Alerts - List By Resource Group

サービス:

Defender for Cloud

API バージョン:

2022-01-01

リソース グループに関連付けられているすべてのアラートを一覧表示する

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2022-01-01

URI パラメーター

名前	/	必須	型	説明
resourceGroupName	path	True	string	ユーザーのサブスクリプション内のリソース グループの名前。 名前では大文字と小文字が区別されません。 正規表現パターン: ^[-\w\._\(\)]+$
subscriptionId	path	True	string	Azure サブスクリプション ID 正規表現パターン: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	操作の API バージョン

応答

名前	型	説明
200 OK	AlertList	わかりました
Other Status Codes	CloudError	操作が失敗した理由を説明するエラー応答。

セキュリティ

azure_auth

Azure Active Directory OAuth2 フロー

型: oauth2
フロー: implicit
Authorization URL (承認 URL): https://login.microsoftonline.com/common/oauth2/authorize

スコープ

名前	説明
user_impersonation	ユーザー アカウントを偽装する

例

Get security alerts on a resource group

要求のサンプル

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2022-01-01

Java

/**
 * Samples for Alerts ListByResourceGroup.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertsResourceGroup_example.json
     */
    /**
     * Sample code: Get security alerts on a resource group.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertsOnAResourceGroup(com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().listByResourceGroup("myRg1", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
func ExampleAlertsClient_NewListByResourceGroupPager() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	pager := clientFactory.NewAlertsClient().NewListByResourceGroupPager("myRg1", nil)
	for pager.More() {
		page, err := pager.NextPage(ctx)
		if err != nil {
			log.Fatalf("failed to advance page: %v", err)
		}
		for _, v := range page.Value {
			// You could use page here. We use blank identifier for just demo purposes.
			_ = v
		}
		// If the HTTP response code is 200 as defined in example definition, your page structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
		// page.AlertList = armsecurity.AlertList{
		// 	Value: []*armsecurity.Alert{
		// 		{
		// 			Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 			Type: to.Ptr("Microsoft.Security/Locations/alerts"),
		// 			ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
		// 			Properties: &armsecurity.AlertProperties{
		// 				Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
		// 				AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
		// 				AlertType: to.Ptr("VM_EICAR"),
		// 				AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
		// 				CompromisedEntity: to.Ptr("vm1"),
		// 				CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
		// 				EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 				Entities: []*armsecurity.AlertEntity{
		// 					{
		// 						AdditionalProperties: map[string]any{
		// 							"address": "192.0.2.1",
		// 							"location": map[string]any{
		// 								"asn": float64(6584),
		// 								"city": "sonning",
		// 								"countryCode": "gb",
		// 								"latitude": float64(51.468),
		// 								"longitude": float64(-0.909),
		// 								"state": "wokingham",
		// 							},
		// 						},
		// 						Type: to.Ptr("ip"),
		// 				}},
		// 				ExtendedLinks: []map[string]*string{
		// 					map[string]*string{
		// 						"Category": to.Ptr("threat_reports"),
		// 						"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
		// 						"Label": to.Ptr("Report: RDP Brute Forcing"),
		// 						"Type": to.Ptr("webLink"),
		// 				}},
		// 				ExtendedProperties: map[string]*string{
		// 					"Property1": to.Ptr("Property1 information"),
		// 				},
		// 				Intent: to.Ptr(armsecurity.IntentExecution),
		// 				IsIncident: to.Ptr(true),
		// 				ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
		// 				ProductComponentName: to.Ptr("testName"),
		// 				ProductName: to.Ptr("Azure Security Center"),
		// 				RemediationSteps: []*string{
		// 					to.Ptr("No further action is needed.")},
		// 					ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
