Dela via

Alerts - List

  • Referens
Tjänst:
Defender for Cloud
API-version:
2022-01-01

Visa en lista över alla aviseringar som är associerade med prenumerationen

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/alerts?api-version=2022-01-01

URI-parametrar

Name I Obligatorisk Typ Description
subscriptionId
 path True

string

Azure-prenumerations-ID

Reguljärt uttrycksmönster: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

API-version för åtgärden

Svar

Name Typ Description
200 OK

AlertList

OKEJ
Other Status Codes

CloudError

Felsvar som beskriver varför åtgärden misslyckades.

Säkerhet

azure_auth

Azure Active Directory OAuth2 Flow

Typ: oauth2
Flow: implicit
Auktoriseringswebbadress: https://login.microsoftonline.com/common/oauth2/authorize

Omfattningar

Name Description
user_impersonation personifiera ditt användarkonto

Exempel

Get security alerts on a subscription

Exempelbegäran

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/alerts?api-version=2022-01-01

Exempelsvar

Statuskod:
200 
{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      }
    },
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
      "name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_SuspiciousScreenSaver",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName2",
        "alertDisplayName": "Suspicious Screensaver process executed",
        "description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
        "severity": "Medium",
        "intent": "Execution",
        "startTimeUtc": "2019-05-07T13:51:45.0045913Z",
        "endTimeUtc": "2019-05-07T13:51:45.0045913Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
          "2. Make sure the machine is completely updated and has an updated anti-malware application installed",
          "3. Run a full anti-malware scan and verify that the threat was removed",
          "4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
          "5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
          "6. Escalate the alert to the information security team"
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
        "entities": [
          {
            "dnsDomain": "",
            "ntDomain": "",
            "hostName": "vm2",
            "netBiosName": "vm2",
            "azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
            "omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
            "operatingSystem": "Unknown",
            "type": "host",
            "OsVersion": null
          },
          {
            "name": "contosoUser",
            "ntDomain": "vm2",
            "logonId": "0x61450d87",
            "sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
            "type": "account"
          },
          {
            "directory": "c:\\windows\\system32",
            "name": "cmd.exe",
            "type": "file"
          },
          {
            "processId": "0x3c44",
            "type": "process"
          },
          {
            "directory": "c:\\users\\contosoUser",
            "name": "scrsave.scr",
            "type": "file"
          },
          {
            "processId": "0x4aec",
            "commandLine": "c:\\users\\contosoUser\\scrsave.scr",
            "creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
            "type": "process"
          }
        ],
        "isIncident": true,
        "correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
        "compromisedEntity": "vm2",
        "extendedProperties": {
          "domain name": "vm2",
          "user name": "vm2\\contosoUser",
          "process name": "c:\\users\\contosoUser\\scrsave.scr",
          "command line": "c:\\users\\contosoUser\\scrsave.scr",
          "parent process": "cmd.exe",
          "process id": "0x4aec",
          "account logon id": "0x61450d87",
          "user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
          "parent process id": "0x3c44",
          "resourceType": "Virtual Machine"
        },
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

Definitioner

Name Description
Alert

Säkerhetsavisering
AlertEntity

Ändra uppsättning egenskaper beroende på entitetstyp.
AlertList

Lista över säkerhetsaviseringar
alertSeverity

Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus

Livscykelstatus för aviseringen.
AzureResourceIdentifier

Azure-resursidentifierare.
CloudError

Vanligt felsvar för alla Azure Resource Manager-API:er för att returnera felinformation för misslyckade åtgärder. (Detta följer även formatet för OData-felsvar.).
CloudErrorBody

Felinformationen.
ErrorAdditionalInfo

Ytterligare information om resurshanteringsfelet.
intent

Avsikten med dödskedjan bakom aviseringen. För en lista över värden som stöds och förklaringar av avsikterna för dödande kedja som stöds i Azure Security Center.
LogAnalyticsIdentifier

Representerar en Log Analytics-omfångsidentifierare för arbetsytan.
SupportingEvidence

Ändra uppsättning egenskaper beroende på typen supportingEvidence.

