Partager via


Alerts - Get Subscription Level

Obtenir une alerte associée à un abonnement

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

Paramètres URI

Nom Dans Obligatoire Type Description
alertName
path True

string

Nom de l’objet d’alerte

ascLocation
path True

string

Emplacement où ASC stocke les données de l’abonnement. peut être récupéré à partir de Obtenir des emplacements

subscriptionId
path True

string

ID d’abonnement Azure

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

api-version
query True

string

Version de l’API pour l’opération

Réponses

Nom Type Description
200 OK

Alert

Ok

Other Status Codes

CloudError

Réponse d’erreur décrivant la raison de l’échec de l’opération.

Sécurité

azure_auth

Flux OAuth2 Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Nom Description
user_impersonation Emprunter l’identité de votre compte d’utilisateur

Exemples

Get security alert on a subscription from a security data location

Sample Request

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA?api-version=2022-01-01

Sample Response

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "type": "tabularEvidences",
      "title": "Investigate activity test",
      "columns": [
        "Date",
        "Activity",
        "User",
        "TestedText",
        "TestedValue"
      ],
      "rows": [
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser2",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser3",
          "true",
          true
        ]
      ]
    }
  }
}

Définitions

Nom Description
Alert

Alerte de sécurité

AlertEntity

Modification du jeu de propriétés en fonction du type d’entité.

alertSeverity

Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

alertStatus

Cycle de vie status de l’alerte.

AzureResourceIdentifier

Identificateur de ressource Azure.

CloudError

Réponse d’erreur courante pour toutes les API Azure Resource Manager pour retourner les détails de l’erreur concernant les opérations ayant échoué. (Cela suit également le format de réponse d’erreur OData.).

CloudErrorBody

Détail de l’erreur.

ErrorAdditionalInfo

Informations supplémentaires sur l’erreur de gestion des ressources.

intent

Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.

LogAnalyticsIdentifier

Représente un identificateur d’étendue d’espace de travail Log Analytics.

SupportingEvidence

Modification du jeu de propriétés en fonction du type supportingEvidence.

Alert

Alerte de sécurité

Nom Type Description
id

string

ID de ressource

name

string

Nom de la ressource

properties.alertDisplayName

string

Nom complet de l’alerte.

properties.alertType

string

Identificateur unique pour la logique de détection (toutes les instances d’alerte de la même logique de détection auront le même type d’alerte).

properties.alertUri

string

Lien direct vers la page d’alerte dans le portail Azure.

properties.compromisedEntity

string

Nom complet de la ressource la plus pertinente par rapport à cette alerte.

properties.correlationKey

string

Clé pour la corrélation des alertes associées. Alertes avec la même clé de corrélation considérée comme liée.

properties.description

string

Description de l’activité suspecte détectée.

properties.endTimeUtc

string

Heure UTC du dernier événement ou activité inclus dans l’alerte au format ISO8601.

properties.entities

AlertEntity[]

Liste des entités liées à l’alerte.

properties.extendedLinks

object[]

Liens liés à l’alerte

properties.extendedProperties

object

Propriétés personnalisées pour l’alerte.

properties.intent

intent

Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.

properties.isIncident

boolean

Ce champ détermine si l’alerte est un incident (regroupement composé de plusieurs alertes) ou une alerte unique.

properties.processingEndTimeUtc

string

Heure de fin de traitement UTC de l’alerte au format ISO8601.

properties.productComponentName

string

Nom de Azure Security Center niveau tarifaire qui alimente cette alerte. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing

properties.productName

string

Nom du produit qui a publié cette alerte (Microsoft Sentinel, Microsoft Defender pour Identity, Microsoft Defender pour point de terminaison, Microsoft Defender pour Office, Microsoft Defender for Cloud Apps, etc.).

properties.remediationSteps

string[]

Éléments d’action manuelle à mettre à jour pour corriger l’alerte.

properties.resourceIdentifiers ResourceIdentifier[]:

Identificateurs de ressource qui peuvent être utilisés pour diriger l’alerte vers le groupe d’exposition de produit approprié (locataire, espace de travail, abonnement, etc.). Il peut y avoir plusieurs identificateurs de type différent par alerte.

properties.severity

alertSeverity

Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

properties.startTimeUtc

string

Heure UTC du premier événement ou activité inclus dans l’alerte au format ISO8601.

properties.status

alertStatus

Cycle de vie status de l’alerte.

properties.subTechniques

string[]

Tuer les sous-techniques liées à la chaîne derrière l’alerte.

properties.supportingEvidence

SupportingEvidence

Modification du jeu de propriétés en fonction du type supportingEvidence.

properties.systemAlertId

string

Identificateur unique de l’alerte.

properties.techniques

string[]

tuer les techniques liées à la chaîne derrière l’alerte.

properties.timeGeneratedUtc

string

Heure UTC à laquelle l’alerte a été générée au format ISO8601.

properties.vendorName

string

Nom du fournisseur qui a déclenché l’alerte.

properties.version

string

Version du schéma.

type

string

Type de ressource

AlertEntity

Modification du jeu de propriétés en fonction du type d’entité.