		// 						&armsecurity.AzureResourceIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
		// 							AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
		// 						},
		// 						&armsecurity.LogAnalyticsIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
		// 							AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
		// 							WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
		// 							WorkspaceResourceGroup: to.Ptr("myRg1"),
		// 							WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
		// 					}},
		// 					Severity: to.Ptr(armsecurity.AlertSeverityHigh),
		// 					StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 					Status: to.Ptr(armsecurity.AlertStatusActive),
		// 					SubTechniques: []*string{
		// 						to.Ptr("T1059.001"),
		// 						to.Ptr("T1059.006"),
		// 						to.Ptr("T1053.002")},
		// 						SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
		// 							AdditionalProperties: map[string]any{
		// 								"supportingEvidenceList": []any{
		// 									map[string]any{
		// 										"type": "nestedList",
		// 										"evidenceElements":[]any{
		// 											map[string]any{
		// 												"type": "evidenceElement",
		// 												"innerElements": nil,
		// 												"text":map[string]any{
		// 													"arguments":map[string]any{
		// 														"domainName":map[string]any{
		// 															"type": "string",
		// 															"value": "domainName",
		// 														},
		// 														"sensitiveEnumerationTypes":map[string]any{
		// 															"type": "string[]",
		// 															"value":[]any{
		// 																"UseDesKey",
		// 															},
		// 														},
		// 													},
		// 													"fallback": "Actor enumerated UseDesKey on domain1.test.local",
		// 													"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
		// 												},
		// 											},
		// 										},
		// 									},
		// 									map[string]any{
		// 										"type": "tabularEvidences",
		// 										"columns":[]any{
		// 											"Date",
		// 											"Activity",
		// 											"User",
		// 											"TestedText",
		// 											"TestedValue",
		// 										},
		// 										"rows":[]any{
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser2",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser3",
		// 												"true",
		// 												true,
		// 											},
		// 										},
		// 										"title": "Investigate activity test",
		// 									},
		// 								},
		// 							},
		// 							Type: to.Ptr("supportingEvidenceList"),
		// 						},
		// 						SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 						Techniques: []*string{
		// 							to.Ptr("T1059"),
		// 							to.Ptr("T1053"),
		// 							to.Ptr("T1072")},
		// 							TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
		// 							VendorName: to.Ptr("Microsoft"),
		// 							Version: to.Ptr("2022-01-01"),
		// 						},
		// 				}},
		// 			}
	}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to List all the alerts that are associated with the resource group
 *
 * @summary List all the alerts that are associated with the resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
 */
async function getSecurityAlertsOnAResourceGroup() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const resArray = new Array();
  for await (let item of client.alerts.listByResourceGroup(resourceGroupName)) {
    resArray.push(item);
  }
  console.log(resArray);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Resources;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
// this example is just showing the usage of "Alerts_ListByResourceGroup" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupResource created on azure
// for more information of creating ResourceGroupResource, please refer to the document of ResourceGroupResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = client.GetResourceGroupResource(resourceGroupResourceId);

