Incidents - List Alerts
インシデントのすべてのアラートを取得します。
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/alerts?api-version=2024-03-01URI パラメーター
| 名前 | / | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
incident
|
path | True |
string |
インシデント ID |
|
resource
|
path | True |
string |
リソース グループの名前。 名前の大文字と小文字は区別されます。 |
|
subscription
|
path | True |
string uuid |
ターゲット サブスクリプションの ID。 値は UUID である必要があります。 |
|
workspace
|
path | True |
string |
ワークスペースの名前。 正規表現パターン: |
|
api-version
|
query | True |
string |
この操作に使用する API バージョン。 |
応答
| 名前 | 型 | 説明 |
|---|---|---|
| 200 OK |
OK |
|
| Other Status Codes |
操作に失敗した理由を説明するエラー応答。 |
セキュリティ
azure_auth
Azure Active Directory OAuth2 フロー
型:
oauth2
フロー:
implicit
Authorization URL (承認 URL):
https://login.microsoftonline.com/common/oauth2/authorize
スコープ
| 名前 | 説明 |
|---|---|
| user_impersonation | ユーザー アカウントの借用 |
例
Get all incident alerts.
要求のサンプル
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/alerts?api-version=2024-03-01
応答のサンプル
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"name": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "SecurityAlert",
"properties": {
"systemAlertId": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"tactics": [],
"alertDisplayName": "myAlert",
"confidenceLevel": "Unknown",
"severity": "Low",
"vendorName": "Microsoft",
"productName": "Azure Security Center",
"alertType": "myAlert",
"processingEndTime": "2020-07-20T18:21:53.6158361Z",
"status": "New",
"endTimeUtc": "2020-07-20T18:21:53.6158361Z",
"startTimeUtc": "2020-07-20T18:21:53.6158361Z",
"timeGenerated": "2020-07-20T18:21:53.6158361Z",
"resourceIdentifiers": [
{
"type": "LogAnalytics",
"workspaceId": "c8c99641-985d-4e4e-8e91-fb3466cd0e5b",
"subscriptionId": "bd794837-4d29-4647-9105-6339bfdb4e6a",
"resourceGroup": "myRG"
}
],
"additionalData": {
"AlertMessageEnqueueTime": "2020-07-20T18:21:57.304Z"
},
"friendlyName": "myAlert"
}
}
]
}定義
| 名前 | 説明 |
|---|---|
|
Alert |
通知の重大度 |
|
Alert |
アラートのライフサイクルの状態。 |
|
Attack |
このアラート ルールによって作成されたアラートの重大度。 |
|
Cloud |
エラー応答の構造。 |
|
Cloud |
エラーの詳細。 |
|
Confidence |
このアラートの信頼レベル。 |
|
Confidence |
信頼度の理由 |
|
Confidence |
信頼度スコア計算の状態。つまり、このアラートに対してスコア計算が保留中かどうかを示します。該当しないか、最終的な状態でありません。 |
|
created |
リソースを作成した ID の種類。 |
|
Entity |
集計エンティティの種類。 |
|
Incident |
インシデント アラートの一覧。 |
|
Kill |
このアラートのアラート インテント ステージマッピングを保持します。 |
|
Security |
セキュリティ アラート エンティティを表します。 |
|
system |
リソースの作成と最後の変更に関連するメタデータ。 |
AlertSeverity
通知の重大度
| 名前 | 型 | 説明 |
|---|---|---|
| High |
string |
重要度レベル |
| Informational |
string |
