Alerts - Get Subscription Level

Service:

Defender for Cloud

API Version:

2022-01-01

Obter um alerta associado a uma assinatura

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

Parâmetros de URI

Nome	Em	Obrigatório	Tipo	Description
alertName	path	True	string	Nome do objeto de alerta
ascLocation	path	True	string	O local em que o ASC armazena os dados da assinatura. pode ser recuperado de Obter locais
subscriptionId	path	True	string	ID de assinatura do Azure Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	Versão da API para a operação

Respostas

Nome	Tipo	Description
200 OK	Alert	OK
Other Status Codes	CloudError	Resposta de erro que descreve por que a operação falhou.

Segurança

azure_auth

Fluxo do OAuth2 do Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Nome	Description
user_impersonation	representar sua conta de usuário

Exemplos

Get security alert on a subscription from a security data location

Sample Request

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA?api-version=2022-01-01

Java

/**
 * Samples for Alerts GetSubscriptionLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertSubscriptionLocation_example.json
     */
    /**
     * Sample code: Get security alert on a subscription from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnASubscriptionFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getSubscriptionLevelWithResponse("westeurope",
            "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
func ExampleAlertsClient_GetSubscriptionLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetSubscriptionLevel(ctx, "westeurope", "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"columns": []any{
	// 							"Date",
	// 							"Activity",
	// 							"User",
	// 							"TestedText",
	// 							"TestedValue",
	// 						},
	// 						"rows": []any{
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser2",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser3",
	// 								"true",
	// 								true,
	// 							},
	// 						},
	// 						"title": "Investigate activity test",
	// 					},
	// 					Type: to.Ptr("tabularEvidences"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated with a subscription
 *
 * @summary Get an alert that is associated with a subscription
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
 */
async function getSecurityAlertOnASubscriptionFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const ascLocation = "westeurope";
  const alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getSubscriptionLevel(ascLocation, alertName);
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
// this example is just showing the usage of "Alerts_GetSubscriptionLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this SecurityCenterLocationResource created on azure
// for more information of creating SecurityCenterLocationResource, please refer to the document of SecurityCenterLocationResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
AzureLocation ascLocation = new AzureLocation("westeurope");
ResourceIdentifier securityCenterLocationResourceId = SecurityCenterLocationResource.CreateResourceIdentifier(subscriptionId, ascLocation);
SecurityCenterLocationResource securityCenterLocation = client.GetSecurityCenterLocationResource(securityCenterLocationResourceId);

// get the collection of this SubscriptionSecurityAlertResource
SubscriptionSecurityAlertCollection collection = securityCenterLocation.GetSubscriptionSecurityAlerts();

// invoke the operation
string alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
NullableResponse<SubscriptionSecurityAlertResource> response = await collection.GetIfExistsAsync(alertName);
SubscriptionSecurityAlertResource result = response.HasValue ? response.Value : null;

if (result == null)
{
    Console.WriteLine($"Succeeded with null as result");
}
else
{
    // the variable result is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityAlertData resourceData = result.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:

200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "type": "tabularEvidences",
      "title": "Investigate activity test",
      "columns": [
        "Date",
        "Activity",
        "User",
        "TestedText",
        "TestedValue"
      ],
      "rows": [
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser2",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser3",
          "true",
          true
        ]
      ]
    }
  }
}

Definições

Nome	Description
Alert	Alerta de segurança
AlertEntity	Alterando o conjunto de propriedades dependendo do tipo de entidade.
alertSeverity	O nível de risco da ameaça detectada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	O ciclo de vida status do alerta.
AzureResourceIdentifier	Identificador de recurso do Azure.
CloudError	Resposta de erro comum para todas as APIs do Azure Resource Manager para retornar detalhes de erro de operações com falha. (Isso também segue o formato de resposta de erro OData.).
CloudErrorBody	O detalhe do erro.
ErrorAdditionalInfo	As informações adicionais do erro de gerenciamento de recursos.
intent	A intenção relacionada de cadeia de encerramento por trás do alerta. Para obter uma lista de valores com suporte e explicações das intenções de cadeia de eliminação com suporte do Central de Segurança do Azure.
LogAnalyticsIdentifier	Representa um identificador de escopo do workspace do Log Analytics.
SupportingEvidence	Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.

