Alerts - List Subscription Level By Region

Référence

Service:: Defender for Cloud

Version d'API:: 2022-01-01

Répertorier toutes les alertes associées à l’abonnement stockés dans un emplacement spécifique

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts?api-version=2022-01-01

Paramètres URI

Nom Dans Obligatoire Type Description

Nom	Dans	Obligatoire	Type	Description
ascLocation	path	True	string	Emplacement où ASC stocke les données de l’abonnement. peut être récupéré à partir d’emplacements Get
subscriptionId	path	True	string	ID d’abonnement Azure Modèle d’expression régulière: `^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$`
api-version	query	True	string	Version de l’API pour l’opération

ascLocation

path

True

string

Emplacement où ASC stocke les données de l’abonnement. peut être récupéré à partir d’emplacements Get

subscriptionId

path

True

string

ID d’abonnement Azure

Modèle d’expression régulière: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

api-version

query

True

string

Version de l’API pour l’opération

Réponses

Nom	Type	Description
200 OK	AlertList	D’ACCORD
Other Status Codes	CloudError	Réponse d’erreur décrivant pourquoi l’opération a échoué.

Sécurité

azure_auth

Flux OAuth2 Azure Active Directory

Type: oauth2
Flux: implicit
URL d’autorisation: https://login.microsoftonline.com/common/oauth2/authorize

Étendues

Nom	Description
user_impersonation	emprunter l’identité de votre compte d’utilisateur

