla aviseringar som är associerade med prenumerationen
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/alerts?api-version=2022-01-01
URI-parametrar
Name | I | Obligatorisk | Typ | Description |
---|---|---|---|---|
subscription
|
path | True |
string |
Azure-prenumerations-ID Regex pattern: |
api-version
|
query | True |
string |
API-version för åtgärden |
Svar
Name | Typ | Description |
---|---|---|
200 OK |
OK |
|
Other Status Codes |
Felsvar som beskriver varför åtgärden misslyckades. |
Säkerhet
azure_auth
Azure Active Directory OAuth2 Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Name | Description |
---|---|
user_impersonation | personifiera ditt användarkonto |
Exempel
Get security alerts on a subscription
Sample Request
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/alerts?api-version=2022-01-01
Sample Response
{
"value": [
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_EICAR",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"severity": "High",
"intent": "Execution",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"No further action is needed."
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"entities": [
{
"address": "192.0.2.1",
"location": {
"countryCode": "gb",
"state": "wokingham",
"city": "sonning",
"longitude": -0.909,
"latitude": 51.468,
"asn": 6584
},
"type": "ip"
}
],
"isIncident": true,
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"extendedProperties": {
"Property1": "Property1 information"
},
"compromisedEntity": "vm1",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
}
},
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_SuspiciousScreenSaver",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName2",
"alertDisplayName": "Suspicious Screensaver process executed",
"description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
"severity": "Medium",
"intent": "Execution",
"startTimeUtc": "2019-05-07T13:51:45.0045913Z",
"endTimeUtc": "2019-05-07T13:51:45.0045913Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
"2. Make sure the machine is completely updated and has an updated anti-malware application installed",
"3. Run a full anti-malware scan and verify that the threat was removed",
"4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
"5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
"6. Escalate the alert to the information security team"
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
"entities": [
{
"dnsDomain": "",
"ntDomain": "",
"hostName": "vm2",
"netBiosName": "vm2",
"azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
"omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
"operatingSystem": "Unknown",
"type": "host",
"OsVersion": null
},
{
"name": "contosoUser",
"ntDomain": "vm2",
"logonId": "0x61450d87",
"sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
"type": "account"
},
{
"directory": "c:\\windows\\system32",
"name": "cmd.exe",
"type": "file"
},
{
"processId": "0x3c44",
"type": "process"
},
{
"directory": "c:\\users\\contosoUser",
"name": "scrsave.scr",
"type": "file"
},
{
"processId": "0x4aec",
"commandLine": "c:\\users\\contosoUser\\scrsave.scr",
"creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
"type": "process"
}
],
"isIncident": true,
"correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
"compromisedEntity": "vm2",
"extendedProperties": {
"domain name": "vm2",
"user name": "vm2\\contosoUser",
"process name": "c:\\users\\contosoUser\\scrsave.scr",
"command line": "c:\\users\\contosoUser\\scrsave.scr",
"parent process": "cmd.exe",
"process id": "0x4aec",
"account logon id": "0x61450d87",
"user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
"parent process id": "0x3c44",
"resourceType": "Virtual Machine"
},
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"supportingEvidenceList": [
{
"evidenceElements": [
{
"text": {
"arguments": {
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
},
"domainName": {
"type": "string",
"value": "domainName"
}
},
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
"fallback": "Actor enumerated UseDesKey on domain1.test.local"
},
"type": "evidenceElement",
"innerElements": null
}
],
"type": "nestedList"
},
{
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
],
"type": "supportingEvidenceList"
}
}
}
]
}
Definitioner
Name | Description |
---|---|
Alert |
Säkerhetsavisering |
Alert |
Ändra uppsättning egenskaper beroende på entitetstyp. |
Alert |
Lista över säkerhetsaviseringar |
alert |
Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
alert |
Livscykelstatus för aviseringen. |
Azure |
Azure-resursidentifierare. |
Cloud |
Vanligt felsvar för alla Azure Resource Manager-API:er för att returnera felinformation för misslyckade åtgärder. (Detta följer även OData-felsvarsformatet.). |
