Alerts - List By Resource Group

Serviço:

Defender for Cloud

Versão da API:

2022-01-01

Listar todos os alertas associados ao grupo de recursos

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2022-01-01

Parâmetros do URI

Name	Em	Necessário	Tipo	Description
resourceGroupName	path	True	string	O nome do grupo de recursos dentro da assinatura do usuário. O nome não diferencia maiúsculas de minúsculas. Padrão Regex: ^[-\w\._\(\)]+$
subscriptionId	path	True	string	ID de assinatura do Azure Padrão Regex: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	Versão da API para a operação

Respostas

Name	Tipo	Description
200 OK	AlertList	OK
Other Status Codes	CloudError	Resposta de erro descrevendo por que a operação falhou.

Segurança

azure_auth

Azure Ative Directory OAuth2 Flow

Tipo: oauth2
Fluxo: implicit
URL de Autorização: https://login.microsoftonline.com/common/oauth2/authorize

Âmbitos

Name	Description
user_impersonation	personificar a sua conta de utilizador

Exemplos

Get security alerts on a resource group

Pedido de amostra

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2022-01-01

Java

/**
 * Samples for Alerts ListByResourceGroup.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertsResourceGroup_example.json
     */
    /**
     * Sample code: Get security alerts on a resource group.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertsOnAResourceGroup(com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().listByResourceGroup("myRg1", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
func ExampleAlertsClient_NewListByResourceGroupPager() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	pager := clientFactory.NewAlertsClient().NewListByResourceGroupPager("myRg1", nil)
	for pager.More() {
		page, err := pager.NextPage(ctx)
		if err != nil {
			log.Fatalf("failed to advance page: %v", err)
		}
		for _, v := range page.Value {
			// You could use page here. We use blank identifier for just demo purposes.
			_ = v
		}
		// If the HTTP response code is 200 as defined in example definition, your page structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
		// page.AlertList = armsecurity.AlertList{
		// 	Value: []*armsecurity.Alert{
		// 		{
		// 			Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 			Type: to.Ptr("Microsoft.Security/Locations/alerts"),
		// 			ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
		// 			Properties: &armsecurity.AlertProperties{
		// 				Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
		// 				AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
		// 				AlertType: to.Ptr("VM_EICAR"),
		// 				AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
		// 				CompromisedEntity: to.Ptr("vm1"),
		// 				CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
		// 				EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 				Entities: []*armsecurity.AlertEntity{
		// 					{
		// 						AdditionalProperties: map[string]any{
		// 							"address": "192.0.2.1",
		// 							"location": map[string]any{
		// 								"asn": float64(6584),
		// 								"city": "sonning",
		// 								"countryCode": "gb",
		// 								"latitude": float64(51.468),
		// 								"longitude": float64(-0.909),
		// 								"state": "wokingham",
		// 							},
		// 						},
		// 						Type: to.Ptr("ip"),
		// 				}},
		// 				ExtendedLinks: []map[string]*string{
		// 					map[string]*string{
		// 						"Category": to.Ptr("threat_reports"),
		// 						"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
		// 						"Label": to.Ptr("Report: RDP Brute Forcing"),
		// 						"Type": to.Ptr("webLink"),
		// 				}},
		// 				ExtendedProperties: map[string]*string{
		// 					"Property1": to.Ptr("Property1 information"),
		// 				},
		// 				Intent: to.Ptr(armsecurity.IntentExecution),
		// 				IsIncident: to.Ptr(true),
		// 				ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
		// 				ProductComponentName: to.Ptr("testName"),
		// 				ProductName: to.Ptr("Azure Security Center"),
		// 				RemediationSteps: []*string{
		// 					to.Ptr("No further action is needed.")},