Exemples

Get security alerts on a subscription from a security data location

Exemple de requête

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts?api-version=2022-01-01


/**
 * Samples for Alerts ListSubscriptionLevelByRegion.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertsSubscriptionsLocation_example.json
     */
    /**
     * Sample code: Get security alerts on a subscription from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertsOnASubscriptionFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().listSubscriptionLevelByRegion("westeurope", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsSubscriptionsLocation_example.json
func ExampleAlertsClient_NewListSubscriptionLevelByRegionPager() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	pager := clientFactory.NewAlertsClient().NewListSubscriptionLevelByRegionPager("westeurope", nil)
	for pager.More() {
		page, err := pager.NextPage(ctx)
		if err != nil {
			log.Fatalf("failed to advance page: %v", err)
		}
		for _, v := range page.Value {
			// You could use page here. We use blank identifier for just demo purposes.
			_ = v
		}
		// If the HTTP response code is 200 as defined in example definition, your page structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
		// page.AlertList = armsecurity.AlertList{
		// 	Value: []*armsecurity.Alert{
		// 		{
		// 			Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 			Type: to.Ptr("Microsoft.Security/Locations/alerts"),
		// 			ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
		// 			Properties: &armsecurity.AlertProperties{
		// 				Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
		// 				AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
		// 				AlertType: to.Ptr("VM_EICAR"),
		// 				AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
		// 				CompromisedEntity: to.Ptr("vm1"),
		// 				CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
		// 				EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 				Entities: []*armsecurity.AlertEntity{
		// 					{
		// 						AdditionalProperties: map[string]any{
		// 							"address": "192.0.2.1",
		// 							"location": map[string]any{
		// 								"asn": float64(6584),
		// 								"city": "sonning",
		// 								"countryCode": "gb",
		// 								"latitude": float64(51.468),
		// 								"longitude": float64(-0.909),
		// 								"state": "wokingham",
		// 							},
		// 						},
		// 						Type: to.Ptr("ip"),
		// 				}},
		// 				ExtendedLinks: []map[string]*string{
		// 					map[string]*string{
		// 						"Category": to.Ptr("threat_reports"),
		// 						"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
		// 						"Label": to.Ptr("Report: RDP Brute Forcing"),
		// 						"Type": to.Ptr("webLink"),
		// 				}},
		// 				ExtendedProperties: map[string]*string{
		// 					"Property1": to.Ptr("Property1 information"),
		// 				},
		// 				Intent: to.Ptr(armsecurity.IntentExecution),
		// 				IsIncident: to.Ptr(true),
		// 				ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
		// 				ProductComponentName: to.Ptr("testName"),
		// 				ProductName: to.Ptr("Azure Security Center"),
		// 				RemediationSteps: []*string{
		// 					to.Ptr("No further action is needed.")},
		// 					ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
		// 						&armsecurity.AzureResourceIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
		// 							AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
		// 						},
		// 						&armsecurity.LogAnalyticsIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
		// 							AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
		// 							WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
		// 							WorkspaceResourceGroup: to.Ptr("myRg1"),
		// 							WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
		// 					}},
		// 					Severity: to.Ptr(armsecurity.AlertSeverityHigh),
		// 					StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 					Status: to.Ptr(armsecurity.AlertStatusActive),
		// 					SubTechniques: []*string{
		// 						to.Ptr("T1059.001"),
		// 						to.Ptr("T1059.006"),
		// 						to.Ptr("T1053.002")},
		// 						SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
		// 							AdditionalProperties: map[string]any{
		// 								"columns": []any{
		// 									"Date",
		// 									"Activity",
		// 									"User",
		// 									"TestedText",
		// 									"TestedValue",
		// 								},
		// 								"rows": []any{
		// 									[]any{
		// 										"2022-01-17T07:03:52.034Z",
		// 										"Log on",
		// 										"testUser",
		// 										"false",
		// 										false,
		// 									},
		// 									[]any{
		// 										"2022-01-17T07:03:52.034Z",
		// 										"Log on",
		// 										"testUser2",
		// 										"false",
		// 										false,
		// 									},
		// 									[]any{
		// 										"2022-01-17T07:03:52.034Z",
		// 										"Log on",
		// 										"testUser3",
		// 										"true",
		// 										true,
		// 									},
		// 								},
		// 								"title": "Investigate activity test",
		// 							},
		// 							Type: to.Ptr("tabularEvidences"),
		// 						},
		// 						SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 						Techniques: []*string{
		// 							to.Ptr("T1059"),
		// 							to.Ptr("T1053"),
		// 							to.Ptr("T1072")},
		// 							TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
		// 							VendorName: to.Ptr("Microsoft"),
		// 							Version: to.Ptr("2022-01-01"),
		// 						},
		// 					},
		// 					{
		// 						Name: to.Ptr("2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22"),
		// 						Type: to.Ptr("Microsoft.Security/Locations/alerts"),
		// 						ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22"),
		// 						Properties: &armsecurity.AlertProperties{
		// 							Description: to.Ptr("The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory."),
		// 							AlertDisplayName: to.Ptr("Suspicious Screensaver process executed"),
		// 							AlertType: to.Ptr("VM_SuspiciousScreenSaver"),
		// 							AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
		// 							CompromisedEntity: to.Ptr("vm2"),
		// 							CorrelationKey: to.Ptr("4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4"),
		// 							EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2019-05-07T13:51:45.004Z"); return t}()),
		// 							Entities: []*armsecurity.AlertEntity{
		// 								{
		// 									AdditionalProperties: map[string]any{
		// 										"OsVersion": nil,
		// 										"azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
		// 										"dnsDomain": "",
		// 										"hostName": "vm2",
		// 										"netBiosName": "vm2",
		// 										"ntDomain": "",
		// 										"omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
		// 										"operatingSystem": "Unknown",
		// 									},
		// 									Type: to.Ptr("host"),
		// 								},
		// 								{
		// 									AdditionalProperties: map[string]any{
		// 										"name": "contosoUser",
		// 										"logonId": "0x61450d87",
		// 										"ntDomain": "vm2",
		// 										"sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
		// 									},
		// 									Type: to.Ptr("account"),
		// 								},
		// 								{
		// 									AdditionalProperties: map[string]any{
		// 										"name": "cmd.exe",
		// 										"directory": "c:\\windows\\system32",
		// 									},
		// 									Type: to.Ptr("file"),
		// 								},
		// 								{
		// 									AdditionalProperties: map[string]any{
		// 										"processId": "0x3c44",
		// 									},
		// 									Type: to.Ptr("process"),
		// 								},
		// 								{
		// 									AdditionalProperties: map[string]any{
		// 										"name": "scrsave.scr",
