Alerts - Get Resource Group Level

Referentie

Service:: Defender for Cloud

API-versie:: 2022-01-01

Een waarschuwing ontvangen die is gekoppeld aan een resourcegroep of een resource in een resourcegroep

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

URI-parameters

Name	In	Vereist	Type	Description
alertName	path	True	string	Naam van het waarschuwingsobject
ascLocation	path	True	string	De locatie waar ASC de gegevens van het abonnement opslaat. kan worden opgehaald uit Get-locaties
resourceGroupName	path	True	string	De naam van de resourcegroep binnen het abonnement van de gebruiker. De naam is niet hoofdlettergevoelig. Regex-patroon: `^[-\w\._]+$`
subscriptionId	path	True	string	Azure-abonnements-id Regex-patroon: `^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$`
api-version	query	True	string	API-versie voor de bewerking

Antwoorden

Name	Type	Description
200 OK	Alert	OK
Other Status Codes	CloudError	Foutreactie waarin wordt beschreven waarom de bewerking is mislukt.

Beveiliging

azure_auth

Azure Active Directory OAuth2-stroom

Type: oauth2
Stroom: implicit
Autorisatie-URL: https://login.microsoftonline.com/common/oauth2/authorize

Bereiken

Name	Description
user_impersonation	Uw gebruikersaccount imiteren

Voorbeelden

Get security alert on a resource group from a security data location

Voorbeeldaanvraag

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a?api-version=2022-01-01


/**
 * Samples for Alerts GetResourceGroupLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertResourceGroupLocation_example.json
     */
    /**
     * Sample code: Get security alert on a resource group from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnAResourceGroupFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getResourceGroupLevelWithResponse("myRg1", "westeurope",
            "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
func ExampleAlertsClient_GetResourceGroupLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetResourceGroupLevel(ctx, "myRg1", "westeurope", "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"supportingEvidenceList": []any{
	// 							map[string]any{
	// 								"type": "nestedList",
	// 								"evidenceElements":[]any{
	// 									map[string]any{
	// 										"type": "evidenceElement",
	// 										"innerElements": nil,
	// 										"text":map[string]any{
	// 											"arguments":map[string]any{
	// 												"domainName":map[string]any{
	// 													"type": "string",
	// 													"value": "domainName",
	// 												},
	// 												"sensitiveEnumerationTypes":map[string]any{
	// 													"type": "string[]",
	// 													"value":[]any{
	// 														"UseDesKey",
	// 													},
	// 												},
	// 											},
	// 											"fallback": "Actor enumerated UseDesKey on domain1.test.local",
	// 											"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
	// 										},
	// 									},
	// 								},
	// 							},
	// 							map[string]any{
	// 								"type": "tabularEvidences",
	// 								"columns":[]any{
	// 									"Date",
	// 									"Activity",
	// 									"User",
	// 									"TestedText",
	// 									"TestedValue",
	// 								},
	// 								"rows":[]any{
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser2",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser3",
	// 										"true",
	// 										true,
	// 									},
	// 								},
	// 								"title": "Investigate activity test",
	// 							},
	// 						},
	// 					},
	// 					Type: to.Ptr("supportingEvidenceList"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated a resource group or a resource in a resource group
 *
 * @summary Get an alert that is associated a resource group or a resource in a resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
 */
async function getSecurityAlertOnAResourceGroupFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const ascLocation = "westeurope";
  const alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getResourceGroupLevel(
    resourceGroupName,
    ascLocation,
    alertName,
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
// this example is just showing the usage of "Alerts_GetResourceGroupLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupSecurityAlertResource created on azure
// for more information of creating ResourceGroupSecurityAlertResource, please refer to the document of ResourceGroupSecurityAlertResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
AzureLocation ascLocation = new AzureLocation("westeurope");
string alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
ResourceIdentifier resourceGroupSecurityAlertResourceId = ResourceGroupSecurityAlertResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, ascLocation, alertName);
ResourceGroupSecurityAlertResource resourceGroupSecurityAlert = client.GetResourceGroupSecurityAlertResource(resourceGroupSecurityAlertResourceId);