// invoke the operation and iterate over the result
await foreach (SecurityAlertData item in resourceGroupResource.GetAlertsByResourceGroupAsync())
{
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {item.Id}");
}

Console.WriteLine($"Succeeded");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

応答のサンプル

状態コード:

200

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

定義

名前	説明
Alert	セキュリティ アラート
AlertEntity	エンティティの種類に応じてプロパティのセットを変更する。
AlertList	セキュリティ アラートの一覧
alertSeverity	検出された脅威のリスク レベル。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	アラートのライフ サイクルの状態。
AzureResourceIdentifier	Azure リソース識別子。
CloudError	失敗した操作のエラーの詳細を返す、すべての Azure Resource Manager API の一般的なエラー応答。 (これは、OData エラー応答形式にも従います)。
CloudErrorBody	エラーの詳細。
ErrorAdditionalInfo	リソース管理エラーの追加情報。
intent	アラートの背後にあるキル チェーン関連の意図。 サポートされている値の一覧と、Azure Security Center でサポートされているキル チェーン意図の説明。
LogAnalyticsIdentifier	Log Analytics ワークスペース スコープ識別子を表します。
SupportingEvidence	supportingEvidence の種類に応じてプロパティのセットを変更する。

Alert

セキュリティ アラート

名前	型	説明
id	string	リソース ID
name	string	リソース名
properties.alertDisplayName	string	アラートの表示名。
properties.alertType	string	検出ロジックの一意識別子 (同じ検出ロジックのすべてのアラート インスタンスに同じ alertType が含まれます)。
properties.alertUri	string	Azure Portal のアラート ページへの直接リンク。
properties.compromisedEntity	string	このアラートに最も関連するリソースの表示名。
properties.correlationKey	string	関連するアラートをコアレーションするためのキー。 関連付けられていると見なされる同じ関連付けキーを持つアラート。
properties.description	string	検出された疑わしいアクティビティの説明。
properties.endTimeUtc	string	アラートに含まれる最後のイベントまたはアクティビティの UTC 時刻 (ISO8601形式)。
properties.entities	AlertEntity[]	アラートに関連するエンティティの一覧。
properties.extendedLinks	object[]	アラートに関連するリンク
properties.extendedProperties	object	アラートのカスタム プロパティ。
properties.intent	intent	アラートの背後にあるキル チェーン関連の意図。 サポートされている値の一覧と、Azure Security Center でサポートされているキル チェーン意図の説明。
properties.isIncident	boolean	このフィールドは、アラートがインシデント (複数のアラートの複合グループ) であるか、1 つのアラートであるかを決定します。
properties.processingEndTimeUtc	string	アラートの UTC 処理終了時刻 (ISO8601形式)。
properties.productComponentName	string	このアラートを強化する Azure Security Center 価格レベルの名前。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	このアラートを発行した製品の名前 (Microsoft Sentinel、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office、Microsoft Defender for Cloud Apps など)。
properties.remediationSteps	string[]	アラートを修復するために実行する手動アクション項目。
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	適切な製品公開グループ (テナント、ワークスペース、サブスクリプションなど) にアラートを送信するために使用できるリソース識別子。 アラートごとに異なる種類の識別子が複数存在する場合があります。
properties.severity	alertSeverity	検出された脅威のリスク レベル。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	アラートに含まれる最初のイベントまたはアクティビティの UTC 時刻 (ISO8601形式)。
properties.status	alertStatus	アラートのライフ サイクルの状態。
properties.subTechniques	string[]	アラートの背後にあるチェーン関連のサブテクニックを強制終了します。
properties.supportingEvidence	SupportingEvidence	supportingEvidence の種類に応じてプロパティのセットを変更する。
properties.systemAlertId	string	アラートの一意識別子。
properties.techniques	string[]	アラートの背後にあるキル チェーン関連の手法。
properties.timeGeneratedUtc	string	アラートが生成された UTC 時刻をISO8601形式で指定します。
properties.vendorName	string	アラートを発生させるベンダーの名前。
properties.version	string	スキーマのバージョン。
type	string	リソースの種類

AlertEntity

エンティティの種類に応じてプロパティのセットを変更する。

名前	型	説明
type	string	エンティティの種類

AlertList

セキュリティ アラートの一覧

名前	型	説明
nextLink	string	次のページをフェッチする URI。
value	Alert[]	では、セキュリティ アラートのプロパティについて説明します。

alertSeverity

検出された脅威のリスク レベル。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

名前	型	説明
High	string	高い
Informational	string	情報
Low	string	低い
Medium	string	中程度

alertStatus

アラートのライフ サイクルの状態。

名前	型	説明
Active	string	値を指定しないアラートには、状態 'Active' が割り当てられます
Dismissed	string	誤検知として無視されたアラート
InProgress	string	状態を処理しているアラート
Resolved	string	処理後に閉じたアラート

AzureResourceIdentifier

Azure リソース識別子。

名前	型	説明
azureResourceId	string	アラートが送信されるクラウド リソースの ARM リソース識別子
type	string: AzureResource	アラートごとに異なる種類の識別子が複数存在する場合があります。このフィールドは識別子の種類を指定します。

CloudError

失敗した操作のエラーの詳細を返す、すべての Azure Resource Manager API の一般的なエラー応答。 (これは、OData エラー応答形式にも従います)。

名前	型	説明
error.additionalInfo	ErrorAdditionalInfo[]	エラーの追加情報。
error.code	string	エラー コード。
error.details	CloudErrorBody[]	エラーの詳細。
error.message	string	エラー メッセージ。
error.target	string	エラーターゲット。

