Alerts - List By Resource Group

Služba:

Defender for Cloud

Verze rozhraní API:

2022-01-01

Zobrazení seznamu všech výstrah přidružených ke skupině prostředků

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2022-01-01

Parametry identifikátoru URI

Name	V	Vyžadováno	Typ	Description
resourceGroupName	path	True	string	Název skupiny prostředků v rámci předplatného uživatele. Název nerozlišuje malá a velká písmena. Vzor regulárního výrazu: ^[-\w\._\(\)]+$
subscriptionId	path	True	string	ID předplatného Azure Vzor regulárního výrazu: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	Verze rozhraní API pro operaci

Odpovědi

Name	Typ	Description
200 OK	AlertList	OK
Other Status Codes	CloudError	Chybová odpověď popisující, proč operace selhala.

Zabezpečení

azure_auth

Azure Active Directory OAuth2 Flow

Typ: oauth2
Tok: implicit
URL autorizace: https://login.microsoftonline.com/common/oauth2/authorize

Rozsahy

Name	Description
user_impersonation	zosobnění uživatelského účtu

Příklady

Get security alerts on a resource group

Ukázkový požadavek

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2022-01-01

Java

/**
 * Samples for Alerts ListByResourceGroup.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertsResourceGroup_example.json
     */
    /**
     * Sample code: Get security alerts on a resource group.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertsOnAResourceGroup(com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().listByResourceGroup("myRg1", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
func ExampleAlertsClient_NewListByResourceGroupPager() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	pager := clientFactory.NewAlertsClient().NewListByResourceGroupPager("myRg1", nil)
	for pager.More() {
		page, err := pager.NextPage(ctx)
		if err != nil {
			log.Fatalf("failed to advance page: %v", err)
		}
		for _, v := range page.Value {
			// You could use page here. We use blank identifier for just demo purposes.
			_ = v
		}
		// If the HTTP response code is 200 as defined in example definition, your page structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
		// page.AlertList = armsecurity.AlertList{
		// 	Value: []*armsecurity.Alert{
		// 		{
		// 			Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 			Type: to.Ptr("Microsoft.Security/Locations/alerts"),
		// 			ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
		// 			Properties: &armsecurity.AlertProperties{
		// 				Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
		// 				AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
		// 				AlertType: to.Ptr("VM_EICAR"),
		// 				AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
		// 				CompromisedEntity: to.Ptr("vm1"),
		// 				CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
		// 				EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 				Entities: []*armsecurity.AlertEntity{
		// 					{
		// 						AdditionalProperties: map[string]any{
		// 							"address": "192.0.2.1",
		// 							"location": map[string]any{
		// 								"asn": float64(6584),
		// 								"city": "sonning",
		// 								"countryCode": "gb",
		// 								"latitude": float64(51.468),
		// 								"longitude": float64(-0.909),
		// 								"state": "wokingham",
		// 							},
		// 						},
		// 						Type: to.Ptr("ip"),
		// 				}},
		// 				ExtendedLinks: []map[string]*string{
		// 					map[string]*string{
		// 						"Category": to.Ptr("threat_reports"),
		// 						"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
		// 						"Label": to.Ptr("Report: RDP Brute Forcing"),
		// 						"Type": to.Ptr("webLink"),
		// 				}},
		// 				ExtendedProperties: map[string]*string{
		// 					"Property1": to.Ptr("Property1 information"),
		// 				},
		// 				Intent: to.Ptr(armsecurity.IntentExecution),
		// 				IsIncident: to.Ptr(true),
		// 				ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
		// 				ProductComponentName: to.Ptr("testName"),
		// 				ProductName: to.Ptr("Azure Security Center"),
		// 				RemediationSteps: []*string{
		// 					to.Ptr("No further action is needed.")},
		// 					ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
		// 						&armsecurity.AzureResourceIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
		// 							AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
		// 						},
		// 						&armsecurity.LogAnalyticsIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
		// 							AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
		// 							WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
		// 							WorkspaceResourceGroup: to.Ptr("myRg1"),
		// 							WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
		// 					}},
		// 					Severity: to.Ptr(armsecurity.AlertSeverityHigh),
		// 					StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 					Status: to.Ptr(armsecurity.AlertStatusActive),
		// 					SubTechniques: []*string{
		// 						to.Ptr("T1059.001"),
		// 						to.Ptr("T1059.006"),
		// 						to.Ptr("T1053.002")},
		// 						SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
		// 							AdditionalProperties: map[string]any{
		// 								"supportingEvidenceList": []any{
		// 									map[string]any{
		// 										"type": "nestedList",
		// 										"evidenceElements":[]any{
		// 											map[string]any{
		// 												"type": "evidenceElement",
		// 												"innerElements": nil,
		// 												"text":map[string]any{
		// 													"arguments":map[string]any{
		// 														"domainName":map[string]any{
		// 															"type": "string",
		// 															"value": "domainName",
		// 														},
		// 														"sensitiveEnumerationTypes":map[string]any{
		// 															"type": "string[]",
		// 															"value":[]any{
		// 																"UseDesKey",
		// 															},
		// 														},
		// 													},
		// 													"fallback": "Actor enumerated UseDesKey on domain1.test.local",
		// 													"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
		// 												},
		// 											},
		// 										},
		// 									},
		// 									map[string]any{
		// 										"type": "tabularEvidences",
		// 										"columns":[]any{
		// 											"Date",
		// 											"Activity",
		// 											"User",
		// 											"TestedText",
		// 											"TestedValue",
		// 										},
		// 										"rows":[]any{
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser2",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser3",
		// 												"true",
		// 												true,
		// 											},
		// 										},
		// 										"title": "Investigate activity test",
		// 									},
		// 								},
		// 							},
		// 							Type: to.Ptr("supportingEvidenceList"),
		// 						},
		// 						SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 						Techniques: []*string{
		// 							to.Ptr("T1059"),
		// 							to.Ptr("T1053"),
		// 							to.Ptr("T1072")},
		// 							TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
		// 							VendorName: to.Ptr("Microsoft"),
		// 							Version: to.Ptr("2022-01-01"),
		// 						},
		// 				}},
		// 			}
	}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to List all the alerts that are associated with the resource group
 *
 * @summary List all the alerts that are associated with the resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
 */
async function getSecurityAlertsOnAResourceGroup() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const resArray = new Array();
  for await (let item of client.alerts.listByResourceGroup(resourceGroupName)) {
    resArray.push(item);
  }
  console.log(resArray);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Resources;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
// this example is just showing the usage of "Alerts_ListByResourceGroup" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupResource created on azure
// for more information of creating ResourceGroupResource, please refer to the document of ResourceGroupResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = client.GetResourceGroupResource(resourceGroupResourceId);