// invoke the operation
ResourceGroupSecurityAlertResource result = await resourceGroupSecurityAlert.GetAsync();

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
SecurityAlertData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Voorbeeldrespons

Statuscode:: 200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "supportingEvidenceList": [
        {
          "evidenceElements": [
            {
              "text": {
                "arguments": {
                  "sensitiveEnumerationTypes": {
                    "type": "string[]",
                    "value": [
                      "UseDesKey"
                    ]
                  },
                  "domainName": {
                    "type": "string",
                    "value": "domainName"
                  }
                },
                "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                "fallback": "Actor enumerated UseDesKey on domain1.test.local"
              },
              "type": "evidenceElement",
              "innerElements": null
            }
          ],
          "type": "nestedList"
        },
        {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      ],
      "type": "supportingEvidenceList"
    }
  }
}

Definities

Name	Description
Alert	Beveiligingswaarschuwing
AlertEntity	De set eigenschappen wijzigen, afhankelijk van het entiteitstype.
alertSeverity	Het risiconiveau van de gedetecteerde bedreiging. Meer informatie: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	De levenscyclusstatus van de waarschuwing.
AzureResourceIdentifier	Azure-resource-id.
CloudError	Veelvoorkomende foutreactie voor alle Azure Resource Manager-API's om foutdetails te retourneren voor mislukte bewerkingen. (Dit volgt ook de OData-foutreactieindeling.)
CloudErrorBody	De foutdetails.
ErrorAdditionalInfo	Aanvullende informatie over de resourcebeheerfout.
intent	De kill chain gerelateerde intentie achter de waarschuwing. Voor een lijst met ondersteunde waarden en uitleg over de ondersteunde kill chain-intenties van Azure Security Center.
LogAnalyticsIdentifier	Vertegenwoordigt een bereik-id van een Log Analytics-werkruimte.
SupportingEvidence	Het wijzigen van de set eigenschappen, afhankelijk van het ondersteunende typeEvidence.

Alert

Beveiligingswaarschuwing

Name	Type	Description
id	string	Resource-id
name	string	Resourcenaam
properties.alertDisplayName	string	De weergavenaam van de waarschuwing.
properties.alertType	string	Unieke id voor de detectielogica (alle waarschuwingsexemplaren van dezelfde detectielogica hebben hetzelfde alertType).
properties.alertUri	string	Een directe koppeling naar de waarschuwingspagina in Azure Portal.
properties.compromisedEntity	string	De weergavenaam van de resource die het meest is gerelateerd aan deze waarschuwing.
properties.correlationKey	string	Sleutel voor het kernen van gerelateerde waarschuwingen. Waarschuwingen met dezelfde correlatiesleutel die als gerelateerd worden beschouwd.
properties.description	string	Beschrijving van de verdachte activiteit die is gedetecteerd.
properties.endTimeUtc	string	De UTC-tijd van de laatste gebeurtenis of activiteit die is opgenomen in de waarschuwing in ISO8601 indeling.
properties.entities	AlertEntity[]	Een lijst met entiteiten die zijn gerelateerd aan de waarschuwing.
properties.extendedLinks	object[]	Koppelingen met betrekking tot de waarschuwing
properties.extendedProperties	object	Aangepaste eigenschappen voor de waarschuwing.
properties.intent	intent	De kill chain gerelateerde intentie achter de waarschuwing. Voor een lijst met ondersteunde waarden en uitleg over de ondersteunde kill chain-intenties van Azure Security Center.
properties.isIncident	boolean	Dit veld bepaalt of de waarschuwing een incident is (een samengestelde groepering van meerdere waarschuwingen) of één waarschuwing.
properties.processingEndTimeUtc	string	De eindtijd van de utc-verwerking van de waarschuwing in ISO8601 indeling.
properties.productComponentName	string	De naam van de azure Security Center-prijscategorie die deze waarschuwing aangeeft. Meer informatie: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	De naam van het product dat deze waarschuwing heeft gepubliceerd (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender voor Eindpunt, Microsoft Defender voor Office, Microsoft Defender voor Cloud Apps, enzovoort).
properties.remediationSteps	string[]	Handmatige actie-items die moeten worden uitgevoerd om de waarschuwing te herstellen.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	De resource-id's die kunnen worden gebruikt om de waarschuwing door te sturen naar de juiste productblootgroep (tenant, werkruimte, abonnement, enzovoort). Er kunnen meerdere id's van verschillende typen per waarschuwing zijn.
properties.severity	alertSeverity	Het risiconiveau van de gedetecteerde bedreiging. Meer informatie: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	De UTC-tijd van de eerste gebeurtenis of activiteit die is opgenomen in de waarschuwing in ISO8601 indeling.
properties.status	alertStatus	De levenscyclusstatus van de waarschuwing.
properties.subTechniques	string[]	Kill chain gerelateerde subtechnieken achter de waarschuwing.
properties.supportingEvidence	SupportingEvidence	Het wijzigen van de set eigenschappen, afhankelijk van het ondersteunende typeEvidence.
properties.systemAlertId	string	Unieke id voor de waarschuwing.
properties.techniques	string[]	kill chain gerelateerde technieken achter de waarschuwing.
properties.timeGeneratedUtc	string	De UTC-tijd waarop de waarschuwing is gegenereerd in ISO8601 indeling.
properties.vendorName	string	De naam van de leverancier die de waarschuwing genereert.
properties.version	string	Schemaversie.
type	string	Resourcetype

