Alerts - Get Subscription Level

Serviço:

Defender for Cloud

Versão da API:

2022-01-01

Obter um alerta associado a uma assinatura

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

Parâmetros de URI

Nome	Em	Obrigatório	Tipo	Description
alertName	path	True	string	Nome do objeto de alerta
ascLocation	path	True	string	O local em que o ASC armazena os dados da assinatura. pode ser recuperado de Obter locais
subscriptionId	path	True	string	ID da assinatura do Azure Padrão Regex: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	Versão da API para a operação

Respostas

Nome	Tipo	Description
200 OK	Alert	OKEY
Other Status Codes	CloudError	Resposta de erro que descreve por que a operação falhou.

Segurança

azure_auth

Fluxo OAuth2 do Azure Active Directory

Tipo: oauth2
Flow: implicit
URL de Autorização: https://login.microsoftonline.com/common/oauth2/authorize

Escopos

Nome	Description
user_impersonation	representar sua conta de usuário

Exemplos

Get security alert on a subscription from a security data location

Solicitação de exemplo

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA?api-version=2022-01-01

Java

/**
 * Samples for Alerts GetSubscriptionLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertSubscriptionLocation_example.json
     */
    /**
     * Sample code: Get security alert on a subscription from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnASubscriptionFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getSubscriptionLevelWithResponse("westeurope",
            "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
func ExampleAlertsClient_GetSubscriptionLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetSubscriptionLevel(ctx, "westeurope", "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"columns": []any{
	// 							"Date",
	// 							"Activity",
	// 							"User",
	// 							"TestedText",
	// 							"TestedValue",
	// 						},
	// 						"rows": []any{
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser2",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser3",
	// 								"true",
	// 								true,
	// 							},
	// 						},
	// 						"title": "Investigate activity test",
	// 					},
	// 					Type: to.Ptr("tabularEvidences"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated with a subscription
 *
 * @summary Get an alert that is associated with a subscription
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
 */
async function getSecurityAlertOnASubscriptionFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const ascLocation = "westeurope";
  const alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getSubscriptionLevel(ascLocation, alertName);
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
// this example is just showing the usage of "Alerts_GetSubscriptionLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this SecurityCenterLocationResource created on azure
// for more information of creating SecurityCenterLocationResource, please refer to the document of SecurityCenterLocationResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
AzureLocation ascLocation = new AzureLocation("westeurope");
ResourceIdentifier securityCenterLocationResourceId = SecurityCenterLocationResource.CreateResourceIdentifier(subscriptionId, ascLocation);
SecurityCenterLocationResource securityCenterLocation = client.GetSecurityCenterLocationResource(securityCenterLocationResourceId);

// get the collection of this SubscriptionSecurityAlertResource
SubscriptionSecurityAlertCollection collection = securityCenterLocation.GetSubscriptionSecurityAlerts();

// invoke the operation
string alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
NullableResponse<SubscriptionSecurityAlertResource> response = await collection.GetIfExistsAsync(alertName);
SubscriptionSecurityAlertResource result = response.HasValue ? response.Value : null;

if (result == null)
{
    Console.WriteLine($"Succeeded with null as result");
}
else
{
    // the variable result is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityAlertData resourceData = result.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Resposta de exemplo

Código de status:

200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "type": "tabularEvidences",
      "title": "Investigate activity test",
      "columns": [
        "Date",
        "Activity",
        "User",
        "TestedText",
        "TestedValue"
      ],
      "rows": [
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser2",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser3",
          "true",
          true
        ]
      ]
    }
  }
}

Definições

Nome	Description
Alert	Alerta de segurança
AlertEntity	Alterando o conjunto de propriedades dependendo do tipo de entidade.
alertSeverity	O nível de risco da ameaça detectada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	O status do ciclo de vida do alerta.
AzureResourceIdentifier	Identificador de recurso do Azure.
CloudError	Resposta de erro comum para todas as APIs do Azure Resource Manager retornarem detalhes de erro para operações com falha. (Isso também segue o formato de resposta de erro OData.).
CloudErrorBody	O detalhe do erro.
ErrorAdditionalInfo	As informações adicionais do erro de gerenciamento de recursos.
intent	A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores com suporte e explicações sobre as intenções de cadeia de mortes com suporte da Central de Segurança do Azure.
LogAnalyticsIdentifier	Representa um identificador de escopo do espaço de trabalho do Log Analytics.
SupportingEvidence	Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.

