Compartir a través de

Iot Security Solutions Analytics Aggregated Alert - List

  • Referencia
Servicio:
Defender for Cloud
Versión de la API:
2019-08-01

Use este método para obtener la lista de alertas agregadas de la solución ioT Security.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/iotSecuritySolutions/{solutionName}/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01
Con parámetros opcionales: 
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/iotSecuritySolutions/{solutionName}/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01&$top={$top}

Parámetros de identificador URI

Nombre En Requerido Tipo Description
resourceGroupName
 path True

string

Nombre del grupo de recursos dentro de la suscripción del usuario. El nombre no distingue mayúsculas de minúsculas.

Patrón de Regex: ^[-\w\._\(\)]+$
solutionName
 path True

string

Nombre de la solución de seguridad de IoT.
subscriptionId
 path True

string

Identificador de suscripción de Azure

Patrón de Regex: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

Versión de API para la operación
$top
 query

integer

int32

Número de resultados que se van a recuperar.

Respuestas

Nombre Tipo Description
200 OK

IoTSecurityAggregatedAlertList

De acuerdo
Other Status Codes

CloudError

Respuesta de error que describe por qué se produjo un error en la operación.

Seguridad

azure_auth

Flujo de OAuth2 de Azure Active Directory

Tipo: oauth2
Flujo: implicit
Dirección URL de autorización: https://login.microsoftonline.com/common/oauth2/authorize

Ámbitos

Nombre Description
user_impersonation suplantar la cuenta de usuario

Ejemplos

Get the aggregated alert list of yours IoT Security solution

Solicitud de ejemplo

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/iotSecuritySolutions/default/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01

Respuesta de muestra

status code:
200 
{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02",
      "name": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02",
      "type": "Microsoft.Security/iotSecuritySolutions/analyticsModels/aggregatedAlerts",
      "properties": {
        "alertType": "IoT_Bruteforce_Fail",
        "alertDisplayName": "Failed Bruteforce",
        "aggregatedDateUtc": "2019-02-02",
        "vendorName": "Microsoft",
        "reportedSeverity": "Low",
        "remediationSteps": "",
        "description": "Multiple unsuccsseful login attempts identified. A Bruteforce attack on the device failed.",
        "count": 50,
        "effectedResourceType": "IoT Device",
        "systemSource": "Devices",
        "actionTaken": "Detected",
        "logAnalyticsQuery": "SecurityAlert | where tolower(ResourceId) == tolower('/subscriptions/b77ec8a9-04ed-48d2-a87a-e5887b978ba6/resourceGroups/IoT-Solution-DemoEnv/providers/Microsoft.Devices/IotHubs/rtogm-hub') and tolower(AlertName) == tolower('Custom Alert - number of device to cloud messages in MQTT protocol is not in the allowed range') | extend DeviceId=parse_json(ExtendedProperties)['DeviceId'] | project DeviceId, TimeGenerated, DisplayName, AlertSeverity, Description, RemediationSteps, ExtendedProperties",
        "topDevicesList": [
          {
            "deviceId": "testDevice1",
            "alertsCount": 45,
            "lastOccurrence": "10:42"
          },
          {
            "deviceId": "testDevice2",
            "alertsCount": 30,
            "lastOccurrence": "15:42"
          }
        ]
      }
    },
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Success/2019-02-02",
      "name": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Success/2019-02-02",
      "type": "Microsoft.Security/iotSecuritySolutions/analyticsModels/aggregatedAlerts",
      "properties": {
        "alertType": "IoT_Bruteforce_Success",
        "alertDisplayName": "Successful Bruteforce",
        "aggregatedDateUtc": "2019-02-02",
        "vendorName": "Microsoft",
        "reportedSeverity": "Low",
        "remediationSteps": "",
        "description": "Multiple unsuccsseful login attempts identified followed by a succssful login. A Bruteforce attack on the device was Successfule",
        "count": 600000,
        "effectedResourceType": "IoT Device",
        "systemSource": "Devices",
        "actionTaken": "Detected",
        "logAnalyticsQuery": "SecurityAlert | where tolower(ResourceId) == tolower('/subscriptions/b77ec8a9-04ed-48d2-a87a-e5887b978ba6/resourceGroups/IoT-Solution-DemoEnv/providers/Microsoft.Devices/IotHubs/rtogm-hub') and tolower(AlertName) == tolower('Custom Alert - number of device to cloud messages in MQTT protocol is not in the allowed range') | extend DeviceId=parse_json(ExtendedProperties)['DeviceId'] | project DeviceId, TimeGenerated, DisplayName, AlertSeverity, Description, RemediationSteps, ExtendedProperties",
        "topDevicesList": [
          {
            "deviceId": "testDevice1",
            "alertsCount": 12321,
            "lastOccurrence": "10:42"
          },
          {
            "deviceId": "testDevice2",
            "alertsCount": 455,
            "lastOccurrence": "15:42"
          }
        ]
      }
    }
  ]
}

