Alerts - Get Resource Group Level
Kaynak grubu veya kaynak grubundaki bir kaynakla ilişkilendirilmiş bir uyarı alma
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01URI Parametreleri
| Name | İçinde | Gerekli | Tür | Description |
|---|---|---|---|---|
|
alert
|
path | True |
string |
Uyarı nesnesinin adı |
|
asc
|
path | True |
string |
ASC'nin aboneliğin verilerini depoladığı konum. Get konumlarından alınabilir |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
Kaynak grubunun adı. Ad büyük/küçük harfe duyarsız. |
|
subscription
|
path | True |
string (uuid) |
Hedef aboneliğin kimliği. Değer bir UUID olmalıdır. |
|
api-version
|
query | True |
string minLength: 1 |
Bu işlem için kullanılacak API sürümü. |
Yanıtlar
| Name | Tür | Description |
|---|---|---|
| 200 OK |
Azure işlemi başarıyla tamamlandı. |
|
| Other Status Codes |
Beklenmeyen bir hata yanıtı. |
Güvenlik
azure_auth
Azure Active Directory OAuth2 Akışı.
Tür:
oauth2
Akış:
implicit
Yetkilendirme URL’si:
https://login.microsoftonline.com/common/oauth2/authorize
Kapsamlar
| Name | Description |
|---|---|
| user_impersonation | kullanıcı hesabınızın kimliğine bürünme |
Örnekler
Get security alert on a resource group from a security data location
Örnek isteği
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a?api-version=2022-01-01
Örnek yanıt
{
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"properties": {
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"alertType": "VM_EICAR",
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"compromisedEntity": "vm1",
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"entities": [
{
"type": "ip",
"address": "192.0.2.1",
"location": {
"asn": 6584,
"city": "sonning",
"countryCode": "gb",
"latitude": 51.468,
"longitude": -0.909,
"state": "wokingham"
}
}
],
"extendedLinks": [
{
"Category": "threat_reports",
"Href": "https://contoso.com/reports/DisplayReport",
"Label": "Report: RDP Brute Forcing",
"Type": "webLink"
}
],
"extendedProperties": {
"Property1": "Property1 information"
},
"intent": "Execution",
"isIncident": true,
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"productComponentName": "testName",
"productName": "Azure Security Center",
"remediationSteps": [
"No further action is needed."
],
"resourceIdentifiers": [
{
"type": "AzureResource",
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"
},
{
"type": "LogAnalytics",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceResourceGroup": "myRg1",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23"
}
],
"severity": "High",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"status": "Active",
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "supportingEvidenceList",
"supportingEvidenceList": [
{
"type": "nestedList",
"evidenceElements": [
{
"type": "evidenceElement",
"innerElements": null,
"text": {
"arguments": {
"domainName": {
"type": "string",
"value": "domainName"
},
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
}
},
"fallback": "Actor enumerated UseDesKey on domain1.test.local",
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7"
}
}
]
},
{
"type": "tabularEvidences",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
],
"title": "Investigate activity test"
}
]
},
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"vendorName": "Microsoft",
"version": "2022-01-01"
}
}Tanımlar
| Name | Description |
|---|---|
| Alert |
Güvenlik uyarısı |
|
Alert |
Varlık türüne bağlı olarak özellik kümesini değiştirme. |
|
Alert |
destekleyiciEvidence türüne bağlı olarak özellik kümesini değiştirme. |
|
Alert |
Algılanan tehdidin risk düzeyi. Daha fazla bilgi edinin: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
Alert |
Uyarının yaşam döngüsü durumu. |
|
Azure |
Azure kaynak tanımlayıcısı. |
|
Common. |
Başarısız işlemlerin hata ayrıntılarını döndürmek için tüm Azure Resource Manager API'leri için genel hata yanıtı. (Bu, OData hata yanıt biçimini de izler.). |
|
Common. |
Hata ayrıntısı. |
|
created |
Kaynağı oluşturan kimliğin türü. |
|
Error |
Kaynak yönetimi hatası ek bilgileri. |
| Intent |