情報の重要度 |
| Low |
string |
重大度: 低 |
| Medium |
string |
重要度レベル |
AlertStatus
アラートのライフサイクルの状態。
| 名前 | 型 | 説明 |
|---|---|---|
| Dismissed |
string |
誤検知として無視されたアラート |
| InProgress |
string |
アラートの処理中 |
| New |
string |
新しいアラート |
| Resolved |
string |
処理後に閉じられたアラート |
| Unknown |
string |
不明な値 |
AttackTactic
このアラート ルールによって作成されたアラートの重大度。
| 名前 | 型 | 説明 |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
エラー応答の構造。
| 名前 | 型 | 説明 |
|---|---|---|
| error |
エラー データ |
CloudErrorBody
エラーの詳細。
| 名前 | 型 | 説明 |
|---|---|---|
| code |
string |
エラーの識別子。 コードは不変であり、プログラムによって使用されることを意図しています。 |
| message |
string |
ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。 |
ConfidenceLevel
このアラートの信頼レベル。
| 名前 | 型 | 説明 |
|---|---|---|
| High |
string |
アラートが真陽性の悪意のある信頼度が高い |
| Low |
string |
信頼度が低い、つまり、これは本当に悪意のあるものか、攻撃の一部であるか疑問を持っています |
| Unknown |
string |
信頼度が不明です。は既定値です |
ConfidenceReasons
信頼度の理由
| 名前 | 型 | 説明 |
|---|---|---|
| reason |
string |
理由の説明 |
| reasonType |
string |
理由の種類 (カテゴリ) |
ConfidenceScoreStatus
信頼度スコア計算の状態。つまり、このアラートに対してスコア計算が保留中かどうかを示します。該当しないか、最終的な状態でありません。
| 名前 | 型 | 説明 |
|---|---|---|
| Final |
string |
最終的なスコアが計算され、使用可能になりました |
| InProcess |
string |
スコアがまだ設定されておらず、計算が進行中です |
| NotApplicable |
string |
スコアは、仮想アナリストによってサポートされていないため、このアラートに対して計算されません |
| NotFinal |
string |
スコアは計算され、アラートの一部として表示されますが、追加データの処理の後で後で再び更新される場合があります |
createdByType
リソースを作成した ID の種類。
| 名前 | 型 | 説明 |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityKindEnum
集計エンティティの種類。
| 名前 | 型 | 説明 |
|---|---|---|
| Account |
string |
エンティティは、システム内のアカウントを表します。 |
| AzureResource |
string |
エンティティは、システム内の Azure リソースを表します。 |
| Bookmark |
string |
エンティティは、システム内のブックマークを表します。 |
| CloudApplication |
string |
エンティティは、システム内のクラウド アプリケーションを表します。 |
| DnsResolution |
string |
エンティティは、システム内の DNS 解決を表します。 |
| File |
string |
エンティティは、システム内のファイルを表します。 |
| FileHash |
string |
エンティティは、システム内のファイル ハッシュを表します。 |
| Host |
string |
エンティティは、システム内のホストを表します。 |
| IoTDevice |
string |
エンティティは、システム内の IoT デバイスを表します。 |
| Ip |
string |
エンティティは、システム内の ip を表します。 |
| MailCluster |
string |
エンティティは、システム内のメール クラスターを表します。 |
| MailMessage |
string |
エンティティは、システム内のメール メッセージを表します。 |
| Mailbox |
string |
エンティティは、システム内のメールボックスを表します。 |
| Malware |
string |
エンティティは、システム内のマルウェアを表します。 |
| Process |
string |
エンティティは、システム内のプロセスを表します。 |
| RegistryKey |
string |
エンティティは、システム内のレジストリ キーを表します。 |
| RegistryValue |
string |
エンティティは、システム内のレジストリ値を表します。 |
| SecurityAlert |
string |
エンティティは、システム内のセキュリティ アラートを表します。 |
| SecurityGroup |
string |