Definiciones

Nombre Description
CloudError

Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData).
CloudErrorBody

Detalle del error.
ErrorAdditionalInfo

Información adicional sobre el error de administración de recursos.
IoTSecurityAggregatedAlert

Información de alerta agregada de la solución de seguridad
IoTSecurityAggregatedAlertList

Lista de datos agregados de alertas de la solución ioT Security.
reportedSeverity

Gravedad de alerta evaluada.
TopDevicesList

10 dispositivos con el mayor número de apariciones de este tipo de alerta, en este día.

CloudError

Respuesta de error común para todas las API de Azure Resource Manager para devolver los detalles de error de las operaciones con errores. (Esto también sigue el formato de respuesta de error de OData).

Nombre Tipo Description
error.additionalInfo

ErrorAdditionalInfo[]

Información adicional del error.
error.code

string

Código de error.
error.details

CloudErrorBody[]

Detalles del error.
error.message

string

Mensaje de error.
error.target

string

Destino del error.

CloudErrorBody

Detalle del error.

Nombre Tipo Description
additionalInfo

ErrorAdditionalInfo[]

Información adicional del error.
code

string

Código de error.
details

CloudErrorBody[]

Detalles del error.
message

string

Mensaje de error.
target

string

Destino del error.

ErrorAdditionalInfo

Información adicional sobre el error de administración de recursos.

Nombre Tipo Description
info

object

Información adicional.
type

string

Tipo de información adicional.

IoTSecurityAggregatedAlert

Información de alerta agregada de la solución de seguridad

Nombre Tipo Description
id

string

Identificador de recurso
name

string

Nombre del recurso
properties.actionTaken

string

Respuesta de alerta de la solución De seguridad de IoT.
properties.aggregatedDateUtc

string

Fecha de detección.
properties.alertDisplayName

string

Nombre para mostrar del tipo de alerta.
properties.alertType

string

Nombre del tipo de alerta.
properties.count

integer

Número de repeticiones de alertas dentro del período de tiempo agregado.
properties.description

string

Descripción de la vulnerabilidad sospechosa y el significado.
properties.effectedResourceType

string

Identificador de recurso de Azure del recurso que recibió las alertas.
properties.logAnalyticsQuery

string

Consulta de Log Analytics para obtener la lista de dispositivos o alertas afectados.
properties.remediationSteps

string

Pasos recomendados para la corrección.
properties.reportedSeverity

reportedSeverity

Gravedad de alerta evaluada.
properties.systemSource

string

El tipo del recurso alertado (Azure, que no es de Azure).
properties.topDevicesList

TopDevicesList[]

10 dispositivos con el mayor número de apariciones de este tipo de alerta, en este día.
properties.vendorName

string

Nombre de la organización que generó la alerta.
tags

object

Etiquetas de recursos
type

string

Tipo de recurso

IoTSecurityAggregatedAlertList

Lista de datos agregados de alertas de la solución ioT Security.

Nombre Tipo Description
nextLink

string

Cuando haya demasiados datos de alerta para una página, use este URI para capturar la página siguiente.
value

IoTSecurityAggregatedAlert[]

Lista de datos de alertas agregados.

reportedSeverity

Gravedad de alerta evaluada.

Nombre Tipo Description
High

string

Informational

string

Low

string

Medium

string

TopDevicesList

10 dispositivos con el mayor número de apariciones de este tipo de alerta, en este día.

Nombre Tipo Description
alertsCount

integer

Número de alertas generadas para este dispositivo.
deviceId

string

Nombre del dispositivo.
lastOccurrence

string

Hora más reciente en que se generó esta alerta para este dispositivo, en este día.