Alerts - Get Resource Group Level

Dienst:

Defender for Cloud

API-Version:

2022-01-01

Abrufen einer Warnung, die einer Ressourcengruppe oder einer Ressource in einer Ressourcengruppe zugeordnet ist

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

URI-Parameter

Name	In	Erforderlich	Typ	Beschreibung
alertName	path	True	string	Name des Warnungsobjekts
ascLocation	path	True	string	Der Ort, an dem ASC die Daten des Abonnements speichert. kann von Get-Speicherorten abgerufen werden
resourceGroupName	path	True	string	Der Name der Ressourcengruppe innerhalb des Abonnements des Benutzers. Bei dem Namen wird die Groß-/Kleinschreibung nicht beachtet. RegEx-Muster: ^[-\w\._\(\)]+$
subscriptionId	path	True	string	Azure-Abonnement-ID RegEx-Muster: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	API-Version für den Vorgang

Antworten

Name	Typ	Beschreibung
200 OK	Alert	OKAY
Other Status Codes	CloudError	Fehlerantwort, die beschreibt, warum der Vorgang fehlgeschlagen ist.

Sicherheit

azure_auth

Azure Active Directory OAuth2-Fluss

Typ: oauth2
Ablauf: implicit
Autorisierungs-URL: https://login.microsoftonline.com/common/oauth2/authorize

Bereiche

Name	Beschreibung
user_impersonation	Identitätswechsel ihres Benutzerkontos

Beispiele

Get security alert on a resource group from a security data location

Beispielanforderung

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a?api-version=2022-01-01

Java

/**
 * Samples for Alerts GetResourceGroupLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertResourceGroupLocation_example.json
     */
    /**
     * Sample code: Get security alert on a resource group from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnAResourceGroupFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getResourceGroupLevelWithResponse("myRg1", "westeurope",
            "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
func ExampleAlertsClient_GetResourceGroupLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetResourceGroupLevel(ctx, "myRg1", "westeurope", "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"supportingEvidenceList": []any{
	// 							map[string]any{
	// 								"type": "nestedList",
	// 								"evidenceElements":[]any{
	// 									map[string]any{
	// 										"type": "evidenceElement",
	// 										"innerElements": nil,
	// 										"text":map[string]any{
	// 											"arguments":map[string]any{
	// 												"domainName":map[string]any{
	// 													"type": "string",
	// 													"value": "domainName",
	// 												},
	// 												"sensitiveEnumerationTypes":map[string]any{
	// 													"type": "string[]",
	// 													"value":[]any{
	// 														"UseDesKey",
	// 													},
	// 												},
	// 											},
	// 											"fallback": "Actor enumerated UseDesKey on domain1.test.local",
	// 											"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
	// 										},
	// 									},
	// 								},
	// 							},
	// 							map[string]any{
	// 								"type": "tabularEvidences",
	// 								"columns":[]any{
	// 									"Date",
	// 									"Activity",
	// 									"User",
	// 									"TestedText",
	// 									"TestedValue",
	// 								},
	// 								"rows":[]any{
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser2",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser3",
	// 										"true",
	// 										true,
	// 									},
	// 								},
	// 								"title": "Investigate activity test",
	// 							},
	// 						},
	// 					},
	// 					Type: to.Ptr("supportingEvidenceList"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated a resource group or a resource in a resource group
 *
 * @summary Get an alert that is associated a resource group or a resource in a resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
 */
async function getSecurityAlertOnAResourceGroupFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const ascLocation = "westeurope";
  const alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getResourceGroupLevel(
    resourceGroupName,
    ascLocation,
    alertName,
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
// this example is just showing the usage of "Alerts_GetResourceGroupLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupSecurityAlertResource created on azure
// for more information of creating ResourceGroupSecurityAlertResource, please refer to the document of ResourceGroupSecurityAlertResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
AzureLocation ascLocation = new AzureLocation("westeurope");
string alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
ResourceIdentifier resourceGroupSecurityAlertResourceId = ResourceGroupSecurityAlertResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, ascLocation, alertName);
ResourceGroupSecurityAlertResource resourceGroupSecurityAlert = client.GetResourceGroupSecurityAlertResource(resourceGroupSecurityAlertResourceId);

// invoke the operation
ResourceGroupSecurityAlertResource result = await resourceGroupSecurityAlert.GetAsync();