		// 					ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
		// 						&armsecurity.AzureResourceIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
		// 							AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
		// 						},
		// 						&armsecurity.LogAnalyticsIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
		// 							AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
		// 							WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
		// 							WorkspaceResourceGroup: to.Ptr("myRg1"),
		// 							WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
		// 					}},
		// 					Severity: to.Ptr(armsecurity.AlertSeverityHigh),
		// 					StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 					Status: to.Ptr(armsecurity.AlertStatusActive),
		// 					SubTechniques: []*string{
		// 						to.Ptr("T1059.001"),
		// 						to.Ptr("T1059.006"),
		// 						to.Ptr("T1053.002")},
		// 						SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
		// 							AdditionalProperties: map[string]any{
		// 								"supportingEvidenceList": []any{
		// 									map[string]any{
		// 										"type": "nestedList",
		// 										"evidenceElements":[]any{
		// 											map[string]any{
		// 												"type": "evidenceElement",
		// 												"innerElements": nil,
		// 												"text":map[string]any{
		// 													"arguments":map[string]any{
		// 														"domainName":map[string]any{
		// 															"type": "string",
		// 															"value": "domainName",
		// 														},
		// 														"sensitiveEnumerationTypes":map[string]any{
		// 															"type": "string[]",
		// 															"value":[]any{
		// 																"UseDesKey",
		// 															},
		// 														},
		// 													},
		// 													"fallback": "Actor enumerated UseDesKey on domain1.test.local",
		// 													"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
		// 												},
		// 											},
		// 										},
		// 									},
		// 									map[string]any{
		// 										"type": "tabularEvidences",
		// 										"columns":[]any{
		// 											"Date",
		// 											"Activity",
		// 											"User",
		// 											"TestedText",
		// 											"TestedValue",
		// 										},
		// 										"rows":[]any{
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser2",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser3",
		// 												"true",
		// 												true,
		// 											},
		// 										},
		// 										"title": "Investigate activity test",
		// 									},
		// 								},
		// 							},
		// 							Type: to.Ptr("supportingEvidenceList"),
		// 						},
		// 						SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 						Techniques: []*string{
		// 							to.Ptr("T1059"),
		// 							to.Ptr("T1053"),
		// 							to.Ptr("T1072")},
		// 							TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
		// 							VendorName: to.Ptr("Microsoft"),
		// 							Version: to.Ptr("2022-01-01"),
		// 						},
		// 				}},
		// 			}
	}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to List all the alerts that are associated with the resource group
 *
 * @summary List all the alerts that are associated with the resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
 */
async function getSecurityAlertsOnAResourceGroup() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const resArray = new Array();
  for await (let item of client.alerts.listByResourceGroup(resourceGroupName)) {
    resArray.push(item);
  }
  console.log(resArray);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Resources;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroup_example.json
// this example is just showing the usage of "Alerts_ListByResourceGroup" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupResource created on azure
// for more information of creating ResourceGroupResource, please refer to the document of ResourceGroupResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = client.GetResourceGroupResource(resourceGroupResourceId);

