Alerts - Get Subscription Level
Obtenir une alerte associée à un abonnement
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01
Paramètres URI
Nom | Dans | Obligatoire | Type | Description |
---|---|---|---|---|
alert
|
path | True |
string |
Nom de l’objet d’alerte |
asc
|
path | True |
string |
Emplacement où ASC stocke les données de l’abonnement. peut être récupéré à partir de Obtenir des emplacements |
subscription
|
path | True |
string |
ID d’abonnement Azure Regex pattern: |
api-version
|
query | True |
string |
Version de l’API pour l’opération |
Réponses
Nom | Type | Description |
---|---|---|
200 OK |
Ok |
|
Other Status Codes |
Réponse d’erreur décrivant la raison de l’échec de l’opération. |
Sécurité
azure_auth
Flux OAuth2 Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nom | Description |
---|---|
user_impersonation | Emprunter l’identité de votre compte d’utilisateur |
Exemples
Get security alert on a subscription from a security data location
Sample Request
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA?api-version=2022-01-01
Sample Response
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_EICAR",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"severity": "High",
"intent": "Execution",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"No further action is needed."
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"entities": [
{
"address": "192.0.2.1",
"location": {
"countryCode": "gb",
"state": "wokingham",
"city": "sonning",
"longitude": -0.909,
"latitude": 51.468,
"asn": 6584
},
"type": "ip"
}
],
"isIncident": true,
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"extendedProperties": {
"Property1": "Property1 information"
},
"compromisedEntity": "vm1",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
}
}
Définitions
Nom | Description |
---|---|
Alert |
Alerte de sécurité |
Alert |
Modification du jeu de propriétés en fonction du type d’entité. |
alert |
Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
alert |
Cycle de vie status de l’alerte. |
Azure |
Identificateur de ressource Azure. |
Cloud |
Réponse d’erreur courante pour toutes les API Azure Resource Manager pour retourner les détails de l’erreur concernant les opérations ayant échoué. (Cela suit également le format de réponse d’erreur OData.). |
Cloud |
Détail de l’erreur. |
Error |
Informations supplémentaires sur l’erreur de gestion des ressources. |
intent |
Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center. |
Log |
Représente un identificateur d’étendue d’espace de travail Log Analytics. |
Supporting |
Modification du jeu de propriétés en fonction du type supportingEvidence. |
Alert
Alerte de sécurité
Nom | Type | Description |
---|---|---|
id |
string |
ID de ressource |
name |
string |
Nom de la ressource |
properties.alertDisplayName |
string |
Nom complet de l’alerte. |
properties.alertType |
string |
Identificateur unique pour la logique de détection (toutes les instances d’alerte de la même logique de détection auront le même type d’alerte). |
properties.alertUri |
string |
Lien direct vers la page d’alerte dans le portail Azure. |
properties.compromisedEntity |
string |
Nom complet de la ressource la plus pertinente par rapport à cette alerte. |
properties.correlationKey |
string |
Clé pour la corrélation des alertes associées. Alertes avec la même clé de corrélation considérée comme liée. |
properties.description |
string |
Description de l’activité suspecte détectée. |
properties.endTimeUtc |
string |
Heure UTC du dernier événement ou activité inclus dans l’alerte au format ISO8601. |
properties.entities |
Liste des entités liées à l’alerte. |
|
properties.extendedLinks |
object[] |
Liens liés à l’alerte |
properties.extendedProperties |
object |
Propriétés personnalisées pour l’alerte. |
properties.intent |
Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center. |
|
properties.isIncident |
boolean |
Ce champ détermine si l’alerte est un incident (regroupement composé de plusieurs alertes) ou une alerte unique. |
properties.processingEndTimeUtc |
string |
Heure de fin de traitement UTC de l’alerte au format ISO8601. |
properties.productComponentName |
string |
Nom de Azure Security Center niveau tarifaire qui alimente cette alerte. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
properties.productName |
string |
Nom du produit qui a publié cette alerte (Microsoft Sentinel, Microsoft Defender pour Identity, Microsoft Defender pour point de terminaison, Microsoft Defender pour Office, Microsoft Defender for Cloud Apps, etc.). |
properties.remediationSteps |
string[] |
Éléments d’action manuelle à mettre à jour pour corriger l’alerte. |
properties.resourceIdentifiers | ResourceIdentifier[]: |
Identificateurs de ressource qui peuvent être utilisés pour diriger l’alerte vers le groupe d’exposition de produit approprié (locataire, espace de travail, abonnement, etc.). Il peut y avoir plusieurs identificateurs de type différent par alerte. |
properties.severity |
Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
properties.startTimeUtc |
string |
Heure UTC du premier événement ou activité inclus dans l’alerte au format ISO8601. |
properties.status |
Cycle de vie status de l’alerte. |
|
properties.subTechniques |
string[] |
Tuer les sous-techniques liées à la chaîne derrière l’alerte. |
properties.supportingEvidence |
Modification du jeu de propriétés en fonction du type supportingEvidence. |
|
properties.systemAlertId |
string |
Identificateur unique de l’alerte. |
properties.techniques |
string[] |
tuer les techniques liées à la chaîne derrière l’alerte. |
properties.timeGeneratedUtc |
string |
Heure UTC à laquelle l’alerte a été générée au format ISO8601. |
properties.vendorName |
string |
Nom du fournisseur qui a déclenché l’alerte. |
properties.version |
string |
Version du schéma. |
type |
string |
Type de ressource |
AlertEntity
Modification du jeu de propriétés en fonction du type d’entité.
