Поделиться через

Iot Security Solutions Analytics Aggregated Alert - List

  • Ссылка
Служба:
Defender for Cloud
Версия API:
2019-08-01

Используйте этот метод, чтобы получить объединенный список оповещений решения IoT Security.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/iotSecuritySolutions/{solutionName}/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01
С использованием необязательных параметров: 
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/iotSecuritySolutions/{solutionName}/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01&$top={$top}

Параметры URI

Имя В Обязательно Тип Описание
resourceGroupName
 path True

string

Имя группы ресурсов в подписке пользователя. Имя не учитывает регистр.

Шаблон регулярного выражения: ^[-\w\._\(\)]+$
solutionName
 path True

string

Имя решения Безопасности Интернета вещей.
subscriptionId
 path True

string

Идентификатор подписки Azure

Шаблон регулярного выражения: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

Версия API для операции
$top
 query

integer

int32

Количество полученных результатов.

Ответы

Имя Тип Описание
200 OK

IoTSecurityAggregatedAlertList

ХОРОШО
Other Status Codes

CloudError

Ответ на ошибку, описывающий причину сбоя операции.

Безопасность

azure_auth

Поток OAuth2 Azure Active Directory

Тип: oauth2
Flow: implicit
URL-адрес авторизации: https://login.microsoftonline.com/common/oauth2/authorize

Области

Имя Описание
user_impersonation олицетворения учетной записи пользователя

Примеры

Get the aggregated alert list of yours IoT Security solution

Образец запроса

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/iotSecuritySolutions/default/analyticsModels/default/aggregatedAlerts?api-version=2019-08-01

Пример ответа

Код состояния:
200 
{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02",
      "name": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02",
      "type": "Microsoft.Security/iotSecuritySolutions/analyticsModels/aggregatedAlerts",
      "properties": {
        "alertType": "IoT_Bruteforce_Fail",
        "alertDisplayName": "Failed Bruteforce",
        "aggregatedDateUtc": "2019-02-02",
        "vendorName": "Microsoft",
        "reportedSeverity": "Low",
        "remediationSteps": "",
        "description": "Multiple unsuccsseful login attempts identified. A Bruteforce attack on the device failed.",
        "count": 50,
        "effectedResourceType": "IoT Device",
        "systemSource": "Devices",
        "actionTaken": "Detected",
        "logAnalyticsQuery": "SecurityAlert | where tolower(ResourceId) == tolower('/subscriptions/b77ec8a9-04ed-48d2-a87a-e5887b978ba6/resourceGroups/IoT-Solution-DemoEnv/providers/Microsoft.Devices/IotHubs/rtogm-hub') and tolower(AlertName) == tolower('Custom Alert - number of device to cloud messages in MQTT protocol is not in the allowed range') | extend DeviceId=parse_json(ExtendedProperties)['DeviceId'] | project DeviceId, TimeGenerated, DisplayName, AlertSeverity, Description, RemediationSteps, ExtendedProperties",
        "topDevicesList": [
          {
            "deviceId": "testDevice1",
            "alertsCount": 45,
            "lastOccurrence": "10:42"
          },
          {
            "deviceId": "testDevice2",
            "alertsCount": 30,
            "lastOccurrence": "15:42"
          }
        ]
      }
    },
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Success/2019-02-02",
      "name": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Success/2019-02-02",
      "type": "Microsoft.Security/iotSecuritySolutions/analyticsModels/aggregatedAlerts",
      "properties": {
        "alertType": "IoT_Bruteforce_Success",
        "alertDisplayName": "Successful Bruteforce",
        "aggregatedDateUtc": "2019-02-02",
        "vendorName": "Microsoft",
        "reportedSeverity": "Low",
        "remediationSteps": "",
        "description": "Multiple unsuccsseful login attempts identified followed by a succssful login. A Bruteforce attack on the device was Successfule",
        "count": 600000,
        "effectedResourceType": "IoT Device",
        "systemSource": "Devices",
        "actionTaken": "Detected",
        "logAnalyticsQuery": "SecurityAlert | where tolower(ResourceId) == tolower('/subscriptions/b77ec8a9-04ed-48d2-a87a-e5887b978ba6/resourceGroups/IoT-Solution-DemoEnv/providers/Microsoft.Devices/IotHubs/rtogm-hub') and tolower(AlertName) == tolower('Custom Alert - number of device to cloud messages in MQTT protocol is not in the allowed range') | extend DeviceId=parse_json(ExtendedProperties)['DeviceId'] | project DeviceId, TimeGenerated, DisplayName, AlertSeverity, Description, RemediationSteps, ExtendedProperties",
        "topDevicesList": [
          {
            "deviceId": "testDevice1",
            "alertsCount": 12321,
            "lastOccurrence": "10:42"
          },
          {
            "deviceId": "testDevice2",
            "alertsCount": 455,
            "lastOccurrence": "15:42"
          }
        ]
      }
    }
  ]
}