// invoke the operation and iterate over the result
await foreach (SecurityAlertData item in resourceGroupResource.GetAlertsByResourceGroupAsync())
{
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {item.Id}");
}

Console.WriteLine($"Succeeded");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Resposta da amostra

Código de estado:

200

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

Definições

Name	Description
Alert	Alerta de segurança
AlertEntity	Alterar o conjunto de propriedades dependendo do tipo de entidade.
AlertList	Lista de alertas de segurança
alertSeverity	O nível de risco da ameaça que foi detetada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	O status do ciclo de vida do alerta.
AzureResourceIdentifier	Identificador de recurso do Azure.
CloudError	Resposta de erro comum para todas as APIs do Azure Resource Manager para retornar detalhes de erro para operações com falha. (Isso também segue o formato de resposta de erro OData.)
CloudErrorBody	O detalhe do erro.
ErrorAdditionalInfo	O erro de gerenciamento de recursos informações adicionais.
intent	A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores suportados e explicações sobre as intenções da cadeia de eliminação suportadas do Centro de Segurança do Azure.
LogAnalyticsIdentifier	Representa um identificador de escopo do espaço de trabalho do Log Analytics.
SupportingEvidence	Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.

Alert

Alerta de segurança

Name	Tipo	Description
id	string	ID do recurso
name	string	Nome do recurso
properties.alertDisplayName	string	O nome para exibição do alerta.
properties.alertType	string	Identificador exclusivo para a lógica de deteção (todas as instâncias de alerta da mesma lógica de deteção terão o mesmo alertType).
properties.alertUri	string	Um link direto para a página de alerta no Portal do Azure.
properties.compromisedEntity	string	O nome para exibição do recurso mais relacionado a esse alerta.
properties.correlationKey	string	Chave para corelacionar alertas relacionados. Alertas com a mesma chave de correlação considerados relacionados.
properties.description	string	Descrição da atividade suspeita que foi detetada.
properties.endTimeUtc	string	A hora UTC do último evento ou atividade incluída no alerta em formato ISO8601.
properties.entities	AlertEntity[]	Uma lista de entidades relacionadas com o alerta.
properties.extendedLinks	object[]	Ligações relacionadas com o alerta
properties.extendedProperties	object	Propriedades personalizadas para o alerta.
properties.intent	intent	A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores suportados e explicações sobre as intenções da cadeia de eliminação suportadas do Centro de Segurança do Azure.
properties.isIncident	boolean	Este campo determina se o alerta é um incidente (um agrupamento composto de vários alertas) ou um único alerta.
properties.processingEndTimeUtc	string	A hora de término do processamento UTC do alerta em formato ISO8601.
properties.productComponentName	string	O nome da camada de preços da Central de Segurança do Azure que alimenta esse alerta. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	O nome do produto que publicou este alerta (Microsoft Sentinel, Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender for Office, Microsoft Defender for Cloud Apps e assim por diante).
properties.remediationSteps	string[]	Itens de ação manual a serem tomados para corrigir o alerta.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Os identificadores de recursos que podem ser usados para direcionar o alerta para o grupo de exposição de produto correto (locatário, espaço de trabalho, assinatura, etc.). Pode haver vários identificadores de tipo diferente por alerta.
properties.severity	alertSeverity	O nível de risco da ameaça que foi detetada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	A hora UTC do primeiro evento ou atividade incluída no alerta em formato ISO8601.
properties.status	alertStatus	O status do ciclo de vida do alerta.
properties.subTechniques	string[]	Kill chain sub-técnicas relacionadas por trás do alerta.
properties.supportingEvidence	SupportingEvidence	Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.
properties.systemAlertId	string	Identificador exclusivo do alerta.
properties.techniques	string[]	técnicas relacionadas à cadeia de matar por trás do alerta.
properties.timeGeneratedUtc	string	A hora UTC em que o alerta foi gerado em formato ISO8601.
properties.vendorName	string	O nome do fornecedor que gera o alerta.
properties.version	string	Versão do esquema.
type	string	Tipo de recurso

AlertEntity

Alterar o conjunto de propriedades dependendo do tipo de entidade.

Name	Tipo	Description
type	string	Tipo de entidade

AlertList

Lista de alertas de segurança

Name	Tipo	Description
nextLink	string	O URI para buscar a próxima página.
value	Alert[]	Descreve as propriedades do alerta de segurança.

alertSeverity

O nível de risco da ameaça que foi detetada. Saiba mais: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Name	Tipo	Description
High	string	Alto
Informational	string	Informativo
Low	string	Baixo
Medium	string	Média

alertStatus

O status do ciclo de vida do alerta.

Name	Tipo	Description
Active	string	Um alerta que não especifica um valor recebe o status 'Ativo'
Dismissed	string	Alerta descartado como falso positivo
InProgress	string	Um alerta que está no estado de manipulação
Resolved	string	Alerta fechado após o manuseamento

AzureResourceIdentifier

Identificador de recurso do Azure.

Name	Tipo	Description
azureResourceId	string	Identificador de recurso ARM para o recurso de nuvem que está sendo alertado em
type	string: AzureResource	Pode haver vários identificadores de tipo diferente por alerta, este campo especifica o tipo de identificador.