AlertEntity

De set eigenschappen wijzigen, afhankelijk van het entiteitstype.

Name	Type	Description
type	string	Type entiteit

alertSeverity

Het risiconiveau van de gedetecteerde bedreiging. Meer informatie: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Name	Type	Description
High	string	Hoog
Informational	string	Informatieve
Low	string	Laag
Medium	string	Gemiddeld

alertStatus

De levenscyclusstatus van de waarschuwing.

Name	Type	Description
Active	string	Aan een waarschuwing die geen waarde opgeeft, wordt de status Actief toegewezen
Dismissed	string	Waarschuwing is gesloten als fout-positief
InProgress	string	Een waarschuwing die de afhandelingsstatus heeft
Resolved	string	Waarschuwing gesloten na verwerking

AzureResourceIdentifier

Azure-resource-id.

Name	Type	Description
azureResourceId	string	ARM-resource-id voor de cloudresource waarvoor een waarschuwing wordt weergegeven
type	string: AzureResource	Er kunnen meerdere id's van verschillende typen per waarschuwing zijn. In dit veld wordt het id-type opgegeven.

CloudError

Veelvoorkomende foutreactie voor alle Azure Resource Manager-API's om foutdetails te retourneren voor mislukte bewerkingen. (Dit volgt ook de OData-foutreactieindeling.)

Name	Type	Description
error.additionalInfo	ErrorAdditionalInfo[]	De fout bevat aanvullende informatie.
error.code	string	De foutcode.
error.details	CloudErrorBody[]	De foutdetails.
error.message	string	Het foutbericht.
error.target	string	Het foutdoel.

CloudErrorBody

De foutdetails.

Name	Type	Description
additionalInfo	ErrorAdditionalInfo[]	De fout bevat aanvullende informatie.
code	string	De foutcode.
details	CloudErrorBody[]	De foutdetails.
message	string	Het foutbericht.
target	string	Het foutdoel.

ErrorAdditionalInfo

Aanvullende informatie over de resourcebeheerfout.

Name	Type	Description
info	object	De aanvullende informatie.
type	string	Het extra informatietype.

intent

De kill chain gerelateerde intentie achter de waarschuwing. Voor een lijst met ondersteunde waarden en uitleg over de ondersteunde kill chain-intenties van Azure Security Center.