Cloud |
Felinformationen. |
Error |
Ytterligare information om resurshanteringsfelet. |
intent |
Den kill chain-relaterade avsikten bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center av avsikterna för kill chain som stöds. |
Log |
Representerar en Log Analytics-arbetsyteomfångsidentifierare. |
Supporting |
Ändra uppsättning egenskaper beroende på typen supportingEvidence. |
Alert
Säkerhetsavisering
Name | Typ | Description |
---|---|---|
id |
string |
Resurs-ID |
name |
string |
Resursnamn |
properties.alertDisplayName |
string |
Aviseringens visningsnamn. |
properties.alertType |
string |
Unik identifierare för identifieringslogik (alla aviseringsinstanser från samma identifieringslogik har samma alertType). |
properties.alertUri |
string |
En direktlänk till aviseringssidan i Azure-portalen. |
properties.compromisedEntity |
string |
Visningsnamnet för den resurs som är mest relaterad till den här aviseringen. |
properties.correlationKey |
string |
Nyckel för att corelatera relaterade aviseringar. Aviseringar med samma korrelationsnyckel anses vara relaterade. |
properties.description |
string |
Beskrivning av den misstänkta aktivitet som har identifierats. |
properties.endTimeUtc |
string |
UTC-tiden för den senaste händelsen eller aktiviteten som ingår i aviseringen i ISO8601 format. |
properties.entities |
En lista över entiteter som är relaterade till aviseringen. |
|
properties.extendedLinks |
object[] |
Länkar relaterade till aviseringen |
properties.extendedProperties |
object |
Anpassade egenskaper för aviseringen. |
properties.intent |
Den kill chain-relaterade avsikten bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center av avsikterna för kill chain som stöds. |
|
properties.isIncident |
boolean |
Det här fältet avgör om aviseringen är en incident (en sammansatt gruppering av flera aviseringar) eller en enda avisering. |
properties.processingEndTimeUtc |
string |
UTC-bearbetningen av sluttiden för aviseringen i ISO8601 format. |
properties.productComponentName |
string |
Namnet på Azure Security Center prisnivå som driver den här aviseringen. Lära sig mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
properties.productName |
string |
Namnet på den produkt som publicerade aviseringen (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender för Endpoint, Microsoft Defender för Office, Microsoft Defender for Cloud Apps och så vidare). |
properties.remediationSteps |
string[] |
Manuella åtgärdsobjekt att vidta för att åtgärda aviseringen. |
properties.resourceIdentifiers | ResourceIdentifier[]: |
Resursidentifierarna som kan användas för att dirigera aviseringen till rätt produktexponeringsgrupp (klientorganisation, arbetsyta, prenumeration osv.). Det kan finnas flera identifierare av olika typ per avisering. |
properties.severity |
Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
properties.startTimeUtc |
string |
UTC-tiden för den första händelsen eller aktiviteten som ingår i aviseringen i ISO8601 format. |
properties.status |
Livscykelstatus för aviseringen. |
|
properties.subTechniques |
string[] |
Kill chain related sub-techniques behind the alert (Döda kedja-relaterade undertekniker bakom aviseringen). |
properties.supportingEvidence |
Ändra uppsättning egenskaper beroende på typen supportingEvidence. |
|
properties.systemAlertId |
string |
Unik identifierare för aviseringen. |
properties.techniques |
string[] |
kill chain-relaterade tekniker bakom aviseringen. |
properties.timeGeneratedUtc |
string |
UTC-tiden då aviseringen genererades i ISO8601 format. |
properties.vendorName |
string |
Namnet på leverantören som genererar aviseringen. |
properties.version |
string |
Schemaversion. |
type |
string |
Resurstyp |
AlertEntity
Ändra uppsättning egenskaper beroende på entitetstyp.
Name | Typ | Description |
---|---|---|
type |
string |
Typ av entitet |
AlertList
Lista över säkerhetsaviseringar
Name | Typ | Description |
---|---|---|
nextLink |
string |
URI:n för att hämta nästa sida. |
value |
Alert[] |
beskriver säkerhetsaviseringsegenskaper. |
alertSeverity
Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
Name | Typ | Description |
---|---|---|
High |
string |
Högt |
Informational |
string |
Information |
Low |
string |
Låg |
Medium |
string |
Medel |
alertStatus
Livscykelstatus för aviseringen.
Name | Typ | Description |
---|---|---|
Active |
string |
En avisering som inte anger något värde tilldelas statusen "Aktiv" |
Dismissed |
string |
Avisering avvisad som falsk positiv |
InProgress |
string |
En avisering som är i hanteringstillstånd |
Resolved |
string |
Avisering stängd efter hantering |
AzureResourceIdentifier
Azure-resursidentifierare.