Uyarının arkasındaki sonlandırma zinciriyle ilgili amaç. Desteklenen değerlerin listesi ve Azure Güvenlik Merkezi'nin desteklenen sonlandırma zinciri amaçlarının açıklamaları için. |
|
Log |
Log Analytics çalışma alanı kapsam tanımlayıcılarını temsil eder. |
|
Resource |
Uyarı başına farklı türde birden çok tanımlayıcı olabilir, bu alan tanımlayıcı türünü belirtir. |
|
system |
Kaynağın oluşturulması ve son değiştirilmesiyle ilgili meta veriler. |
Alert
Güvenlik uyarısı
| Name | Tür | Description |
|---|---|---|
| id |
string (arm-id) |
Kaynağın tam kaynak kimliği. Örneğin "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
Kaynağın adı |
| properties.alertDisplayName |
string |
Uyarının görünen adı. |
| properties.alertType |
string |
Algılama mantığı için benzersiz tanımlayıcı (aynı algılama mantığındaki tüm uyarı örnekleri aynı alertType'a sahip olur). |
| properties.alertUri |
string |
Azure portal'da uyarı sayfasına doğrudan bağlantı. |
| properties.compromisedEntity |
string |
Bu uyarıyla en ilgili kaynağın görünen adı. |
| properties.correlationKey |
string |
İlgili uyarıları çekirdek oluşturma anahtarı. İlişkili olduğu düşünülen aynı bağıntı anahtarına sahip uyarılar. |
| properties.description |
string |
Algılanan şüpheli etkinliğin açıklaması. |
| properties.endTimeUtc |
string (date-time) |
Uyarıya ISO8601 biçimde dahil edilen son olayın veya etkinliğin UTC saati. |
| properties.entities |
Uyarıyla ilgili varlıkların listesi. |
|
| properties.extendedLinks |
object[] |
Uyarıyla ilgili bağlantılar |
| properties.extendedProperties |
object |
Uyarı için özel özellikler. |
| properties.intent |
Uyarının arkasındaki sonlandırma zinciriyle ilgili amaç. Desteklenen değerlerin listesi ve Azure Güvenlik Merkezi'nin desteklenen sonlandırma zinciri amaçlarının açıklamaları için. |
|
| properties.isIncident |
boolean |
Bu alan, uyarının bir olay mı (birkaç uyarıdan oluşan bileşik bir gruplama) yoksa tek bir uyarı mı olduğunu belirler. |
| properties.processingEndTimeUtc |
string (date-time) |
Uyarının UTC işleme bitiş saati ISO8601 biçimindedir. |
| properties.productComponentName |
string |
Bu uyarıyı destekleyen Azure Güvenlik Merkezi fiyatlandırma katmanının adı. Daha fazla bilgi edinin: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
| properties.productName |
string |
Bu uyarıyı yayımlayan ürünün adı (Microsoft Sentinel, Kimlik için Microsoft Defender, Uç Nokta için Microsoft Defender, Office için Microsoft Defender, Cloud Apps için Microsoft Defender vb.). |
| properties.remediationSteps |
string[] |
Uyarıyı düzeltmek için el ile gerçekleştirilen eylem öğeleri. |
| properties.resourceIdentifiers | ResourceIdentifier[]: |
Uyarıyı doğru ürün açığa çıkarma grubuna (kiracı, çalışma alanı, abonelik vb.) yönlendirmek için kullanılabilecek kaynak tanımlayıcıları. Uyarı başına farklı türde birden çok tanımlayıcı olabilir. |
| properties.severity |
Algılanan tehdidin risk düzeyi. Daha fazla bilgi edinin: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
| properties.startTimeUtc |
string (date-time) |
Uyarıya ISO8601 biçimde dahil edilen ilk olayın veya etkinliğin UTC saati. |
| properties.status |
Uyarının yaşam döngüsü durumu. |
|
| properties.subTechniques |
string[] |
Uyarının arkasındaki zincirle ilgili alt teknikleri sonlandırma. |
| properties.supportingEvidence |
destekleyiciEvidence türüne bağlı olarak özellik kümesini değiştirme. |
|
| properties.systemAlertId |
string |
Uyarının benzersiz tanımlayıcısı. |
| properties.techniques |
string[] |
uyarının arkasındaki sonlandırma zinciriyle ilgili teknikler. |
| properties.timeGeneratedUtc |
string (date-time) |
Uyarının ISO8601 biçimde oluşturulduğu UTC saati. |
| properties.vendorName |
string |
Uyarıyı oluşturan satıcının adı. |
| properties.version |
string |
Şema sürümü. |
| systemData |
createdBy ve modifiedBy bilgilerini içeren Azure Resource Manager meta verileri. |
|
| type |
string |
Kaynağın türü. Örneğin, "Microsoft.Compute/virtualMachines" veya "Microsoft.Storage/storageAccounts" |
AlertEntity
Varlık türüne bağlı olarak özellik kümesini değiştirme.