Alert

Alerta de segurança

Nome	Tipo	Description
id	string	ID do recurso
name	string	Nome do recurso
properties.alertDisplayName	string	O nome de exibição do alerta.
properties.alertType	string	Identificador exclusivo para a lógica de detecção (todas as instâncias de alerta da mesma lógica de detecção terão o mesmo alertType).
properties.alertUri	string	Um link direto para a página de alerta no Portal do Azure.
properties.compromisedEntity	string	O nome de exibição do recurso mais relacionado a esse alerta.
properties.correlationKey	string	Chave para corelação de alertas relacionados. Alertas com a mesma chave de correlação considerada relacionada.
properties.description	string	Descrição da atividade suspeita detectada.
properties.endTimeUtc	string	A hora UTC do último evento ou atividade incluída no alerta no formato ISO8601.
properties.entities	AlertEntity[]	Uma lista de entidades relacionadas ao alerta.
properties.extendedLinks	object[]	Links relacionados ao alerta
properties.extendedProperties	object	Propriedades personalizadas para o alerta.
properties.intent	intent	A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores com suporte e explicações sobre as intenções de cadeia de mortes com suporte da Central de Segurança do Azure.
properties.isIncident	boolean	Esse campo determina se o alerta é um incidente (um agrupamento composto de vários alertas) ou um único alerta.
properties.processingEndTimeUtc	string	A hora de término do processamento UTC do alerta no formato ISO8601.
properties.productComponentName	string	O nome do tipo de preço da Central de Segurança do Azure que alimenta esse alerta. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	O nome do produto que publicou esse alerta (Microsoft Sentinel, Microsoft Defender para Identidade, Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office, Microsoft Defender para Aplicativos de Nuvem e assim por diante).
properties.remediationSteps	string[]	Itens de ação manuais a serem tomadas para corrigir o alerta.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Os identificadores de recurso que podem ser usados para direcionar o alerta para o grupo de exposição de produtos correto (locatário, workspace, assinatura etc.). Pode haver vários identificadores de tipo diferente por alerta.
properties.severity	alertSeverity	O nível de risco da ameaça detectada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	A hora UTC do primeiro evento ou atividade incluída no alerta no formato ISO8601.
properties.status	alertStatus	O status do ciclo de vida do alerta.
properties.subTechniques	string[]	Eliminar sub-técnicas relacionadas à cadeia por trás do alerta.
properties.supportingEvidence	SupportingEvidence	Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.
properties.systemAlertId	string	Identificador exclusivo para o alerta.
properties.techniques	string[]	técnicas relacionadas à cadeia de eliminação por trás do alerta.
properties.timeGeneratedUtc	string	A hora UTC em que o alerta foi gerado no formato ISO8601.
properties.vendorName	string	O nome do fornecedor que gera o alerta.
properties.version	string	Versão do esquema.
type	string	Tipo de recurso

AlertEntity

Alterando o conjunto de propriedades dependendo do tipo de entidade.

Nome	Tipo	Description
type	string	Tipo de entidade

alertSeverity

O nível de risco da ameaça detectada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Nome	Tipo	Description
High	string	Alto
Informational	string	Informativo
Low	string	Baixo
Medium	string	Média

alertStatus

O status do ciclo de vida do alerta.

Nome	Tipo	Description
Active	string	Um alerta que não especifica um valor recebe o status 'Ativo'
Dismissed	string	Alerta descartado como falso positivo
InProgress	string	Um alerta que está no estado de tratamento
Resolved	string	Alerta fechado após tratamento

AzureResourceIdentifier

Identificador de recurso do Azure.