Определения

Имя Описание
CloudError

Распространенный ответ об ошибке для всех API Azure Resource Manager для возврата сведений об ошибке для неудачных операций. (Это также следует формату ответа об ошибках OData.).
CloudErrorBody

Сведения об ошибке.
ErrorAdditionalInfo

Дополнительные сведения об ошибке управления ресурсами.
IoTSecurityAggregatedAlert

Сведения об агрегированных оповещениях решения безопасности
IoTSecurityAggregatedAlertList

Список объединенных данных оповещений решения Для безопасности Интернета вещей.
reportedSeverity

Оценка серьезности оповещений.
TopDevicesList

10 устройств с наибольшим числом вхождения этого типа оповещений в этот день.

CloudError

Распространенный ответ об ошибке для всех API Azure Resource Manager для возврата сведений об ошибке для неудачных операций. (Это также следует формату ответа об ошибках OData.).

Имя Тип Описание
error.additionalInfo

ErrorAdditionalInfo[]

Дополнительные сведения об ошибке.
error.code

string

Код ошибки.
error.details

CloudErrorBody[]

Сведения об ошибке.
error.message

string

Сообщение об ошибке.
error.target

string

Целевой объект ошибки.

CloudErrorBody

Сведения об ошибке.

Имя Тип Описание
additionalInfo

ErrorAdditionalInfo[]

Дополнительные сведения об ошибке.
code

string

Код ошибки.
details

CloudErrorBody[]

Сведения об ошибке.
message

string

Сообщение об ошибке.
target

string

Целевой объект ошибки.

ErrorAdditionalInfo

Дополнительные сведения об ошибке управления ресурсами.

Имя Тип Описание
info

object

Дополнительные сведения.
type

string

Дополнительный тип сведений.

IoTSecurityAggregatedAlert

Сведения об агрегированных оповещениях решения безопасности

Имя Тип Описание
id

string

Идентификатор ресурса
name

string

Имя ресурса
properties.actionTaken

string

Ответ генерации оповещений решения для безопасности Интернета вещей.
properties.aggregatedDateUtc

string

Дата обнаружения.
properties.alertDisplayName

string

Отображаемое имя типа оповещения.
properties.alertType

string

Имя типа оповещения.
properties.count

integer

Количество вхождений оповещений в агрегированном окне времени.
properties.description

string

Описание предполагаемой уязвимости и значения.
properties.effectedResourceType

string

Идентификатор ресурса Azure ресурса, который получил оповещения.
properties.logAnalyticsQuery

string

Запрос Log Analytics для получения списка затронутых устройств и оповещений.
properties.remediationSteps

string

Рекомендуемые шаги по исправлению.
properties.reportedSeverity

reportedSeverity

Оценка серьезности оповещений.
properties.systemSource

string

Тип оповещенного ресурса (Azure, не azure).
properties.topDevicesList

TopDevicesList[]

10 устройств с наибольшим числом вхождения этого типа оповещений в этот день.
properties.vendorName

string

Имя организации, которая вызвала оповещение.
tags

object

Теги ресурсов
type

string

Тип ресурса

IoTSecurityAggregatedAlertList

Список объединенных данных оповещений решения Для безопасности Интернета вещей.

Имя Тип Описание
nextLink

string

Если для одной страницы слишком много оповещений, используйте этот универсальный код ресурса (URI) для получения следующей страницы.
value

IoTSecurityAggregatedAlert[]

Список агрегированных данных оповещений.

reportedSeverity

Оценка серьезности оповещений.

Имя Тип Описание
High

string

Informational

string

Low

string

Medium

string

TopDevicesList

10 устройств с наибольшим числом вхождения этого типа оповещений в этот день.

Имя Тип Описание
alertsCount

integer

Количество оповещений, возникающих для этого устройства.
deviceId

string

Имя устройства.
lastOccurrence

string

Последнее время, когда это оповещение было создано для этого устройства, в этот день.