| Name | Tür | Description |
|---|---|---|
| type |
string |
Varlık türü |
AlertPropertiesSupportingEvidence
destekleyiciEvidence türüne bağlı olarak özellik kümesini değiştirme.
| Name | Tür | Description |
|---|---|---|
| type |
string |
destekleyiciEvidence türü |
AlertSeverity
Algılanan tehdidin risk düzeyi. Daha fazla bilgi edinin: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
| Değer | Description |
|---|---|
| Informational |
Bilgi |
| Low |
Alçak |
| Medium |
Orta |
| High |
Yüksek |
AlertStatus
Uyarının yaşam döngüsü durumu.
| Değer | Description |
|---|---|
| Active |
Değer belirtmeyen bir uyarıya 'Etkin' durumu atanır |
| InProgress |
İşleme durumunda olan bir uyarı |
| Resolved |
İşleme sonrasında uyarı kapatıldı |
| Dismissed |
Uyarı hatalı pozitif olarak kapatıldı |
AzureResourceIdentifier
Azure kaynak tanımlayıcısı.
| Name | Tür | Description |
|---|---|---|
| azureResourceId |
string |
Uyarıda bulunan bulut kaynağının ARM kaynak tanımlayıcısı |
| type |
string:
Azure |
Uyarı başına farklı türde birden çok tanımlayıcı olabilir, bu alan tanımlayıcı türünü belirtir. |
Common.CloudError
Başarısız işlemlerin hata ayrıntılarını döndürmek için tüm Azure Resource Manager API'leri için genel hata yanıtı. (Bu, OData hata yanıt biçimini de izler.).
| Name | Tür | Description |
|---|---|---|
| error.additionalInfo |
Hata ek bilgileri. |
|
| error.code |
string |
Hata kodu. |
| error.details |
Hata ayrıntıları. |
|
| error.message |
string |
Hata iletisi. |
| error.target |
string |
Hata hedefi. |
Common.CloudErrorBody
Hata ayrıntısı.
| Name | Tür | Description |
|---|---|---|
| additionalInfo |
Hata ek bilgileri. |
|
| code |
string |
Hata kodu. |
| details |
Hata ayrıntıları. |
|
| message |
string |
Hata iletisi. |
| target |
string |
Hata hedefi. |
createdByType
Kaynağı oluşturan kimliğin türü.
| Değer | Description |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
ErrorAdditionalInfo
Kaynak yönetimi hatası ek bilgileri.
| Name | Tür | Description |
|---|---|---|
| info |
object |
Ek bilgiler. |
| type |
string |
Ek bilgi türü. |
Intent
Uyarının arkasındaki sonlandırma zinciriyle ilgili amaç. Desteklenen değerlerin listesi ve Azure Güvenlik Merkezi'nin desteklenen sonlandırma zinciri amaçlarının açıklamaları için.