// invoke the operation and iterate over the result
await foreach (SecurityAlertData item in resourceGroupResource.GetAlertsByResourceGroupAsync())
{
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {item.Id}");
}

Console.WriteLine($"Succeeded");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Ukázková odpověď

Stavový kód:

200

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

Definice

Name	Description
Alert	Výstraha zabezpečení
AlertEntity	Změna sady vlastností v závislosti na typu entity
AlertList	Seznam výstrah zabezpečení
alertSeverity	Úroveň rizika zjištěné hrozby. Další informace: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	Stav životního cyklu výstrahy.
AzureResourceIdentifier	Identifikátor prostředku Azure.
CloudError	Běžná chybová odpověď pro všechna rozhraní API Azure Resource Manageru pro vrácení podrobností o chybě pro neúspěšné operace (To se také řídí formátem odpovědi na chybu OData.)
CloudErrorBody	Podrobnosti o chybě.
ErrorAdditionalInfo	Další informace o chybě správy prostředků
intent	Záměr související s řetězem kill za výstrahou. Seznam podporovaných hodnot a vysvětlení podporovaných záměrů řetězce ukončení služby Azure Security Center.
LogAnalyticsIdentifier	Představuje identifikátor oboru pracovního prostoru služby Log Analytics.
SupportingEvidence	Změna sady vlastností v závislosti na podpůrném typuEvidence