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
SecurityAlertData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Beispiel für eine Antwort

Statuscode:

200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "supportingEvidenceList": [
        {
          "evidenceElements": [
            {
              "text": {
                "arguments": {
                  "sensitiveEnumerationTypes": {
                    "type": "string[]",
                    "value": [
                      "UseDesKey"
                    ]
                  },
                  "domainName": {
                    "type": "string",
                    "value": "domainName"
                  }
                },
                "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                "fallback": "Actor enumerated UseDesKey on domain1.test.local"
              },
              "type": "evidenceElement",
              "innerElements": null
            }
          ],
          "type": "nestedList"
        },
        {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      ],
      "type": "supportingEvidenceList"
    }
  }
}

Definitionen

Name	Beschreibung
Alert	Sicherheitswarnung
AlertEntity	Ändern eines Eigenschaftensatzes je nach Entitätstyp.
alertSeverity	Das Risikoniveau der erkannten Bedrohung. Weitere Informationen: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	Der Lebenszyklusstatus der Warnung.
AzureResourceIdentifier	Azure-Ressourcenbezeichner.
CloudError	Häufige Fehlerantwort für alle Azure Resource Manager-APIs, um Fehlerdetails für fehlgeschlagene Vorgänge zurückzugeben. (Dies folgt auch dem OData-Fehlerantwortformat.)
CloudErrorBody	Das Fehlerdetails.
ErrorAdditionalInfo	Der Ressourcenverwaltungsfehler zusätzliche Informationen.
intent	Die KillChain, die sich hinter der Warnung bezieht. Eine Liste der unterstützten Werte und Erläuterungen der unterstützten KillChain-Absichten von Azure Security Center.
LogAnalyticsIdentifier	Stellt einen Log Analytics-Arbeitsbereichsbereichsbezeichner dar.
SupportingEvidence	Ändern von Eigenschaftengruppen je nach unterstützendem Evidence-Typ.

Alert

Sicherheitswarnung

Name	Typ	Beschreibung
id	string	Ressourcen-ID
name	string	Ressourcenname
properties.alertDisplayName	string	Der Anzeigename der Warnung.
properties.alertType	string	Eindeutiger Bezeichner für die Erkennungslogik (alle Warnungsinstanzen aus derselben Erkennungslogik weisen denselben AlertType auf).
properties.alertUri	string	Ein direkter Link zur Benachrichtigungsseite im Azure-Portal.
properties.compromisedEntity	string	Der Anzeigename der Ressource, die sich am häufigsten auf diese Warnung bezieht.
properties.correlationKey	string	Schlüssel für die Kernlatierung verwandter Warnungen. Warnungen mit demselben Korrelationsschlüssel, der als verknüpft betrachtet wird.
properties.description	string	Beschreibung der verdächtigen Aktivität, die erkannt wurde.
properties.endTimeUtc	string	Die UTC-Zeit des letzten Ereignisses oder der letzten Aktivität, die in der Warnung im ISO8601 Format enthalten ist.
properties.entities	AlertEntity[]	Eine Liste der Entitäten im Zusammenhang mit der Warnung.
properties.extendedLinks	object[]	Links im Zusammenhang mit der Warnung
properties.extendedProperties	object	Benutzerdefinierte Eigenschaften für die Warnung.
properties.intent	intent	Die KillChain, die sich hinter der Warnung bezieht. Eine Liste der unterstützten Werte und Erläuterungen der unterstützten KillChain-Absichten von Azure Security Center.
properties.isIncident	boolean	Dieses Feld bestimmt, ob es sich bei der Warnung um einen Vorfall (eine zusammengesetzte Gruppierung mehrerer Warnungen) oder eine einzelne Warnung handelt.
properties.processingEndTimeUtc	string	Die UTC-Verarbeitungszeit der Warnung im ISO8601 Format.
properties.productComponentName	string	Der Name des Azure Security Center-Preisniveaus, das diese Warnung ermöglicht. Weitere Informationen: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	Der Name des Produkts, das diese Warnung veröffentlicht hat (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender für Endpunkt, Microsoft Defender für Office, Microsoft Defender für Cloud-Apps usw.).
properties.remediationSteps	string[]	Manuelle Aktionselemente zum Beheben der Warnung.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Die Ressourcenbezeichner, die verwendet werden können, um die Warnung an die richtige Produktexpositionsgruppe (Mandant, Arbeitsbereich, Abonnement usw.) zu leiten. Pro Warnung können mehrere Bezeichner unterschiedlicher Art vorhanden sein.
properties.severity	alertSeverity	Das Risikoniveau der erkannten Bedrohung. Weitere Informationen: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	Die UTC-Zeit des ersten Ereignisses oder der ersten Aktivität, die in der Warnung im ISO8601 Format enthalten ist.
properties.status	alertStatus	Der Lebenszyklusstatus der Warnung.
properties.subTechniques	string[]	Kill chain related sub-techniques behind the alert.
properties.supportingEvidence	SupportingEvidence	Ändern von Eigenschaftengruppen je nach unterstützendem Evidence-Typ.
properties.systemAlertId	string	Eindeutiger Bezeichner für die Warnung.
properties.techniques	string[]	Killchain-bezogene Techniken hinter der Warnung.
properties.timeGeneratedUtc	string	Die UTC-Zeit, zu der die Warnung im ISO8601 Format generiert wurde.
properties.vendorName	string	Der Name des Anbieters, der die Warnung auslöst.
properties.version	string	Schemaversion.
type	string	Ressourcentyp