		// 										"directory": "c:\\users\\contosoUser",
		// 									},
		// 									Type: to.Ptr("file"),
		// 								},
		// 								{
		// 									AdditionalProperties: map[string]any{
		// 										"commandLine": "c:\\users\\contosoUser\\scrsave.scr",
		// 										"creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
		// 										"processId": "0x4aec",
		// 									},
		// 									Type: to.Ptr("process"),
		// 							}},
		// 							ExtendedLinks: []map[string]*string{
		// 								map[string]*string{
		// 									"Category": to.Ptr("threat_reports"),
		// 									"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
		// 									"Label": to.Ptr("Report: RDP Brute Forcing"),
		// 									"Type": to.Ptr("webLink"),
		// 							}},
		// 							ExtendedProperties: map[string]*string{
		// 								"account logon id": to.Ptr("0x61450d87"),
		// 								"command line": to.Ptr("c:\\users\\contosoUser\\scrsave.scr"),
		// 								"domainName": to.Ptr("vm2"),
		// 								"parent process": to.Ptr("cmd.exe"),
		// 								"parent process id": to.Ptr("0x3c44"),
		// 								"process id": to.Ptr("0x4aec"),
		// 								"processName": to.Ptr("c:\\users\\contosoUser\\scrsave.scr"),
		// 								"resourceType": to.Ptr("Virtual Machine"),
		// 								"user SID": to.Ptr("S-1-5-21-2144575486-8928446540-5163864319-500"),
		// 								"userName": to.Ptr("vm2\\contosoUser"),
		// 							},
		// 							Intent: to.Ptr(armsecurity.IntentExecution),
		// 							IsIncident: to.Ptr(true),
		// 							ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2019-05-07T13:51:48.981Z"); return t}()),
		// 							ProductComponentName: to.Ptr("testName2"),
		// 							ProductName: to.Ptr("Azure Security Center"),
		// 							RemediationSteps: []*string{
		// 								to.Ptr("1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)"),
		// 								to.Ptr("2. Make sure the machine is completely updated and has an updated anti-malware application installed"),
		// 								to.Ptr("3. Run a full anti-malware scan and verify that the threat was removed"),
		// 								to.Ptr("4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)"),
		// 								to.Ptr("5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)"),
		// 								to.Ptr("6. Escalate the alert to the information security team")},
		// 								ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
		// 									&armsecurity.AzureResourceIdentifier{
		// 										Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
		// 										AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
		// 									},
		// 									&armsecurity.LogAnalyticsIdentifier{
		// 										Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
		// 										AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
		// 										WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
		// 										WorkspaceResourceGroup: to.Ptr("myRg1"),
		// 										WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
		// 								}},
		// 								Severity: to.Ptr(armsecurity.AlertSeverityMedium),
		// 								StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2019-05-07T13:51:45.004Z"); return t}()),
		// 								Status: to.Ptr(armsecurity.AlertStatusActive),
		// 								SubTechniques: []*string{
		// 									to.Ptr("T1059.001"),
		// 									to.Ptr("T1059.006"),
		// 									to.Ptr("T1053.002")},
		// 									SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
		// 										AdditionalProperties: map[string]any{
		// 											"supportingEvidenceList": []any{
		// 												map[string]any{
		// 													"type": "nestedList",
		// 													"evidenceElements":[]any{
		// 														map[string]any{
		// 															"type": "evidenceElement",
		// 															"innerElements": nil,
		// 															"text":map[string]any{
		// 																"arguments":map[string]any{
		// 																	"domainName":map[string]any{
		// 																		"type": "string",
		// 																		"value": "domainName",
		// 																	},
		// 																	"sensitiveEnumerationTypes":map[string]any{
		// 																		"type": "string[]",
		// 																		"value":[]any{
		// 																			"UseDesKey",
		// 																		},
		// 																	},
		// 																},
		// 																"fallback": "Actor enumerated UseDesKey on domain1.test.local",
		// 																"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
		// 															},
		// 														},
		// 													},
		// 												},
		// 												map[string]any{
		// 													"type": "tabularEvidences",
		// 													"columns":[]any{
		// 														"Date",
		// 														"Activity",
		// 														"User",
		// 														"TestedText",
		// 														"TestedValue",
		// 													},
		// 													"rows":[]any{
		// 														[]any{
		// 															"2022-01-17T07:03:52.034Z",
		// 															"Log on",
		// 															"testUser",
		// 															"false",
		// 															false,
		// 														},
		// 														[]any{
		// 															"2022-01-17T07:03:52.034Z",
		// 															"Log on",
		// 															"testUser2",
		// 															"false",
		// 															false,
		// 														},
		// 														[]any{
		// 															"2022-01-17T07:03:52.034Z",
		// 															"Log on",
		// 															"testUser3",
		// 															"true",
		// 															true,
		// 														},
		// 													},
		// 													"title": "Investigate activity test",
		// 												},
		// 											},
		// 										},
		// 										Type: to.Ptr("supportingEvidenceList"),
		// 									},
		// 									SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 									Techniques: []*string{
		// 										to.Ptr("T1059"),
		// 										to.Ptr("T1053"),
		// 										to.Ptr("T1072")},
		// 										TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2019-05-07T13:51:48.381Z"); return t}()),
		// 										VendorName: to.Ptr("Microsoft"),
		// 										Version: to.Ptr("2022-01-01"),
		// 									},
		// 							}},
		// 						}
	}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to List all the alerts that are associated with the subscription that are stored in a specific location
 *
 * @summary List all the alerts that are associated with the subscription that are stored in a specific location
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsSubscriptionsLocation_example.json
 */
async function getSecurityAlertsOnASubscriptionFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const ascLocation = "westeurope";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const resArray = new Array();
  for await (let item of client.alerts.listSubscriptionLevelByRegion(ascLocation)) {
    resArray.push(item);
  }
  console.log(resArray);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsSubscriptionsLocation_example.json
// this example is just showing the usage of "Alerts_ListSubscriptionLevelByRegion" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this SecurityCenterLocationResource created on azure
// for more information of creating SecurityCenterLocationResource, please refer to the document of SecurityCenterLocationResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
AzureLocation ascLocation = new AzureLocation("westeurope");
ResourceIdentifier securityCenterLocationResourceId = SecurityCenterLocationResource.CreateResourceIdentifier(subscriptionId, ascLocation);
SecurityCenterLocationResource securityCenterLocation = client.GetSecurityCenterLocationResource(securityCenterLocationResourceId);