Alert

Výstraha zabezpečení

Name	Typ	Description
id	string	ID prostředku
name	string	Název prostředku
properties.alertDisplayName	string	Zobrazovaný název výstrahy.
properties.alertType	string	Jedinečný identifikátor logiky detekce (všechny instance výstrah ze stejné logiky detekce budou mít stejný typ výstrahy).
properties.alertUri	string	Přímý odkaz na stránku upozornění na webu Azure Portal
properties.compromisedEntity	string	Zobrazovaný název prostředku, který souvisí s touto výstrahou.
properties.correlationKey	string	Klíč pro spoluvytyčování souvisejících výstrah. Výstrahy se stejným korelačním klíčem, který se považuje za související.
properties.description	string	Popis podezřelé aktivity, která byla zjištěna.
properties.endTimeUtc	string	Čas UTC poslední události nebo aktivity zahrnuté v upozornění ve formátu ISO8601.
properties.entities	AlertEntity[]	Seznam entit souvisejících s výstrahou
properties.extendedLinks	object[]	Odkazy související s upozorněním
properties.extendedProperties	object	Vlastní vlastnosti výstrahy
properties.intent	intent	Záměr související s řetězem kill za výstrahou. Seznam podporovaných hodnot a vysvětlení podporovaných záměrů řetězce ukončení služby Azure Security Center.
properties.isIncident	boolean	Toto pole určuje, jestli se jedná o incident (složené seskupení několika výstrah) nebo o jednu výstrahu.
properties.processingEndTimeUtc	string	Koncový čas zpracování utc výstrahy ve formátu ISO8601.
properties.productComponentName	string	Název cenové úrovně služby Azure Security Center, která tuto výstrahu vynutí. Další informace: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	Název produktu, který publikoval toto upozornění (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender for Office, Microsoft Defender for Cloud Apps atd.).
properties.remediationSteps	string[]	Položky ruční akce, které se mají provést k nápravě výstrahy.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Identifikátory prostředků, které lze použít k nasměrování výstrahy na správnou skupinu vystavení produktu (tenant, pracovní prostor, předplatné atd.). Pro každou výstrahu může existovat více identifikátorů různých typů.
properties.severity	alertSeverity	Úroveň rizika zjištěné hrozby. Další informace: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	Čas UTC první události nebo aktivity zahrnuté v upozornění ve formátu ISO8601.
properties.status	alertStatus	Stav životního cyklu výstrahy.
properties.subTechniques	string[]	Za upozorněním ukončete dílčí techniky související s řetězem.
properties.supportingEvidence	SupportingEvidence	Změna sady vlastností v závislosti na podpůrném typuEvidence
properties.systemAlertId	string	Jedinečný identifikátor výstrahy.
properties.techniques	string[]	kill chain related techniques behind the alert.
properties.timeGeneratedUtc	string	Čas UTC, kdy se výstraha vygenerovala ve formátu ISO8601
properties.vendorName	string	Název dodavatele, který výstrahu vyvolá.
properties.version	string	Verze schématu
type	string	Typ prostředku

AlertEntity

Změna sady vlastností v závislosti na typu entity

Name	Typ	Description
type	string	Typ entity

AlertList

Seznam výstrah zabezpečení

Name	Typ	Description
nextLink	string	Identifikátor URI pro načtení další stránky.
value	Alert[]	popisuje vlastnosti výstrah zabezpečení.

alertSeverity

Úroveň rizika zjištěné hrozby. Další informace: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Name	Typ	Description
High	string	Vysoko
Informational	string	Informační
Low	string	Nízký
Medium	string	Středně

alertStatus

Stav životního cyklu výstrahy.

Name	Typ	Description
Active	string	Upozornění, které neurčí hodnotu, má přiřazený stav Aktivní.
Dismissed	string	Upozornění bylo zamítnuto jako falešně pozitivní
InProgress	string	Výstraha, která je ve stavu zpracování
Resolved	string	Výstraha se po zpracování zavřela.

AzureResourceIdentifier

Identifikátor prostředku Azure.

Name	Typ	Description
azureResourceId	string	Identifikátor prostředku ARM pro cloudový prostředek, na který se zobrazuje upozornění
type	string: AzureResource	Pro každou výstrahu může existovat více identifikátorů různých typů, toto pole určuje typ identifikátoru.

CloudError

Běžná chybová odpověď pro všechna rozhraní API Azure Resource Manageru pro vrácení podrobností o chybě pro neúspěšné operace (To se také řídí formátem odpovědi na chybu OData.)

Name	Typ	Description
error.additionalInfo	ErrorAdditionalInfo[]	Další informace o chybě.
error.code	string	Kód chyby.
error.details	CloudErrorBody[]	Podrobnosti o chybě.
error.message	string	Chybová zpráva.
error.target	string	Cíl chyby.

