Alerts - List Subscription Level By Region
特定の場所に格納されているサブスクリプションに関連付けられているすべてのアラートを一覧表示する
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts?api-version=2022-01-01URI パラメーター
| 名前 | / | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
asc
|
path | True |
string |
ASC がサブスクリプションのデータを格納する場所。 場所を取得から取得できます |
|
subscription
|
path | True |
string |
Azure サブスクリプション ID 正規表現パターン: |
|
api-version
|
query | True |
string |
操作の API バージョン |
応答
| 名前 | 型 | 説明 |
|---|---|---|
| 200 OK |
わかりました |
|
| Other Status Codes |
操作が失敗した理由を説明するエラー応答。 |
セキュリティ
azure_auth
Azure Active Directory OAuth2 フロー
型:
oauth2
フロー:
implicit
Authorization URL (承認 URL):
https://login.microsoftonline.com/common/oauth2/authorize
スコープ
| 名前 | 説明 |
|---|---|
| user_impersonation | ユーザー アカウントを偽装する |
例
Get security alerts on a subscription from a security data location
要求のサンプル
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts?api-version=2022-01-01
応答のサンプル
{
"value": [
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_EICAR",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"severity": "High",
"intent": "Execution",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"No further action is needed."
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"entities": [
{
"address": "192.0.2.1",
"location": {
"countryCode": "gb",
"state": "wokingham",
"city": "sonning",
"longitude": -0.909,
"latitude": 51.468,
"asn": 6584
},
"type": "ip"
}
],
"isIncident": true,
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"extendedProperties": {
"Property1": "Property1 information"
},
"compromisedEntity": "vm1",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
}
},
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_SuspiciousScreenSaver",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName2",
"alertDisplayName": "Suspicious Screensaver process executed",
"description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
"severity": "Medium",
"intent": "Execution",
"startTimeUtc": "2019-05-07T13:51:45.0045913Z",
"endTimeUtc": "2019-05-07T13:51:45.0045913Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
"2. Make sure the machine is completely updated and has an updated anti-malware application installed",
"3. Run a full anti-malware scan and verify that the threat was removed",
"4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
"5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
"6. Escalate the alert to the information security team"
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
"entities": [
{
"dnsDomain": "",
"ntDomain": "",
"hostName": "vm2",
"netBiosName": "vm2",
"azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
"omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
"operatingSystem": "Unknown",
"type": "host",
"OsVersion": null
},
{
"name": "contosoUser",
"ntDomain": "vm2",
"logonId": "0x61450d87",
"sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
"type": "account"
},
{
"directory": "c:\\windows\\system32",
"name": "cmd.exe",
"type": "file"
},
{
"processId": "0x3c44",
"type": "process"
},
{
"directory": "c:\\users\\contosoUser",
"name": "scrsave.scr",
"type": "file"
},
{
"processId": "0x4aec",
"commandLine": "c:\\users\\contosoUser\\scrsave.scr",
"creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
"type": "process"
}
],
"isIncident": true,
"correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
"compromisedEntity": "vm2",
"extendedProperties": {
"domainName": "vm2",
"userName": "vm2\\contosoUser",
"processName": "c:\\users\\contosoUser\\scrsave.scr",
"command line": "c:\\users\\contosoUser\\scrsave.scr",
"parent process": "cmd.exe",
"process id": "0x4aec",
"account logon id": "0x61450d87",
"user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