Alert

Alerta de segurança

Nome	Tipo	Description
id	string	ID do recurso
name	string	Nome do recurso
properties.alertDisplayName	string	O nome de exibição do alerta.
properties.alertType	string	Identificador exclusivo para a lógica de detecção (todas as instâncias de alerta da mesma lógica de detecção terão o mesmo alertType).
properties.alertUri	string	Um link direto para a página de alerta no Portal do Azure.
properties.compromisedEntity	string	O nome de exibição do recurso mais relacionado a este alerta.
properties.correlationKey	string	Chave para corelating de alertas relacionados. Alertas com a mesma chave de correlação considerada relacionada.
properties.description	string	Descrição da atividade suspeita detectada.
properties.endTimeUtc	string	A hora UTC do último evento ou atividade incluído no alerta no formato ISO8601.
properties.entities	AlertEntity[]	Uma lista de entidades relacionadas ao alerta.
properties.extendedLinks	object[]	Links relacionados ao alerta
properties.extendedProperties	object	Propriedades personalizadas para o alerta.
properties.intent	intent	A intenção relacionada de cadeia de encerramento por trás do alerta. Para obter uma lista de valores com suporte e explicações das intenções de cadeia de eliminação com suporte do Central de Segurança do Azure.
properties.isIncident	boolean	Este campo determina se o alerta é um incidente (um agrupamento composto de vários alertas) ou um único alerta.
properties.processingEndTimeUtc	string	A hora de término do processamento UTC do alerta no formato ISO8601.
properties.productComponentName	string	O nome de Central de Segurança do Azure tipo de preço que alimenta esse alerta. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	O nome do produto que publicou esse alerta (Microsoft Sentinel, Microsoft Defender para Identidade, Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office, Microsoft Defender para Aplicativos de Nuvem e assim por diante).
properties.remediationSteps	string[]	Itens de ação manual a serem usados para corrigir o alerta.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Os identificadores de recursos que podem ser usados para direcionar o alerta para o grupo de exposição de produto correto (locatário, workspace, assinatura etc.). Pode haver vários identificadores de tipo diferente por alerta.
properties.severity	alertSeverity	O nível de risco da ameaça detectada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	A hora UTC do primeiro evento ou atividade incluído no alerta no formato ISO8601.
properties.status	alertStatus	O ciclo de vida status do alerta.
properties.subTechniques	string[]	Eliminar sub-técnicas relacionadas à cadeia por trás do alerta.
properties.supportingEvidence	SupportingEvidence	Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.
properties.systemAlertId	string	Identificador exclusivo para o alerta.
properties.techniques	string[]	técnicas relacionadas à cadeia de eliminação por trás do alerta.
properties.timeGeneratedUtc	string	A hora UTC em que o alerta foi gerado no formato ISO8601.
properties.vendorName	string	O nome do fornecedor que gera o alerta.
properties.version	string	Versão do esquema.
type	string	Tipo de recurso

AlertEntity

Alterando o conjunto de propriedades dependendo do tipo de entidade.

Nome	Tipo	Description
type	string	Tipo de entidade

alertSeverity

O nível de risco da ameaça detectada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Nome	Tipo	Description
High	string	Alto
Informational	string	Informativo
Low	string	Baixo
Medium	string	Médio

alertStatus

O ciclo de vida status do alerta.

Nome	Tipo	Description
Active	string	Um alerta que não especifica um valor é atribuído ao status 'Ativo'
Dismissed	string	Alerta descartado como falso positivo
InProgress	string	Um alerta que está no estado de tratamento
Resolved	string	Alerta fechado após a manipulação

AzureResourceIdentifier

Identificador de recurso do Azure.

Nome	Tipo	Description
azureResourceId	string	Identificador de recurso do ARM para o recurso de nuvem que está sendo alertado
type	string: AzureResource	Pode haver vários identificadores de tipo diferente por alerta, esse campo especifica o tipo de identificador.