CloudErrorBody

Podrobnosti o chybě.

Name	Typ	Description
additionalInfo	ErrorAdditionalInfo[]	Další informace o chybě.
code	string	Kód chyby.
details	CloudErrorBody[]	Podrobnosti o chybě.
message	string	Chybová zpráva.
target	string	Cíl chyby.

ErrorAdditionalInfo

Další informace o chybě správy prostředků

Name	Typ	Description
info	object	Další informace.
type	string	Další typ informací.

intent

Záměr související s řetězem kill za výstrahou. Seznam podporovaných hodnot a vysvětlení podporovaných záměrů řetězce ukončení služby Azure Security Center.

Name	Typ	Description
Collection	string	Kolekce se skládá z technik používaných k identifikaci a shromažďování informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací.
CommandAndControl	string	Taktika příkazů a řízení představuje způsob, jakým nežádoucí osoba komunikují se systémy pod jejich kontrolou v rámci cílové sítě.
CredentialAccess	string	Přístup k přihlašovacím údajům představuje techniky, které vedou k přístupu k systému, doméně nebo přihlašovacím údajům služby, které se používají v podnikovém prostředí nebo k jejich řízení.
DefenseEvasion	string	Úniky se skládají z technik, které může nežádoucí osoba použít k tomu, aby se zabránilo detekci nebo zabránění jiným obranám.
Discovery	string	Zjišťování se skládá z technik, které nežádoucímu uživateli umožňují získat znalosti o systému a interní síti.
Execution	string	Taktika provádění představuje techniky, které vedou ke spuštění nežádoucího kódu řízeného v místním nebo vzdáleném systému.
Exfiltration	string	Exfiltrace odkazuje na techniky a atributy, které vedou k nežádoucímu odebrání souborů a informací z cílové sítě nebo pomáhají.
Exploitation	string	Zneužití je fáze, ve které se útočníkovi podaří získat zápatí napadeného prostředku. Tato fáze je relevantní pro výpočetní hostitele a prostředky, jako jsou uživatelské účty, certifikáty atd.
Impact	string	Události dopadu se primárně snaží snížit dostupnost nebo integritu systému, služby nebo sítě; včetně manipulace s daty, které mají vliv na obchodní nebo provozní proces.
InitialAccess	string	InitialAccess je fáze, ve které se útočníkovi podaří získat přístup k napadenému prostředku.
LateralMovement	string	Laterální pohyb se skládá z technik, které nežádoucímu člověku umožňují přistupovat ke vzdáleným systémům v síti a řídit je a nemusí nutně zahrnovat provádění nástrojů ve vzdálených systémech.
Persistence	string	Trvalost je jakákoli změna přístupu, akce nebo konfigurace v systému, která dává objektu actor hrozby trvalou přítomnost v daném systému.
PreAttack	string	Předběžné připojení může být buď pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr, nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromáždění informací před zneužitím. Tento krok se obvykle detekuje jako pokus, který pochází z oblasti mimo síť, ke kontrole cílového systému a vyhledání cesty. Další podrobnosti o preattack fázi lze přečíst v MITRE Pre-Att&ck matice.
PrivilegeEscalation	string	Eskalace oprávnění je výsledkem akcí, které nežádoucímu uživateli umožňují získat vyšší úroveň oprávnění v systému nebo síti.
Probing	string	Sondování může být buď pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr, nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromáždění informací před zneužitím.
Unknown	string	Neznámý

LogAnalyticsIdentifier

Představuje identifikátor oboru pracovního prostoru služby Log Analytics.

Name	Typ	Description
agentId	string	(volitelné) ID agenta LogAnalytics hlásí událost, na které je tato výstraha založená.
type	string: LogAnalytics	Pro každou výstrahu může existovat více identifikátorů různých typů, toto pole určuje typ identifikátoru.
workspaceId	string	ID pracovního prostoru LogAnalytics, ve které je tato výstraha uložená.
workspaceResourceGroup	string	Skupina prostředků Azure pro pracovní prostor LogAnalytics, do které se ukládá tato výstraha
workspaceSubscriptionId	string	ID předplatného Azure pro pracovní prostor LogAnalytics, do které se ukládá toto upozornění.

SupportingEvidence

Změna sady vlastností v závislosti na podpůrném typuEvidence

Name	Typ	Description
type	string	Typ podpůrné funkceEvidence