Nome	Tipo	Description
azureResourceId	string	Identificador de recurso do ARM para o recurso de nuvem que está sendo alertado
type	string: AzureResource	Pode haver vários identificadores de tipo diferente por alerta, esse campo especifica o tipo de identificador.

CloudError

Resposta de erro comum para todas as APIs do Azure Resource Manager retornarem detalhes de erro para operações com falha. (Isso também segue o formato de resposta de erro OData.).

Nome	Tipo	Description
error.additionalInfo	ErrorAdditionalInfo[]	As informações adicionais do erro.
error.code	string	O código de erro.
error.details	CloudErrorBody[]	Os detalhes do erro.
error.message	string	A mensagem de erro.
error.target	string	O destino do erro.

CloudErrorBody

O detalhe do erro.

Nome	Tipo	Description
additionalInfo	ErrorAdditionalInfo[]	As informações adicionais do erro.
code	string	O código de erro.
details	CloudErrorBody[]	Os detalhes do erro.
message	string	A mensagem de erro.
target	string	O destino do erro.

ErrorAdditionalInfo

As informações adicionais do erro de gerenciamento de recursos.

Nome	Tipo	Description
info	object	As informações adicionais.
type	string	O tipo de informação adicional.

intent

A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores com suporte e explicações sobre as intenções de cadeia de mortes com suporte da Central de Segurança do Azure.

Nome	Tipo	Description
Collection	string	A coleção consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração.
CommandAndControl	string	A tática de comando e controle representa como os adversários se comunicam com sistemas sob seu controle dentro de uma rede de destino.
CredentialAccess	string	O acesso à credencial representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço que são usadas em um ambiente empresarial.
DefenseEvasion	string	A evasão de defesa consiste em técnicas que um adversário pode usar para evitar a detecção ou evitar outras defesas.
Discovery	string	A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna.
Execution	string	A tática de execução representa técnicas que resultam na execução de código controlado pelo adversário em um sistema local ou remoto.
Exfiltration	string	Exfiltração refere-se a técnicas e atributos que resultam ou ajudam o adversário a remover arquivos e informações de uma rede de destino.
Exploitation	string	A exploração é o estágio em que um invasor consegue obter uma base no recurso atacado. Esse estágio é relevante para hosts e recursos de computação, como contas de usuário, certificados etc.
Impact	string	Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo operacional ou comercial.
InitialAccess	string	InitialAccess é o estágio em que um invasor consegue se basear no recurso atacado.
LateralMovement	string	O movimento lateral consiste em técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e pode, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos.
Persistence	string	Persistência é qualquer alteração de acesso, ação ou configuração para um sistema que fornece a um ator de ameaça uma presença persistente nesse sistema.
PreAttack	string	PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Essa etapa geralmente é detectada como uma tentativa, originária de fora da rede, de verificar o sistema de destino e encontrar uma maneira de entrar. Mais detalhes sobre o estágio PreAttack podem ser lidos no de matriz de pré-att do MITRE&ck.
PrivilegeEscalation	string	O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede.
Probing	string	A investigação pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração.
Unknown	string	Desconhecido

LogAnalyticsIdentifier

Representa um identificador de escopo do espaço de trabalho do Log Analytics.

Nome	Tipo	Description
agentId	string	(opcional) A ID do agente do LogAnalytics informando o evento em que esse alerta se baseia.
type	string: LogAnalytics	Pode haver vários identificadores de tipo diferente por alerta, esse campo especifica o tipo de identificador.
workspaceId	string	A ID do workspace do LogAnalytics que armazena esse alerta.
workspaceResourceGroup	string	O grupo de recursos do Azure para o workspace logAnalytics armazenando esse alerta
workspaceSubscriptionId	string	A ID da assinatura do Azure para o workspace do LogAnalytics armazenando esse alerta.

SupportingEvidence

Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.

Nome	Tipo	Description
type	string	Tipo de supportingEvidence