// get the collection of this SubscriptionSecurityAlertResource
SubscriptionSecurityAlertCollection collection = securityCenterLocation.GetSubscriptionSecurityAlerts();

// invoke the operation and iterate over the result
await foreach (SubscriptionSecurityAlertResource item in collection.GetAllAsync())
{
    // the variable item is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityAlertData resourceData = item.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

Console.WriteLine($"Succeeded");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Exemple de réponse

Code d’état:: 200

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      }
    },
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
      "name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_SuspiciousScreenSaver",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName2",
        "alertDisplayName": "Suspicious Screensaver process executed",
        "description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
        "severity": "Medium",
        "intent": "Execution",
        "startTimeUtc": "2019-05-07T13:51:45.0045913Z",
        "endTimeUtc": "2019-05-07T13:51:45.0045913Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
          "2. Make sure the machine is completely updated and has an updated anti-malware application installed",
          "3. Run a full anti-malware scan and verify that the threat was removed",
          "4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
          "5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
          "6. Escalate the alert to the information security team"
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
        "entities": [
          {
            "dnsDomain": "",
            "ntDomain": "",
            "hostName": "vm2",
            "netBiosName": "vm2",
            "azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
            "omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
            "operatingSystem": "Unknown",
            "type": "host",
            "OsVersion": null
          },
          {
            "name": "contosoUser",
            "ntDomain": "vm2",
            "logonId": "0x61450d87",
            "sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
            "type": "account"
          },
          {
            "directory": "c:\\windows\\system32",
            "name": "cmd.exe",
            "type": "file"
          },
          {
            "processId": "0x3c44",
            "type": "process"
          },
          {
            "directory": "c:\\users\\contosoUser",
            "name": "scrsave.scr",
            "type": "file"
          },
          {
            "processId": "0x4aec",
            "commandLine": "c:\\users\\contosoUser\\scrsave.scr",
            "creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
            "type": "process"
          }
        ],
        "isIncident": true,
        "correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
        "compromisedEntity": "vm2",
        "extendedProperties": {
          "domainName": "vm2",
          "userName": "vm2\\contosoUser",
          "processName": "c:\\users\\contosoUser\\scrsave.scr",
          "command line": "c:\\users\\contosoUser\\scrsave.scr",
          "parent process": "cmd.exe",
          "process id": "0x4aec",
          "account logon id": "0x61450d87",
          "user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
          "parent process id": "0x3c44",
          "resourceType": "Virtual Machine"
        },
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

Définitions

Nom	Description
Alert	Alerte de sécurité
AlertEntity	Modification du jeu de propriétés en fonction du type d’entité.
AlertList	Liste des alertes de sécurité
alertSeverity	Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	État du cycle de vie de l’alerte.
AzureResourceIdentifier	Identificateur de ressource Azure.
CloudError	Réponse d’erreur courante pour toutes les API Azure Resource Manager afin de retourner les détails de l’erreur pour les opérations ayant échoué. (Cela suit également le format de réponse d’erreur OData.).
CloudErrorBody	Détail de l’erreur.
ErrorAdditionalInfo	Informations supplémentaires sur l’erreur de gestion des ressources.
intent	Intention liée à la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.
LogAnalyticsIdentifier	Représente un identificateur d’étendue d’espace de travail Log Analytics.
SupportingEvidence	Modification d’un ensemble de propriétés en fonction du type de prise en charge de L’élément.