Nom Type Description
type

string

Type d’entité

alertSeverity

Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Nom Type Description
High

string

Élevé

Informational

string

Informationnel

Low

string

Faible

Medium

string

Moyenne

alertStatus

Cycle de vie status de l’alerte.

Nom Type Description
Active

string

Une alerte qui ne spécifie pas de valeur se voit attribuer le status « Active »

Dismissed

string

Alerte ignorée comme faux positif

InProgress

string

Une alerte à l’état de gestion

Resolved

string

Alerte fermée après gestion

AzureResourceIdentifier

Identificateur de ressource Azure.

Nom Type Description
azureResourceId

string

Identificateur de ressource ARM pour la ressource cloud en cours d’alerte sur

type string:

AzureResource

Il peut y avoir plusieurs identificateurs de type différent par alerte. Ce champ spécifie le type d’identificateur.

CloudError

Réponse d’erreur courante pour toutes les API Azure Resource Manager pour retourner les détails de l’erreur concernant les opérations ayant échoué. (Cela suit également le format de réponse d’erreur OData.).

Nom Type Description
error.additionalInfo

ErrorAdditionalInfo[]

Informations supplémentaires sur l’erreur.

error.code

string

Code d'erreur.

error.details

CloudErrorBody[]

Détails de l’erreur.

error.message

string

Message d’erreur.

error.target

string

Cible d’erreur.

CloudErrorBody

Détail de l’erreur.

Nom Type Description
additionalInfo

ErrorAdditionalInfo[]

Informations supplémentaires sur l’erreur.

code

string

Code d'erreur.

details

CloudErrorBody[]

Détails de l’erreur.

message

string

Message d’erreur.

target

string

Cible d’erreur.

ErrorAdditionalInfo

Informations supplémentaires sur l’erreur de gestion des ressources.

Nom Type Description
info

object

Informations supplémentaires

type

string

Type d’informations supplémentaires.

intent

Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.

Nom Type Description
Collection

string

La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration.

CommandAndControl

string

La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.

CredentialAccess

string

L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise.

DefenseEvasion

string

L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses.

Discovery

string

La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne.

Execution

string

La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant.

Exfiltration

string

L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible.

Exploitation

string

L’exploitation est l’étape dans laquelle une personne malveillante parvient à accéder à la ressource attaquée. Cette étape concerne notamment les hôtes de calcul et les ressources telles que les comptes d’utilisateurs, les certificats, etc.

Impact

string

Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel.

InitialAccess

string

InitialAccess est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée.

LateralMovement

string

Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants.

Persistence

string

La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système.

PreAttack

string

La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. Cette étape est généralement détectée comme une tentative, provenant de l’extérieur du réseau, d’analyser le système cible et de trouver un chemin. Vous pouvez lire plus d’informations sur la phase PreAttack dans la matrice MITRE Pre-Att&ck.

PrivilegeEscalation

string

L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau.

Probing

string

La détection peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter.

Unknown

string

Unknown

LogAnalyticsIdentifier

Représente un identificateur d’étendue d’espace de travail Log Analytics.

Nom Type Description
agentId

string

(facultatif) ID de l’agent LogAnalytics signalant l’événement sur lequel cette alerte est basée.

type string:

LogAnalytics

Il peut y avoir plusieurs identificateurs de type différent par alerte. Ce champ spécifie le type d’identificateur.

workspaceId

string

ID de l’espace de travail LogAnalytics qui stocke cette alerte.

workspaceResourceGroup

string

Groupe de ressources Azure pour l’espace de travail LogAnalytics qui stocke cette alerte

workspaceSubscriptionId

string

ID d’abonnement Azure pour l’espace de travail LogAnalytics qui stocke cette alerte.

SupportingEvidence

Modification du jeu de propriétés en fonction du type supportingEvidence.

Nom Type Description
type

string

Type de l’élément supportingEvidence