CloudError

Resposta de erro comum para todas as APIs do Azure Resource Manager para retornar detalhes de erro de operações com falha. (Isso também segue o formato de resposta de erro OData.).

Nome	Tipo	Description
error.additionalInfo	ErrorAdditionalInfo[]	As informações adicionais do erro.
error.code	string	O código de erro.
error.details	CloudErrorBody[]	Os detalhes do erro.
error.message	string	A mensagem de erro.
error.target	string	O destino do erro.

CloudErrorBody

O detalhe do erro.

Nome	Tipo	Description
additionalInfo	ErrorAdditionalInfo[]	As informações adicionais do erro.
code	string	O código de erro.
details	CloudErrorBody[]	Os detalhes do erro.
message	string	A mensagem de erro.
target	string	O destino do erro.

ErrorAdditionalInfo

As informações adicionais do erro de gerenciamento de recursos.

Nome	Tipo	Description
info	object	As informações adicionais.
type	string	O tipo de informação adicional.

intent

A intenção relacionada de cadeia de encerramento por trás do alerta. Para obter uma lista de valores com suporte e explicações das intenções de cadeia de eliminação com suporte do Central de Segurança do Azure.

Nome	Tipo	Description
Collection	string	A coleção consiste de técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes do vazamento.
CommandAndControl	string	A tática de comando e controle representa como os adversários se comunicam com os sistemas que estão controlando em uma rede de destino.
CredentialAccess	string	O acesso a credenciais representa técnicas que resultam no acesso às credenciais do sistema, do domínio ou do serviço ou no controle dessas credenciais dentro de um ambiente empresarial.
DefenseEvasion	string	A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da detecção ou evitar outras defesas.
Discovery	string	A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna.
Execution	string	A tática de execução representa as técnicas que resultam na execução de código controlado por adversário em um sistema local ou remoto.
Exfiltration	string	A exfiltração refere-se a técnicas e atributos que ajudam o adversário a remover arquivos e informações de uma rede de destino ou resultam nessa ação.
Exploitation	string	Exploração é o estágio em que um invasor consegue obter uma base no recurso atacado. Esse estágio é relevante para hosts de computação e recursos como contas de usuário, certificados etc.
Impact	string	Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, um serviço ou uma rede, incluindo a manipulação de dados para afetar um processo comercial ou operacional.
InitialAccess	string	InitialAccess é o estágio em que um invasor consegue se basear no recurso atacado.
LateralMovement	string	A movimentação lateral consiste de técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e pode incluir a execução de ferramentas em sistemas remotos, mas não necessariamente fazê-lo.
Persistence	string	A persistência é qualquer acesso, ação ou alteração na configuração em um sistema que forneça a um ator de ameaças uma presença persistente nesse sistema.
PreAttack	string	O PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa com falha de obter acesso a um sistema de destino para coletar informações antes da exploração. Essa etapa geralmente é detectada como uma tentativa, originária de fora da rede, de verificar o sistema de destino e encontrar uma maneira de entrar. Mais detalhes sobre o estágio PreAttack podem ser lidos na matriz mitre pré-att&ck.
PrivilegeEscalation	string	A elevação de privilégio é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou uma rede.
Probing	string	A investigação pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração.
Unknown	string	Unknown

LogAnalyticsIdentifier

Representa um identificador de escopo do workspace do Log Analytics.

Nome	Tipo	Description
agentId	string	(opcional) A ID do agente do LogAnalytics relatando o evento no qual esse alerta se baseia.
type	string: LogAnalytics	Pode haver vários identificadores de tipo diferente por alerta, esse campo especifica o tipo de identificador.
workspaceId	string	A ID do workspace do LogAnalytics que armazena esse alerta.
workspaceResourceGroup	string	O grupo de recursos do azure para o workspace logAnalytics armazenando esse alerta
workspaceSubscriptionId	string	A ID da assinatura do Azure para o workspace do LogAnalytics que armazena esse alerta.

SupportingEvidence

Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.

Nome	Tipo	Description
type	string	Tipo de supportingEvidence