| Değer | Description |
|---|---|
| Unknown |
Bilinmeyen |
| PreAttack |
PreAttack, kötü amaçlı bir amaç ne olursa olsun belirli bir kaynağa erişme girişimi veya açıklardan yararlanmadan önce bilgi toplamak için hedef sisteme erişim elde etme girişimi başarısız olabilir. Bu adım genellikle hedef sistemi taramak ve bir yol bulmak için ağ dışından gelen bir girişim olarak algılanır. PreAttack aşamasıyla ilgili diğer ayrıntılar MITRE Pre-Att&ck matrisokunabilir. |
| InitialAccess |
InitialAccess, saldırganın saldırıya uğrayan kaynağa ayak basmayı başardığı aşamadır. |
| Persistence |
Kalıcılık, bir sistemde tehdit aktörlerine kalıcı bir iletişim durumu sağlayan herhangi bir erişim, eylem veya yapılandırma değişikliğidir. |
| PrivilegeEscalation |
Ayrıcalık yükseltme, bir saldırganın bir sistem veya ağ üzerinde daha yüksek düzeyde izin almasına olanak tanıyan eylemlerin sonucudur. |
| DefenseEvasion |
Savunma kaçışı, bir saldırganın algılamadan kaçınmak veya diğer savunmalardan kaçınmak için kullanabileceği tekniklerden oluşur. |
| CredentialAccess |
Kimlik bilgisi erişimi, kurumsal bir ortamda kullanılan sistem, etki alanı veya hizmet kimlik bilgilerine erişim veya bu kimlik bilgileri üzerinde denetime neden olan teknikleri temsil eder. |
| Discovery |
Keşif, saldırganın sistem ve iç ağ hakkında bilgi edinebilmesini sağlayan tekniklerden oluşur. |
| LateralMovement |
Yanal hareket, bir saldırganın bir ağdaki uzak sistemlere erişmesini ve bu sistemleri denetlemesini sağlayan tekniklerden oluşur ve uzak sistemlerde araçların yürütülmesini içermeyebilir. |
| Execution |
Yürütme taktiği, yerel veya uzak sistemde saldırgan denetimli kodun yürütülmesine neden olan teknikleri temsil eder. |
| Collection |
Koleksiyon, sızdırmadan önce hedef ağdan hassas dosyalar gibi bilgileri tanımlamak ve toplamak için kullanılan tekniklerden oluşur. |
| Exfiltration |
Sızdırma, saldırganın hedef ağdan dosya ve bilgi kaldırmasına neden olan veya yardımcı olan teknikleri ve öznitelikleri ifade eder. |
| CommandAndControl |
Komut ve denetim taktiği, saldırganların bir hedef ağ içindeki kontrolleri altındaki sistemlerle nasıl iletişim kursalar onu temsil eder. |
| Impact |
Etki olayları öncelikli olarak bir sistemin, hizmetin veya ağın kullanılabilirliğini veya bütünlüğünü doğrudan azaltmaya çalışır; bir iş veya operasyonel süreci etkilemek için verilerin işlenmesini de içerir. |
| Probing |
Yoklama, kötü amaçlı bir amaç ne olursa olsun belirli bir kaynağa erişme girişimi veya yararlanmadan önce bilgi toplamak için hedef sisteme erişim elde etme girişimi başarısız olabilir. |
| Exploitation |
Sömürü, saldırganın saldırıya uğrayan kaynağa bir ayak dayanağı almayı başardığı aşamadır. Bu aşama, işlem konakları ve kullanıcı hesapları, sertifikalar vb. kaynaklar için geçerlidir. |
LogAnalyticsIdentifier
Log Analytics çalışma alanı kapsam tanımlayıcılarını temsil eder.
| Name | Tür | Description |
|---|---|---|
| agentId |
string |
(isteğe bağlı) Bu uyarının temel aldığı olayı bildiren LogAnalytics aracı kimliği. |
| type |
string:
Log |
Uyarı başına farklı türde birden çok tanımlayıcı olabilir, bu alan tanımlayıcı türünü belirtir. |
| workspaceId |
string |
Bu uyarıyı depolayan LogAnalytics çalışma alanı kimliği. |
| workspaceResourceGroup |
string |
Bu uyarıyı depolayarak LogAnalytics çalışma alanı için azure kaynak grubu |
| workspaceSubscriptionId |
string pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$ |
Bu uyarıyı depolayarak LogAnalytics çalışma alanının azure abonelik kimliği. |
ResourceIdentifierType
Uyarı başına farklı türde birden çok tanımlayıcı olabilir, bu alan tanımlayıcı türünü belirtir.
| Değer | Description |
|---|---|
| AzureResource |
AzureResource |
| LogAnalytics |
Günlük Analitiği |
systemData
Kaynağın oluşturulması ve son değiştirilmesiyle ilgili meta veriler.
| Name | Tür | Description |
|---|---|---|
| createdAt |
string (date-time) |
Kaynak oluşturma (UTC) zaman damgası. |
| createdBy |
string |
Kaynağı oluşturan kimlik. |
| createdByType |
Kaynağı oluşturan kimliğin türü. |
|
| lastModifiedAt |
string (date-time) |
Kaynağın son değişikliğinin zaman damgası (UTC) |
| lastModifiedBy |
string |
Kaynağı en son değiştiren kimlik. |
| lastModifiedByType |
Kaynağı en son değiştiren kimlik türü. |