エンティティは、システム内のセキュリティ グループを表します。 |
| SubmissionMail |
string |
エンティティは、システム内の送信メールを表します。 |
| Url |
string |
エンティティは、システム内の URL を表します。 |
IncidentAlertList
インシデント アラートの一覧。
| 名前 | 型 | 説明 |
|---|---|---|
| value |
インシデント アラートの配列。 |
KillChainIntent
このアラートのアラート インテント ステージマッピングを保持します。
| 名前 | 型 | 説明 |
|---|---|---|
| Collection |
string |
コレクションは、窃盗の前に、対象ネットワークから、機密ファイルなどの情報を識別および収集するための手法で構成されます。 このカテゴリは、敵対者が窃盗するための情報を検索できる、システムまたはネットワーク上の場所もカバーしています。 |
| CommandAndControl |
string |
指揮統制の手段は、ターゲット ネットワーク内で攻撃者の管理下にあるシステムと攻撃者が通信する方法を表します。 |
| CredentialAccess |
string |
資格情報アクセスは、エンタープライズ環境内で使用されるシステム、ドメイン、サービスの資格情報にアクセスしたり制御したりするための技法を表します。 敵対者は、ネットワーク内で使用するために、ユーザーまたは管理者のアカウント (管理者アクセス権を持つローカル システム管理者またはドメイン ユーザー) から正当な資格情報を取得しようとする可能性があります。 ネットワーク内の十分なアクセス権があれば、敵対者は、後で環境内で使用するアカウントを作成できます。 |
| DefenseEvasion |
string |
防御回避には、敵対者が検出を回避したり、他の防御を回避したりするために使用できる技法が含まれます。 場合によっては、これらのアクションは、特定の防御や軽減策を覆すという追加の利点を持つ他のカテゴリの手法またはバリエーションと同じ場合があります。 |
| Discovery |
string |
検出には、敵対者がシステムと内部ネットワークに関する知識を得られるようにする技法が含まれます。 敵対者は、新しいシステムへのアクセスを取得するとき、制御できるようになったもの、およびそのシステムから操作する利点から、侵入の間の現在の目標または全体的な目標が得られるものを確認する必要があります。 オペレーティング システムには、この侵害後の情報収集フェーズを支援する多くのネイティブ ツールが用意されています。 |
| Execution |
string |
実行手段は、ローカルまたはリモート システムで敵対者によって制御されたコードを実行するための手法を表します。 この戦術は、ネットワーク上のリモート システムへのアクセスを拡張するために、横移動と組み合わせて使用されることがよくあります。 |
| Exfiltration |
string |
窃盗は、敵対者が対象ネットワークからファイルや情報を削除したり、削除するのに役立てたりする技法と属性を指します。 このカテゴリは、敵対者が窃盗するための情報を検索できる、システムまたはネットワーク上の場所もカバーしています。 |
| Exploitation |
string |
悪用とは、攻撃者が攻撃されたリソースの足掛かりを得るために管理する段階です。 このステージは、コンピューティング ホストだけでなく、ユーザー アカウント、証明書などのリソースにも適用されます。敵対者は、多くの場合、この段階の後にリソースを制御できます。 |
| Impact |
string |
影響の意図の主な目的は、システム、サービス、またはネットワークの可用性または整合性を直接削減することです。ビジネスまたは運用プロセスに影響を与えるデータの操作を含む。 これは多くの場合、身代金ウェア、改ざん、データ操作などの手法を指します。 |
| LateralMovement |
string |
横移動は、敵対者がネットワーク上のリモート システムにアクセスして制御できるようにする手法で構成されており、リモート システムでのツールの実行が含まれることがありますが、必ず含まれるわけではありません。 横移動技法を使用すると、敵対者は、リモート アクセス ツールなどの追加ツールを必要とせずに、システムから情報を収集できるようになります。 敵対者は、ツールのリモート実行、他のシステムへのピボット、特定の情報やファイルへのアクセス、追加の資格情報へのアクセス、影響の実現など、さまざまな目的に横移動を使用できます。 |
| Persistence |
string |
永続性とは、敵対者にそのシステムに永続的なプレゼンスを与えるシステムへのアクセス、アクション、または構成の変更です。 敵対者は、多くの場合、システムの再起動、資格情報の損失、またはリモート アクセス ツールを再起動したり、バックドアを代替してアクセスを回復したりする必要があるその他の障害などの中断を通じて、システムへのアクセスを維持する必要があります。 |
| PrivilegeEscalation |
string |
特権エスカレーションとは、敵対者がシステムまたはネットワークの高レベルのアクセス許可を取得できるようにする操作の結果です。 特定のツールまたはアクションは、動作するためにより高いレベルの特権を必要とし、操作全体の多くのポイントで必要になる可能性があります。 敵対者が目的を達成するために必要な特定のシステムにアクセスしたり、特定の機能を実行したりするためのアクセス許可を持つユーザー アカウントも、特権のエスカレーションと見なされることがあります。 |
| Probing |