"parent process id": "0x3c44",
"resourceType": "Virtual Machine"
},
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"supportingEvidenceList": [
{
"evidenceElements": [
{
"text": {
"arguments": {
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
},
"domainName": {
"type": "string",
"value": "domainName"
}
},
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
"fallback": "Actor enumerated UseDesKey on domain1.test.local"
},
"type": "evidenceElement",
"innerElements": null
}
],
"type": "nestedList"
},
{
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
],
"type": "supportingEvidenceList"
}
}
}
]
}定義
| 名前 | 説明 |
|---|---|
| Alert |
セキュリティ アラート |
|
Alert |
エンティティの種類に応じてプロパティのセットを変更する。 |
|
Alert |
セキュリティ アラートの一覧 |
|
alert |
検出された脅威のリスク レベル。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
alert |
アラートのライフ サイクルの状態。 |
|
Azure |
Azure リソース識別子。 |
|
Cloud |
失敗した操作のエラーの詳細を返す、すべての Azure Resource Manager API の一般的なエラー応答。 (これは、OData エラー応答形式にも従います)。 |
|
Cloud |
エラーの詳細。 |
|
Error |
リソース管理エラーの追加情報。 |
| intent |
アラートの背後にあるキル チェーン関連の意図。 サポートされている値の一覧と、Azure Security Center でサポートされているキル チェーン意図の説明。 |
|
Log |
Log Analytics ワークスペース スコープ識別子を表します。 |
|
Supporting |
supportingEvidence の種類に応じてプロパティのセットを変更する。 |
Alert
セキュリティ アラート
| 名前 | 型 | 説明 |
|---|---|---|
| id |
string |
リソース ID |
| name |
string |
リソース名 |
| properties.alertDisplayName |
string |
アラートの表示名。 |
| properties.alertType |
string |
検出ロジックの一意識別子 (同じ検出ロジックのすべてのアラート インスタンスに同じ alertType が含まれます)。 |
| properties.alertUri |
string |
Azure Portal のアラート ページへの直接リンク。 |
| properties.compromisedEntity |
string |
このアラートに最も関連するリソースの表示名。 |
| properties.correlationKey |
string |
関連するアラートをコアレーションするためのキー。 関連付けられていると見なされる同じ関連付けキーを持つアラート。 |
| properties.description |
string |
検出された疑わしいアクティビティの説明。 |
| properties.endTimeUtc |
string |
アラートに含まれる最後のイベントまたはアクティビティの UTC 時刻 (ISO8601形式)。 |
| properties.entities |
アラートに関連するエンティティの一覧。 |
|
| properties.extendedLinks |
object[] |
アラートに関連するリンク |
| properties.extendedProperties |
object |
アラートのカスタム プロパティ。 |
| properties.intent |
アラートの背後にあるキル チェーン関連の意図。 サポートされている値の一覧と、Azure Security Center でサポートされているキル チェーン意図の説明。 |
|
| properties.isIncident |
boolean |
このフィールドは、アラートがインシデント (複数のアラートの複合グループ) であるか、1 つのアラートであるかを決定します。 |
| properties.processingEndTimeUtc |
string |
アラートの UTC 処理終了時刻 (ISO8601形式)。 |
| properties.productComponentName |
string |
このアラートを強化する Azure Security Center 価格レベルの名前。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
| properties.productName |
string |
このアラートを発行した製品の名前 (Microsoft Sentinel、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office、Microsoft Defender for Cloud Apps など)。 |
| properties.remediationSteps |
string[] |
アラートを修復するために実行する手動アクション項目。 |
| properties.resourceIdentifiers | ResourceIdentifier[]: |
適切な製品公開グループ (テナント、ワークスペース、サブスクリプションなど) にアラートを送信するために使用できるリソース識別子。 アラートごとに異なる種類の識別子が複数存在する場合があります。 |
| properties.severity |
検出された脅威のリスク レベル。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
| properties.startTimeUtc |
string |
アラートに含まれる最初のイベントまたはアクティビティの UTC 時刻 (ISO8601形式)。 |
| properties.status |
アラートのライフ サイクルの状態。 |
|
| properties.subTechniques |
string[] |
アラートの背後にあるチェーン関連のサブテクニックを強制終了します。 |
| properties.supportingEvidence |
supportingEvidence の種類に応じてプロパティのセットを変更する。 |
|
| properties.systemAlertId |
string |
アラートの一意識別子。 |
| properties.techniques |
string[] |
アラートの背後にあるキル チェーン関連の手法。 |
| properties.timeGeneratedUtc |
string |
アラートが生成された UTC 時刻をISO8601形式で指定します。 |
| properties.vendorName |
string |
アラートを発生させるベンダーの名前。 |
| properties.version |
string |
スキーマのバージョン。 |
| type |
string |
リソースの種類 |
AlertEntity
エンティティの種類に応じてプロパティのセットを変更する。
| 名前 | 型 | 説明 |
|---|---|---|
| type |
string |
エンティティの種類 |
AlertList
セキュリティ アラートの一覧
| 名前 | 型 | 説明 |
|---|---|---|
| nextLink |
string |