Name	Type	Description
Collection	string	Verzameling bestaat uit technieken die worden gebruikt voor het identificeren en verzamelen van informatie, zoals gevoelige bestanden, van een doelnetwerk vóór exfiltratie.
CommandAndControl	string	De opdracht- en controletactiek geeft aan hoe kwaadwillende personen communiceren met systemen die onder hun controle vallen binnen een doelnetwerk.
CredentialAccess	string	Referentietoegang vertegenwoordigt technieken die leiden tot toegang tot of controle over systeem-, domein- of servicereferenties die worden gebruikt in een bedrijfsomgeving.
DefenseEvasion	string	Verdedigingsontduiking bestaat uit technieken die een kwaadwillende persoon kan gebruiken om detectie te omzeilen of andere verdediging te voorkomen.
Discovery	string	Detectie bestaat uit technieken waarmee de kwaadwillende persoon kennis kan krijgen over het systeem en het interne netwerk.
Execution	string	De uitvoeringstactiek vertegenwoordigt technieken die resulteren in de uitvoering van door aanvallers beheerde code op een lokaal of extern systeem.
Exfiltration	string	Exfiltratie verwijst naar technieken en kenmerken die resulteren in of helpen bij het verwijderen van bestanden en informatie uit een doelnetwerk.
Exploitation	string	Exploitatie is de fase waarin een aanvaller erin slaagt om een voet aan de aanvalsresource te krijgen. Deze fase is relevant voor rekenhosts en resources, zoals gebruikersaccounts, certificaten, enzovoort.
Impact	string	Impact-gebeurtenissen proberen voornamelijk de beschikbaarheid of integriteit van een systeem, service of netwerk rechtstreeks te verminderen; inclusief manipulatie van gegevens die van invloed zijn op een bedrijf of operationeel proces.
InitialAccess	string	InitialAccess is de fase waarin een aanvaller erin slaagt om voet aan de slag te gaan met de aangevallen resource.
LateralMovement	string	Laterale beweging bestaat uit technieken waarmee een kwaadwillende persoon externe systemen op een netwerk kan openen en beheren en kan, maar niet noodzakelijkerwijs, uitvoering van hulpprogramma's op externe systemen omvatten.
Persistence	string	Persistentie is elke wijziging van toegang, actie of configuratie in een systeem dat een bedreigingsacteur een permanente aanwezigheid op dat systeem geeft.
PreAttack	string	PreAttack kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht een kwaadwillende bedoeling, of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen voorafgaand aan exploitatie. Deze stap wordt meestal gedetecteerd als een poging, afkomstig van buiten het netwerk, om het doelsysteem te scannen en een manier te vinden. Meer informatie over de Fase PreAttack kan worden gelezen in MITRE Pre-Att&ck matrix.
PrivilegeEscalation	string	Escalatie van bevoegdheden is het resultaat van acties waarmee een kwaadwillende persoon een hoger machtigingsniveau voor een systeem of netwerk kan verkrijgen.
Probing	string	Testen kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht een kwaadwillende bedoeling, of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen voorafgaand aan exploitatie.
Unknown	string	Onbekend

LogAnalyticsIdentifier

Vertegenwoordigt een bereik-id van een Log Analytics-werkruimte.

Name	Type	Description
agentId	string	(optioneel) De LogAnalytics-agent-id rapporteert de gebeurtenis waarop deze waarschuwing is gebaseerd.
type	string: LogAnalytics	Er kunnen meerdere id's van verschillende typen per waarschuwing zijn. In dit veld wordt het id-type opgegeven.
workspaceId	string	De LogAnalytics-werkruimte-id waarin deze waarschuwing wordt opgeslagen.
workspaceResourceGroup	string	De Azure-resourcegroep voor de LogAnalytics-werkruimte die deze waarschuwing opslaat
workspaceSubscriptionId	string	De azure-abonnements-id voor de LogAnalytics-werkruimte die deze waarschuwing opslaat.

SupportingEvidence

Het wijzigen van de set eigenschappen, afhankelijk van het ondersteunende typeEvidence.

Name	Type	Description
type	string	Type van de ondersteunendeEvidence

Delen via

Alerts - Get Resource Group Level

URI-parameters

Antwoorden

Beveiliging

azure_auth

Bereiken

Voorbeelden

Get security alert on a resource group from a security data location

Voorbeeldaanvraag

Voorbeeldrespons

Definities

Alert

AlertEntity

alertSeverity

alertStatus

AzureResourceIdentifier

CloudError

CloudErrorBody

ErrorAdditionalInfo

intent

LogAnalyticsIdentifier

SupportingEvidence

Aanvullende resources