CloudErrorBody

エラーの詳細。

名前	型	説明
additionalInfo	ErrorAdditionalInfo[]	エラーの追加情報。
code	string	エラー コード。
details	CloudErrorBody[]	エラーの詳細。
message	string	エラー メッセージ。
target	string	エラーターゲット。

ErrorAdditionalInfo

リソース管理エラーの追加情報。

名前	型	説明
info	object	追加情報。
type	string	追加情報の種類。

intent

アラートの背後にあるキル チェーン関連の意図。 サポートされている値の一覧と、Azure Security Center でサポートされているキル チェーン意図の説明。

名前	型	説明
Collection	string	収集は、流出の前にターゲット ネットワークから機密性の高いファイルなどの情報を識別して収集するために使用される手法で構成されます。
CommandAndControl	string	コマンドとコントロールの戦術は、敵対者がターゲット ネットワーク内で制御下にあるシステムと通信する方法を表します。
CredentialAccess	string	資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、またはサービスの資格情報にアクセスしたり制御したりする手法を表します。
DefenseEvasion	string	防御回避は、敵対者が検出を回避したり、他の防御を回避したりするために使用できる手法で構成されます。
Discovery	string	検出は、敵対者がシステムと内部ネットワークに関する知識を得ることを可能にする手法で構成されています。
Execution	string	実行戦術は、ローカルまたはリモート システムで敵対者が制御するコードを実行する手法を表します。
Exfiltration	string	流出とは、敵対者がターゲット ネットワークからファイルや情報を削除する場合に役立つ手法と属性を指します。
Exploitation	string	悪用とは、攻撃者が攻撃されたリソースの足掛かりを得るために管理する段階です。 このステージは、コンピューティング ホストと、ユーザー アカウント、証明書などのリソースに関連します。
Impact	string	影響イベントは、主にシステム、サービス、またはネットワークの可用性または整合性を直接削減しようとします。ビジネスまたは運用プロセスに影響を与えるデータの操作を含む。
InitialAccess	string	InitialAccess は、攻撃者が攻撃されたリソースの足掛かりを得るために管理する段階です。
LateralMovement	string	横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成され、リモート システムでのツールの実行を含めることができますが、必ずしも含まれるとは限りません。
Persistence	string	永続化とは、脅威アクターにそのシステム上の永続的なプレゼンスを提供するシステムへのアクセス、アクション、または構成の変更です。
PreAttack	string	PreAttack は、悪意のある意図に関係なく特定のリソースにアクセスしようとしたり、悪用前にターゲット システムにアクセスして情報を収集しようとして失敗したりする可能性があります。 通常、この手順は、ターゲット システムをスキャンして方法を見つけるための、ネットワークの外部からの試行として検出されます。 プレアタッチ ステージの詳細については、MITRE Pre-Att&ck マトリックスで確認できます。
PrivilegeEscalation	string	特権エスカレーションは、敵対者がシステムまたはネットワークに対するより高いレベルのアクセス許可を取得できるようにするアクションの結果です。
Probing	string	プローブは、悪意のある意図に関係なく特定のリソースにアクセスしようとしたり、悪用前にターゲット システムにアクセスして情報を収集しようとして失敗したりする可能性があります。
Unknown	string	不明

LogAnalyticsIdentifier

Log Analytics ワークスペース スコープ識別子を表します。

名前	型	説明
agentId	string	(省略可能)このアラートの基になっているイベントを報告する LogAnalytics エージェント ID。
type	string: LogAnalytics	アラートごとに異なる種類の識別子が複数存在する場合があります。このフィールドは識別子の種類を指定します。
workspaceId	string	このアラートを格納する LogAnalytics ワークスペース ID。
workspaceResourceGroup	string	このアラートを格納している LogAnalytics ワークスペースの Azure リソース グループ
workspaceSubscriptionId	string	このアラートを格納している LogAnalytics ワークスペースの Azure サブスクリプション ID。

SupportingEvidence

supportingEvidence の種類に応じてプロパティのセットを変更する。

名前	型	説明
type	string	supportingEvidence の種類