Name | Typ | Description |
---|---|---|
azureResourceId |
string |
ARM-resursidentifierare för molnresursen som aviseras |
type |
string:
Azure |
Det kan finnas flera identifierare av olika typ per avisering. Det här fältet anger identifierartypen. |
CloudError
Vanligt felsvar för alla Azure Resource Manager-API:er för att returnera felinformation för misslyckade åtgärder. (Detta följer även OData-felsvarsformatet.).
Name | Typ | Description |
---|---|---|
error.additionalInfo |
Ytterligare information om felet. |
|
error.code |
string |
Felkoden. |
error.details |
Felinformationen. |
|
error.message |
string |
Felmeddelandet. |
error.target |
string |
Felmålet. |
CloudErrorBody
Felinformationen.
Name | Typ | Description |
---|---|---|
additionalInfo |
Ytterligare information om felet. |
|
code |
string |
Felkoden. |
details |
Felinformationen. |
|
message |
string |
Felmeddelandet. |
target |
string |
Felmålet. |
ErrorAdditionalInfo
Ytterligare information om resurshanteringsfelet.
Name | Typ | Description |
---|---|---|
info |
object |
Den ytterligare informationen. |
type |
string |
Ytterligare informationstyp. |
intent
Den kill chain-relaterade avsikten bakom aviseringen. För en lista över värden som stöds och förklaringar av Azure Security Center av avsikterna för kill chain som stöds.
Name | Typ | Description |
---|---|---|
Collection |
string |
Insamling består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering. |
CommandAndControl |
string |
Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk. |
CredentialAccess |
string |
Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö. |
DefenseEvasion |
string |
Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra försvar. |
Discovery |
string |
Identifiering består av tekniker som gör det möjligt för angriparen att få kunskap om systemet och det interna nätverket. |
Execution |
string |
Körningstaktiken representerar tekniker som resulterar i körning av manipulerad kod på ett lokalt eller fjärranslutet system. |
Exfiltration |
string |
Exfiltrering avser tekniker och attribut som leder till eller hjälper angriparen att ta bort filer och information från ett målnätverk. |
Exploitation |
string |
Utnyttjande är den fas där en angripare lyckas få fotfäste på den angripna resursen. Den här fasen är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv. |
Impact |
string |
Påverkanshändelser försöker främst att direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk. inklusive manipulering av data för att påverka en affärsprocess eller en operativ process. |
InitialAccess |
string |
InitialAccess är den fas där en angripare lyckas få fotfäste på den angripna resursen. |
LateralMovement |
string |
Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och kan, men inte nödvändigtvis, inkludera körning av verktyg på fjärrsystem. |
Persistence |
string |
Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar i ett system som ger en hotskådespelare en beständig närvaro i systemet. |
PreAttack |
string |
PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett en skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och hitta en väg in. Mer information om PreAttack-fasen kan läsas i MITRE Pre-Att&ck-matrisen. |
PrivilegeEscalation |
string |
Privilegieeskalering är resultatet av åtgärder som gör att en angripare kan få en högre behörighetsnivå i ett system eller nätverk. |
Probing |
string |
Avsökning kan antingen vara ett försök att komma åt en viss resurs oavsett en skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. |
Unknown |
string |
Okänt |
LogAnalyticsIdentifier
Representerar en Log Analytics-arbetsyteomfångsidentifierare.
Name | Typ | Description |
---|---|---|
agentId |
string |
(valfritt) LogAnalytics-agent-ID:t rapporterar händelsen som aviseringen baseras på. |
type |
string:
Log |
Det kan finnas flera identifierare av olika typ per avisering. Det här fältet anger identifierartyp. |
workspaceId |
string |
LogAnalytics-arbetsytans ID som lagrar den här aviseringen. |
workspaceResourceGroup |
string |
Azure-resursgruppen för LogAnalytics-arbetsytan som lagrar den här aviseringen |
workspaceSubscriptionId |
string |
Azure-prenumerations-ID:t för LogAnalytics-arbetsytan som lagrar den här aviseringen. |
SupportingEvidence
Ändra uppsättning egenskaper beroende på typen supportingEvidence.
Name | Typ | Description |
---|---|---|
type |
string |
Typ av supportingEvidence |