AlertEntity

Ändern eines Eigenschaftensatzes je nach Entitätstyp.

Name	Typ	Beschreibung
type	string	Entitätstyp

alertSeverity

Das Risikoniveau der erkannten Bedrohung. Weitere Informationen: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Name	Typ	Beschreibung
High	string	Hoch
Informational	string	Mitteilsam
Low	string	Niedrig
Medium	string	Mittel

alertStatus

Der Lebenszyklusstatus der Warnung.

Name	Typ	Beschreibung
Active	string	Eine Warnung, die keinen Wert angibt, wird dem Status "Aktiv" zugewiesen.
Dismissed	string	Warnung als falsch positiv geschlossen
InProgress	string	Eine Warnung, die sich im Behandlungszustand befindet
Resolved	string	Warnung nach der Behandlung geschlossen

AzureResourceIdentifier

Azure-Ressourcenbezeichner.

Name	Typ	Beschreibung
azureResourceId	string	ARM-Ressourcenbezeichner für die Cloudressource, die benachrichtigt wird
type	string: AzureResource	Pro Warnung können mehrere Bezeichner unterschiedlichen Typs vorhanden sein, dieses Feld gibt den Bezeichnertyp an.

CloudError

Häufige Fehlerantwort für alle Azure Resource Manager-APIs, um Fehlerdetails für fehlgeschlagene Vorgänge zurückzugeben. (Dies folgt auch dem OData-Fehlerantwortformat.)

Name	Typ	Beschreibung
error.additionalInfo	ErrorAdditionalInfo[]	Die zusätzlichen Informationen des Fehlers.
error.code	string	Der Fehlercode.
error.details	CloudErrorBody[]	Die Fehlerdetails.
error.message	string	Die Fehlermeldung.
error.target	string	Das Fehlerziel.

CloudErrorBody

Das Fehlerdetails.

Name	Typ	Beschreibung
additionalInfo	ErrorAdditionalInfo[]	Die zusätzlichen Informationen des Fehlers.
code	string	Der Fehlercode.
details	CloudErrorBody[]	Die Fehlerdetails.
message	string	Die Fehlermeldung.
target	string	Das Fehlerziel.

ErrorAdditionalInfo

Der Ressourcenverwaltungsfehler zusätzliche Informationen.

Name	Typ	Beschreibung
info	object	Die zusätzlichen Informationen.
type	string	Der zusätzliche Informationstyp.

intent

Die KillChain, die sich hinter der Warnung bezieht. Eine Liste der unterstützten Werte und Erläuterungen der unterstützten KillChain-Absichten von Azure Security Center.