Alert

Alerte de sécurité

Nom	Type	Description
id	string	ID de ressource
name	string	Nom de la ressource
properties.alertDisplayName	string	Nom complet de l’alerte.
properties.alertType	string	Identificateur unique pour la logique de détection (toutes les instances d’alerte de la même logique de détection auront le même alertType).
properties.alertUri	string	Lien direct vers la page d’alerte dans le portail Azure.
properties.compromisedEntity	string	Nom complet de la ressource la plus liée à cette alerte.
properties.correlationKey	string	Clé pour la co-relation des alertes associées. Alertes avec la même clé de corrélation considérée comme liée.
properties.description	string	Description de l’activité suspecte détectée.
properties.endTimeUtc	string	Heure UTC du dernier événement ou activité inclus dans l’alerte au format ISO8601.
properties.entities	AlertEntity[]	Liste des entités associées à l’alerte.
properties.extendedLinks	object[]	Liens liés à l’alerte
properties.extendedProperties	object	Propriétés personnalisées de l’alerte.
properties.intent	intent	Intention liée à la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.
properties.isIncident	boolean	Ce champ détermine si l’alerte est un incident (regroupement composé de plusieurs alertes) ou une seule alerte.
properties.processingEndTimeUtc	string	Heure de fin du traitement UTC de l’alerte au format ISO8601.
properties.productComponentName	string	Nom du niveau tarifaire Azure Security Center qui alimente cette alerte. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	Nom du produit qui a publié cette alerte (Microsoft Sentinel, Microsoft Defender pour Identity, Microsoft Defender pour point de terminaison, Microsoft Defender pour Office, Microsoft Defender pour Cloud Apps, etc.).
properties.remediationSteps	string[]	Éléments d’action manuels à entreprendre pour corriger l’alerte.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Identificateurs de ressources qui peuvent être utilisés pour diriger l’alerte vers le groupe d’exposition de produit approprié (locataire, espace de travail, abonnement, etc.). Il peut y avoir plusieurs identificateurs de type différent par alerte.
properties.severity	alertSeverity	Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	Heure UTC du premier événement ou activité inclus dans l’alerte au format ISO8601.
properties.status	alertStatus	État du cycle de vie de l’alerte.
properties.subTechniques	string[]	Tuer les sous-techniques associées à la chaîne de destruction derrière l’alerte.
properties.supportingEvidence	SupportingEvidence	Modification d’un ensemble de propriétés en fonction du type de prise en charge de L’élément.
properties.systemAlertId	string	Identificateur unique de l’alerte.
properties.techniques	string[]	tuer les techniques liées à la chaîne derrière l’alerte.
properties.timeGeneratedUtc	string	Heure UTC générée par l’alerte au format ISO8601.
properties.vendorName	string	Nom du fournisseur qui déclenche l’alerte.
properties.version	string	Version du schéma.
type	string	Type de ressource

AlertEntity

Modification du jeu de propriétés en fonction du type d’entité.

Nom	Type	Description
type	string	Type d’entité

AlertList

Liste des alertes de sécurité

Nom	Type	Description
nextLink	string	URI permettant d’extraire la page suivante.
value	Alert[]	décrit les propriétés d’alerte de sécurité.

alertSeverity

Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Nom	Type	Description
High	string	Haut
Informational	string	Informationnel
Low	string	Bas
Medium	string	Douleur moyenne

alertStatus

État du cycle de vie de l’alerte.

Nom	Type	Description
Active	string	Une alerte qui ne spécifie pas de valeur est affectée à l’état « Actif »
Dismissed	string	Alerte ignorée en tant que faux positif
InProgress	string	Alerte qui est en état de gestion
Resolved	string	Alerte fermée après la gestion

AzureResourceIdentifier

Identificateur de ressource Azure.

Nom	Type	Description
azureResourceId	string	Identificateur de ressource ARM pour la ressource cloud en cours d’alerte sur
type	string: AzureResource	Il peut y avoir plusieurs identificateurs de type différent par alerte, ce champ spécifie le type d’identificateur.

CloudError

Réponse d’erreur courante pour toutes les API Azure Resource Manager afin de retourner les détails de l’erreur pour les opérations ayant échoué. (Cela suit également le format de réponse d’erreur OData.).

Nom	Type	Description
error.additionalInfo	ErrorAdditionalInfo[]	Informations supplémentaires sur l’erreur.
error.code	string	Code d’erreur.
error.details	CloudErrorBody[]	Détails de l’erreur.
error.message	string	Message d’erreur.
error.target	string	Cible d’erreur.