string |
プローブは、悪意のある意図に関係なく特定のリソースにアクセスしようとしたり、悪用前に情報を収集するためにターゲット システムにアクセスできなかったりする可能性があります。 通常、この手順は、ターゲット システムをスキャンして方法を見つけようとして、ネットワークの外部から発信された試行として検出されます。 |
| Unknown |
string |
既定値。 |
SecurityAlert
セキュリティ アラート エンティティを表します。
| 名前 | 型 | 説明 |
|---|---|---|
| id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind | string: |
エンティティの種類。 |
| name |
string |
リソースの名前 |
| properties.additionalData |
object |
エンティティの一部である必要があり、ユーザーに表示されるカスタム フィールドのバッグ。 |
| properties.alertDisplayName |
string |
アラートの表示名。 |
| properties.alertLink |
string |
アラートの URI リンク。 |
| properties.alertType |
string |
アラートの種類名。 |
| properties.compromisedEntity |
string |
報告対象のメイン エンティティの表示名。 |
| properties.confidenceLevel |
このアラートの信頼レベル。 |
|
| properties.confidenceReasons |
信頼度の理由 |
|
| properties.confidenceScore |
number |
アラートの信頼度スコア。 |
| properties.confidenceScoreStatus |
信頼度スコア計算の状態。つまり、このアラートに対してスコア計算が保留中かどうかを示します。該当しないか、最終的な状態でありません。 |
|
| properties.description |
string |
アラートの説明。 |
| properties.endTimeUtc |
string |
アラートの影響終了時刻 (アラートに影響を与える最後のイベントの時刻)。 |
| properties.friendlyName |
string |
グラフ 項目の表示名。これは、グラフ項目インスタンスの人間が判読できる短い説明です。 このプロパティは省略可能であり、システムによって生成される場合があります。 |
| properties.intent |
このアラートのアラート インテント ステージマッピングを保持します。 |
|
| properties.processingEndTime |
string |
アラートが使用できるようになった時刻。 |
| properties.productComponentName |
string |
アラートを生成した製品内のコンポーネントの名前。 |
| properties.productName |
string |
このアラートを発行した製品の名前。 |
| properties.productVersion |
string |
アラートを生成する製品のバージョン。 |
| properties.providerAlertId |
string |
アラートを生成した製品内のアラートの識別子。 |
| properties.remediationSteps |
string[] |
アラートを修復するために実行する手動のアクション項目。 |
| properties.resourceIdentifiers |
object[] |
アラートのリソース識別子の一覧。 |
| properties.severity |
通知の重大度 |
|
| properties.startTimeUtc |
string |
アラートの影響の開始時刻 (アラートに影響を与える最初のイベントの時刻)。 |
| properties.status |
アラートのライフサイクルの状態。 |
|
| properties.systemAlertId |
string |
製品のアラートの製品識別子を保持します。 |
| properties.tactics |
アラートの戦術 |
|
| properties.timeGenerated |
string |
アラートが生成された時刻。 |
| properties.vendorName |
string |
アラートを発生させるベンダーの名前。 |
| systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
| type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
systemData
リソースの作成と最後の変更に関連するメタデータ。
| 名前 | 型 | 説明 |
|---|---|---|
| createdAt |
string |
リソース作成のタイムスタンプ (UTC)。 |
| createdBy |
string |
リソースを作成した ID。 |
| createdByType |
リソースを作成した ID の種類。 |
|
| lastModifiedAt |
string |
リソースの最終変更のタイムスタンプ (UTC) |
| lastModifiedBy |
string |
リソースを最後に変更した ID。 |
| lastModifiedByType |
リソースを最後に変更した ID の種類。 |