Name	Typ	Beschreibung
Collection	string	Die Sammlung besteht aus Techniken, die verwendet werden, um Informationen, z. B. vertrauliche Dateien, aus einem Zielnetzwerk vor der Exfiltration zu identifizieren und zu sammeln.
CommandAndControl	string	Die Befehls- und Kontrolltaktik stellt dar, wie Angreifer mit Systemen unter ihrer Kontrolle innerhalb eines Zielnetzwerks kommunizieren.
CredentialAccess	string	Der Zugriff auf Anmeldeinformationen stellt Techniken dar, die den Zugriff auf oder die Kontrolle über System-, Domänen- oder Dienstanmeldeinformationen ergeben, die in einer Unternehmensumgebung verwendet werden.
DefenseEvasion	string	Verteidigungshinterziehung besteht aus Techniken, die ein Angreifer verwenden kann, um die Erkennung zu umgehen oder andere Abwehrmaßnahmen zu vermeiden.
Discovery	string	Die Entdeckung besteht aus Techniken, die es dem Angreifer ermöglichen, Wissen über das System und das interne Netzwerk zu gewinnen.
Execution	string	Die Ausführungstaktik stellt Techniken dar, die zur Ausführung von gegnerisch kontrolliertem Code auf einem lokalen oder Remotesystem führen.
Exfiltration	string	Exfiltration bezieht sich auf Techniken und Attribute, die dazu führen oder helfen, dateien und Informationen aus einem Zielnetzwerk zu entfernen.
Exploitation	string	Die Ausbeutung ist die Phase, in der ein Angreifer schafft, sich auf die angegriffene Ressource zu konzentrieren. Diese Phase ist für Computehosts und Ressourcen wie Benutzerkonten, Zertifikate usw. relevant.
Impact	string	Auswirkungenereignisse versuchen in erster Linie, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks direkt zu reduzieren; einschließlich der Manipulation von Daten, um sich auf einen Geschäfts- oder Betrieblichen Prozess zu auswirken.
InitialAccess	string	InitialAccess ist die Phase, in der ein Angreifer die Angriffsressource auf dem Fuß fassen kann.
LateralMovement	string	Lateral movement besteht aus Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und zu steuern, und kann jedoch nicht notwendigerweise die Ausführung von Tools auf Remotesystemen umfassen.
Persistence	string	Persistenz ist jede Zugriffs-, Aktions- oder Konfigurationsänderung für ein System, das einem Bedrohungsakteur eine dauerhafte Präsenz auf diesem System verleiht.
PreAttack	string	PreAttack könnte entweder ein Versuch sein, unabhängig von einer böswilligen Absicht auf eine bestimmte Ressource zuzugreifen, oder ein fehlgeschlagener Versuch, Zugriff auf ein Zielsystem zu erhalten, um Informationen vor der Ausbeutung zu sammeln. Dieser Schritt wird in der Regel als Versuch erkannt, der von außerhalb des Netzwerks stammt, um das Zielsystem zu scannen und einen Weg zu finden. Weitere Details zur PreAttack-Phase finden Sie in MITRE Pre-Att&ck Matrix.
PrivilegeEscalation	string	Die Berechtigungseskalation ist das Ergebnis von Aktionen, die es einem Angreifer ermöglichen, eine höhere Berechtigungsstufe für ein System oder Netzwerk zu erhalten.
Probing	string	Das Probing könnte entweder ein Versuch sein, unabhängig von einer böswilligen Absicht auf eine bestimmte Ressource zuzugreifen, oder ein fehlgeschlagener Versuch, Zugriff auf ein Zielsystem zu erhalten, um Informationen vor der Ausbeutung zu sammeln.
Unknown	string	Unbekannt

LogAnalyticsIdentifier

Stellt einen Log Analytics-Arbeitsbereichsbereichsbezeichner dar.

Name	Typ	Beschreibung
agentId	string	(optional) Die LogAnalytics-Agent-ID meldet das Ereignis, auf dem diese Warnung basiert.
type	string: LogAnalytics	Pro Warnung können mehrere Bezeichner unterschiedlichen Typs vorhanden sein, dieses Feld gibt den Bezeichnertyp an.
workspaceId	string	Die LogAnalytics-Arbeitsbereichs-ID, die diese Warnung speichert.
workspaceResourceGroup	string	Die Azure-Ressourcengruppe für den LogAnalytics-Arbeitsbereich, der diese Warnung speichert
workspaceSubscriptionId	string	Die Azure-Abonnement-ID für den LogAnalytics-Arbeitsbereich, der diese Warnung speichert.

SupportingEvidence

Ändern von Eigenschaftengruppen je nach unterstützendem Evidence-Typ.

Name	Typ	Beschreibung
type	string	Art der unterstützenden Evidence