CloudErrorBody

Détail de l’erreur.

Nom	Type	Description
additionalInfo	ErrorAdditionalInfo[]	Informations supplémentaires sur l’erreur.
code	string	Code d’erreur.
details	CloudErrorBody[]	Détails de l’erreur.
message	string	Message d’erreur.
target	string	Cible d’erreur.

ErrorAdditionalInfo

Informations supplémentaires sur l’erreur de gestion des ressources.

Nom	Type	Description
info	object	Informations supplémentaires.
type	string	Type d’informations supplémentaire.

intent

Intention liée à la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.

Nom	Type	Description
Collection	string	La collection se compose de techniques utilisées pour identifier et collecter des informations, telles que des fichiers sensibles, à partir d’un réseau cible avant l’exfiltration.
CommandAndControl	string	La tactique de commande et de contrôle représente la façon dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
CredentialAccess	string	L’accès aux informations d’identification représente des techniques permettant d’accéder ou de contrôler les informations d’identification du système, du domaine ou du service utilisées dans un environnement d’entreprise.
DefenseEvasion	string	L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses.
Discovery	string	La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne.
Execution	string	La tactique d’exécution représente des techniques qui entraînent l’exécution du code contrôlé par l’adversaire sur un système local ou distant.
Exfiltration	string	L’exfiltration fait référence aux techniques et attributs qui entraînent ou aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible.
Exploitation	string	L’exploitation est l’étape où un attaquant parvient à obtenir un pied de main sur la ressource attaquée. Cette étape est pertinente pour les hôtes de calcul et les ressources, comme les comptes d’utilisateur, les certificats, etc.
Impact	string	Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau ; y compris la manipulation de données pour avoir un impact sur un processus métier ou opérationnel.
InitialAccess	string	InitialAccess est l’étape où un attaquant parvient à se lancer sur la ressource attaquée.
LateralMovement	string	Le mouvement latéral se compose de techniques qui permettent à un adversaire d’accéder aux systèmes distants et de contrôler les systèmes distants sur un réseau et ne peut pas nécessairement inclure l’exécution d’outils sur des systèmes distants.
Persistence	string	La persistance est toute modification d’accès, d’action ou de configuration apportée à un système qui donne à un acteur de menace une présence persistante sur ce système.
PreAttack	string	PreAttack peut être une tentative d’accès à une certaine ressource, quelle que soit l’intention malveillante, ou une tentative d’accès à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative, provenant de l’extérieur du réseau, pour analyser le système cible et trouver un moyen. Vous trouverez plus d’informations sur la phase PreAttack dans matrice de pré-att mitre&.
PrivilegeEscalation	string	L’escalade de privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau supérieur d’autorisations sur un système ou un réseau.
Probing	string	La détection peut être une tentative d’accès à une certaine ressource, quelle que soit l’intention malveillante, ou une tentative d’accès à un système cible pour collecter des informations avant l’exploitation.
Unknown	string	Inconnu

LogAnalyticsIdentifier

Représente un identificateur d’étendue d’espace de travail Log Analytics.

Nom	Type	Description
agentId	string	(facultatif) L’ID de l’agent LogAnalytics signalant l’événement sur lequel cette alerte est basée.
type	string: LogAnalytics	Il peut y avoir plusieurs identificateurs de type différent par alerte, ce champ spécifie le type d’identificateur.
workspaceId	string	ID de l’espace de travail LogAnalytics qui stocke cette alerte.
workspaceResourceGroup	string	Groupe de ressources Azure pour l’espace de travail LogAnalytics stockant cette alerte
workspaceSubscriptionId	string	ID d’abonnement Azure pour l’espace de travail LogAnalytics stockant cette alerte.

SupportingEvidence

Modification d’un ensemble de propriétés en fonction du type de prise en charge de L’élément.

Nom	Type	Description
type	string	Type de supportEvidence

Partager via

Alerts - List Subscription Level By Region

Paramètres URI

Réponses

Sécurité

azure_auth

Étendues

Exemples

Get security alerts on a subscription from a security data location

Exemple de requête

Exemple de réponse

Définitions

Alert

AlertEntity

AlertList

alertSeverity

alertStatus

AzureResourceIdentifier

CloudError

CloudErrorBody

ErrorAdditionalInfo

intent

LogAnalyticsIdentifier

SupportingEvidence

Ressources supplémentaires