次のページをフェッチする URI。 |
| value |
Alert[] |
では、セキュリティ アラートのプロパティについて説明します。 |
alertSeverity
検出された脅威のリスク レベル。 詳細情報: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
| 名前 | 型 | 説明 |
|---|---|---|
| High |
string |
高い |
| Informational |
string |
情報 |
| Low |
string |
低い |
| Medium |
string |
中程度 |
alertStatus
アラートのライフ サイクルの状態。
| 名前 | 型 | 説明 |
|---|---|---|
| Active |
string |
値を指定しないアラートには、状態 'Active' が割り当てられます |
| Dismissed |
string |
誤検知として無視されたアラート |
| InProgress |
string |
状態を処理しているアラート |
| Resolved |
string |
処理後に閉じたアラート |
AzureResourceIdentifier
Azure リソース識別子。
| 名前 | 型 | 説明 |
|---|---|---|
| azureResourceId |
string |
アラートが送信されるクラウド リソースの ARM リソース識別子 |
| type |
string:
Azure |
アラートごとに異なる種類の識別子が複数存在する場合があります。このフィールドは識別子の種類を指定します。 |
CloudError
失敗した操作のエラーの詳細を返す、すべての Azure Resource Manager API の一般的なエラー応答。 (これは、OData エラー応答形式にも従います)。
| 名前 | 型 | 説明 |
|---|---|---|
| error.additionalInfo |
エラーの追加情報。 |
|
| error.code |
string |
エラー コード。 |
| error.details |
エラーの詳細。 |
|
| error.message |
string |
エラー メッセージ。 |
| error.target |
string |
エラーターゲット。 |
CloudErrorBody
エラーの詳細。
| 名前 | 型 | 説明 |
|---|---|---|
| additionalInfo |
エラーの追加情報。 |
|
| code |
string |
エラー コード。 |
| details |
エラーの詳細。 |
|
| message |
string |
エラー メッセージ。 |
| target |
string |
エラーターゲット。 |
ErrorAdditionalInfo
リソース管理エラーの追加情報。
| 名前 | 型 | 説明 |
|---|---|---|
| info |
object |
追加情報。 |
| type |
string |
追加情報の種類。 |
intent
アラートの背後にあるキル チェーン関連の意図。 サポートされている値の一覧と、Azure Security Center でサポートされているキル チェーン意図の説明。
| 名前 | 型 | 説明 |
|---|---|---|
| Collection |
string |
収集は、流出の前にターゲット ネットワークから機密性の高いファイルなどの情報を識別して収集するために使用される手法で構成されます。 |
| CommandAndControl |
string |
コマンドとコントロールの戦術は、敵対者がターゲット ネットワーク内で制御下にあるシステムと通信する方法を表します。 |
| CredentialAccess |
string |
資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、またはサービスの資格情報にアクセスしたり制御したりする手法を表します。 |
| DefenseEvasion |
string |
防御回避は、敵対者が検出を回避したり、他の防御を回避したりするために使用できる手法で構成されます。 |
| Discovery |
string |
検出は、敵対者がシステムと内部ネットワークに関する知識を得ることを可能にする手法で構成されています。 |
| Execution |
string |
実行戦術は、ローカルまたはリモート システムで敵対者が制御するコードを実行する手法を表します。 |
| Exfiltration |
string |
流出とは、敵対者がターゲット ネットワークからファイルや情報を削除する場合に役立つ手法と属性を指します。 |
| Exploitation |
string |
悪用とは、攻撃者が攻撃されたリソースの足掛かりを得るために管理する段階です。 このステージは、コンピューティング ホストと、ユーザー アカウント、証明書などのリソースに関連します。 |
| Impact |
string |
影響イベントは、主にシステム、サービス、またはネットワークの可用性または整合性を直接削減しようとします。ビジネスまたは運用プロセスに影響を与えるデータの操作を含む。 |
| InitialAccess |
string |
InitialAccess は、攻撃者が攻撃されたリソースの足掛かりを得るために管理する段階です。 |
| LateralMovement |
string |
横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成され、リモート システムでのツールの実行を含めることができますが、必ずしも含まれるとは限りません。 |
| Persistence |
string |
永続化とは、脅威アクターにそのシステム上の永続的なプレゼンスを提供するシステムへのアクセス、アクション、または構成の変更です。 |
| PreAttack |
string |
PreAttack は、悪意のある意図に関係なく特定のリソースにアクセスしようとしたり、悪用前にターゲット システムにアクセスして情報を収集しようとして失敗したりする可能性があります。 通常、この手順は、ターゲット システムをスキャンして方法を見つけるための、ネットワークの外部からの試行として検出されます。 プレアタッチ ステージの詳細については、MITRE Pre-Att&ck マトリックス |
| PrivilegeEscalation |
string |
特権エスカレーションは、敵対者がシステムまたはネットワークに対するより高いレベルのアクセス許可を取得できるようにするアクションの結果です。 |
| Probing |
string |
プローブは、悪意のある意図に関係なく特定のリソースにアクセスしようとしたり、悪用前にターゲット システムにアクセスして情報を収集しようとして失敗したりする可能性があります。 |
| Unknown |
string |
不明 |
LogAnalyticsIdentifier
Log Analytics ワークスペース スコープ識別子を表します。
| 名前 | 型 | 説明 |
|---|---|---|
| agentId |
string |
(省略可能)このアラートの基になっているイベントを報告する LogAnalytics エージェント ID。 |
| type |
string:
Log |
アラートごとに異なる種類の識別子が複数存在する場合があります。このフィールドは識別子の種類を指定します。 |
| workspaceId |
string |
このアラートを格納する LogAnalytics ワークスペース ID。 |
| workspaceResourceGroup |
string |
このアラートを格納している LogAnalytics ワークスペースの Azure リソース グループ |
| workspaceSubscriptionId |
string |
このアラートを格納している LogAnalytics ワークスペースの Azure サブスクリプション ID。 |
SupportingEvidence
supportingEvidence の種類に応じてプロパティのセットを変更する。
| 名前 | 型 | 説明 |
|---|---|---|
| type |
string |
supportingEvidence の種類 |