CloudError

Resposta de erro comum para todas as APIs do Azure Resource Manager para retornar detalhes de erro para operações com falha. (Isso também segue o formato de resposta de erro OData.)

Name	Tipo	Description
error.additionalInfo	ErrorAdditionalInfo[]	O erro informações adicionais.
error.code	string	O código de erro.
error.details	CloudErrorBody[]	Os detalhes do erro.
error.message	string	A mensagem de erro.
error.target	string	O destino do erro.

CloudErrorBody

O detalhe do erro.

Name	Tipo	Description
additionalInfo	ErrorAdditionalInfo[]	O erro informações adicionais.
code	string	O código de erro.
details	CloudErrorBody[]	Os detalhes do erro.
message	string	A mensagem de erro.
target	string	O destino do erro.

ErrorAdditionalInfo

O erro de gerenciamento de recursos informações adicionais.

Name	Tipo	Description
info	object	As informações adicionais.
type	string	O tipo de informação adicional.

intent

A intenção relacionada à cadeia de morte por trás do alerta. Para obter uma lista de valores suportados e explicações sobre as intenções da cadeia de eliminação suportadas do Centro de Segurança do Azure.

Name	Tipo	Description
Collection	string	A coleta consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração.
CommandAndControl	string	A tática de comando e controle representa como os adversários se comunicam com os sistemas sob seu controle dentro de uma rede alvo.
CredentialAccess	string	O acesso a credenciais representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço que são usadas em um ambiente corporativo.
DefenseEvasion	string	A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da deteção ou evitar outras defesas.
Discovery	string	A descoberta consiste em técnicas que permitem ao adversário obter conhecimento sobre o sistema e a rede interna.
Execution	string	A tática de execução representa técnicas que resultam na execução de código controlado por adversários em um sistema local ou remoto.
Exfiltration	string	Exfiltração refere-se a técnicas e atributos que resultam ou ajudam no adversário removendo arquivos e informações de uma rede de destino.
Exploitation	string	A exploração é o estágio em que um invasor consegue se firmar no recurso atacado. Esta etapa é relevante para hosts de computação e recursos, como contas de usuário, certificados, etc.
Impact	string	Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo comercial ou operacional.
InitialAccess	string	InitialAccess é o estágio em que um invasor consegue se firmar no recurso atacado.
LateralMovement	string	O movimento lateral consiste em técnicas que permitem a um adversário aceder e controlar sistemas remotos numa rede e poderia, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos.
Persistence	string	Persistência é qualquer acesso, ação ou alteração de configuração em um sistema que dá a um agente de ameaça uma presença persistente nesse sistema.
PreAttack	string	PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção maliciosa, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Esta etapa geralmente é detetada como uma tentativa, originada de fora da rede, de verificar o sistema de destino e encontrar uma maneira de entrar. Mais detalhes sobre o estágio PreAttack podem ser lidos em MITRE Pre-Att&ck matrix.
PrivilegeEscalation	string	O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede.
Probing	string	A sondagem pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção maliciosa, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração.
Unknown	string	Desconhecido

LogAnalyticsIdentifier

Representa um identificador de escopo do espaço de trabalho do Log Analytics.

Name	Tipo	Description
agentId	string	(facultativo) A ID do agente do LogAnalytics que relata o evento no qual esse alerta se baseia.
type	string: LogAnalytics	Pode haver vários identificadores de tipo diferente por alerta, este campo especifica o tipo de identificador.
workspaceId	string	A ID do espaço de trabalho do LogAnalytics que armazena esse alerta.
workspaceResourceGroup	string	O grupo de recursos azure para o espaço de trabalho LogAnalytics que armazena este alerta
workspaceSubscriptionId	string	A ID de assinatura azure para o espaço de trabalho do LogAnalytics que armazena esse alerta.

SupportingEvidence

Alterando o conjunto de propriedades dependendo do tipo supportingEvidence.

Name	Tipo	Description
type	string	Tipo de suporteEvidência