Nom | Type | Description |
---|---|---|
type |
string |
Type d’entité |
alertSeverity
Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
Nom | Type | Description |
---|---|---|
High |
string |
Élevé |
Informational |
string |
Informationnel |
Low |
string |
Faible |
Medium |
string |
Moyenne |
alertStatus
Cycle de vie status de l’alerte.
Nom | Type | Description |
---|---|---|
Active |
string |
Une alerte qui ne spécifie pas de valeur se voit attribuer le status « Active » |
Dismissed |
string |
Alerte ignorée comme faux positif |
InProgress |
string |
Une alerte à l’état de gestion |
Resolved |
string |
Alerte fermée après gestion |
AzureResourceIdentifier
Identificateur de ressource Azure.
Nom | Type | Description |
---|---|---|
azureResourceId |
string |
Identificateur de ressource ARM pour la ressource cloud en cours d’alerte sur |
type |
string:
Azure |
Il peut y avoir plusieurs identificateurs de type différent par alerte. Ce champ spécifie le type d’identificateur. |
CloudError
Réponse d’erreur courante pour toutes les API Azure Resource Manager pour retourner les détails de l’erreur concernant les opérations ayant échoué. (Cela suit également le format de réponse d’erreur OData.).
Nom | Type | Description |
---|---|---|
error.additionalInfo |
Informations supplémentaires sur l’erreur. |
|
error.code |
string |
Code d'erreur. |
error.details |
Détails de l’erreur. |
|
error.message |
string |
Message d’erreur. |
error.target |
string |
Cible d’erreur. |
CloudErrorBody
Détail de l’erreur.
Nom | Type | Description |
---|---|---|
additionalInfo |
Informations supplémentaires sur l’erreur. |
|
code |
string |
Code d'erreur. |
details |
Détails de l’erreur. |
|
message |
string |
Message d’erreur. |
target |
string |
Cible d’erreur. |
ErrorAdditionalInfo
Informations supplémentaires sur l’erreur de gestion des ressources.
Nom | Type | Description |
---|---|---|
info |
object |
Informations supplémentaires |
type |
string |
Type d’informations supplémentaires. |
intent
Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.
Nom | Type | Description |
---|---|---|
Collection |
string |
La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. |
CommandAndControl |
string |
La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible. |
CredentialAccess |
string |
L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise. |
DefenseEvasion |
string |
L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses. |
Discovery |
string |
La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. |
Execution |
string |
La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. |
Exfiltration |
string |
L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. |
Exploitation |
string |
L’exploitation est l’étape dans laquelle une personne malveillante parvient à accéder à la ressource attaquée. Cette étape concerne notamment les hôtes de calcul et les ressources telles que les comptes d’utilisateurs, les certificats, etc. |
Impact |
string |
Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. |
InitialAccess |
string |
InitialAccess est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. |
LateralMovement |
string |
Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. |
Persistence |
string |
La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système. |
PreAttack |
string |
La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. Cette étape est généralement détectée comme une tentative, provenant de l’extérieur du réseau, d’analyser le système cible et de trouver un chemin. Vous pouvez lire plus d’informations sur la phase PreAttack dans la matrice MITRE Pre-Att&ck. |
PrivilegeEscalation |
string |
L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. |
Probing |
string |
La détection peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. |
Unknown |
string |
Unknown |
LogAnalyticsIdentifier
Représente un identificateur d’étendue d’espace de travail Log Analytics.
Nom | Type | Description |
---|---|---|
agentId |
string |
(facultatif) ID de l’agent LogAnalytics signalant l’événement sur lequel cette alerte est basée. |
type |
string:
Log |
Il peut y avoir plusieurs identificateurs de type différent par alerte. Ce champ spécifie le type d’identificateur. |
workspaceId |
string |
ID de l’espace de travail LogAnalytics qui stocke cette alerte. |
workspaceResourceGroup |
string |
Groupe de ressources Azure pour l’espace de travail LogAnalytics qui stocke cette alerte |
workspaceSubscriptionId |
string |
ID d’abonnement Azure pour l’espace de travail LogAnalytics qui stocke cette alerte. |
SupportingEvidence
Modification du jeu de propriétés en fonction du type supportingEvidence.
Nom | Type | Description |
---|---|---|
type |
string |
Type de l’élément supportingEvidence |