Alert

Säkerhetsavisering

Name Typ Description
id

string

Resurs-ID
name

string

Resursnamn
properties.alertDisplayName

string

Aviseringens visningsnamn.
properties.alertType

string

Unik identifierare för identifieringslogik (alla aviseringsinstanser från samma identifieringslogik har samma alertType).
properties.alertUri

string

En direktlänk till aviseringssidan i Azure Portal.
properties.compromisedEntity

string

Visningsnamnet för den resurs som är mest relaterad till den här aviseringen.
properties.correlationKey

string

Nyckel för kärnning av relaterade aviseringar. Aviseringar med samma korrelationsnyckel som anses vara relaterade.
properties.description

string

Beskrivning av den misstänkta aktivitet som identifierades.
properties.endTimeUtc

string

UTC-tiden för den senaste händelsen eller aktiviteten som ingår i aviseringen i ISO8601 format.
properties.entities

AlertEntity[]

En lista över entiteter som är relaterade till aviseringen.
properties.extendedLinks

object[]

Länkar relaterade till aviseringen
properties.extendedProperties

object

Anpassade egenskaper för aviseringen.
properties.intent

intent

Avsikten med dödskedjan bakom aviseringen. För en lista över värden som stöds och förklaringar av avsikterna för dödande kedja som stöds i Azure Security Center.
properties.isIncident

boolean

Det här fältet avgör om aviseringen är en incident (en sammansatt gruppering av flera aviseringar) eller en enda avisering.
properties.processingEndTimeUtc

string

UTC-bearbetningens sluttid för aviseringen i ISO8601 format.
properties.productComponentName

string

Namnet på prisnivån i Azure Security Center som driver den här aviseringen. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName

string

Namnet på den produkt som publicerade den här aviseringen (Microsoft Sentinel, Microsoft Defender för identitet, Microsoft Defender för Endpoint, Microsoft Defender för Office, Microsoft Defender för Molnappar och så vidare).
properties.remediationSteps

string[]

Manuella åtgärder som ska vidtas för att åtgärda aviseringen.
properties.resourceIdentifiers ResourceIdentifier[]:

Resursidentifierare som kan användas för att dirigera aviseringen till rätt produktexponeringsgrupp (klientorganisation, arbetsyta, prenumeration osv.). Det kan finnas flera identifierare av olika typ per avisering.
properties.severity

alertSeverity

Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc

string

UTC-tiden för den första händelsen eller aktiviteten som ingår i aviseringen i ISO8601 format.
properties.status

alertStatus

Livscykelstatus för aviseringen.
properties.subTechniques

string[]

Kill chain-relaterade undertekniker bakom aviseringen.
properties.supportingEvidence

SupportingEvidence

Ändra uppsättning egenskaper beroende på typen supportingEvidence.
properties.systemAlertId

string

Unik identifierare för aviseringen.
properties.techniques

string[]

kill chain-relaterade tekniker bakom aviseringen.
properties.timeGeneratedUtc

string

UTC-tiden då aviseringen genererades i ISO8601 format.
properties.vendorName

string

Namnet på leverantören som genererar aviseringen.
properties.version

string

Schemaversion.
type

string

Resurstyp

AlertEntity

Ändra uppsättning egenskaper beroende på entitetstyp.

Name Typ Description
type

string

Typ av entitet

AlertList

Lista över säkerhetsaviseringar

Name Typ Description
nextLink

string

URI:n för att hämta nästa sida.
value

Alert[]

beskriver säkerhetsaviseringsegenskaper.

alertSeverity

Risknivån för det hot som identifierades. Läs mer: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Name Typ Description
High

string

Hög
Informational

string

Informativt
Low

string

Låg
Medium

string

Medium

alertStatus

Livscykelstatus för aviseringen.

Name Typ Description
Active

string

En avisering som inte anger något värde tilldelas statusen "Aktiv"
Dismissed

string

Avisering avvisad som falsk positiv
InProgress

string

En avisering som är i hanteringstillstånd
Resolved

string

Avisering stängd efter hantering

AzureResourceIdentifier

Azure-resursidentifierare.

Name Typ Description
azureResourceId

string

ARM-resursidentifierare för molnresursen som aviseras på
type string:

AzureResource

Det kan finnas flera identifierare av olika typ per avisering, det här fältet anger identifierartyp.

CloudError

Vanligt felsvar för alla Azure Resource Manager-API:er för att returnera felinformation för misslyckade åtgärder. (Detta följer även formatet för OData-felsvar.).

Name Typ Description
error.additionalInfo

ErrorAdditionalInfo[]

Ytterligare information om felet.
error.code

string

Felkoden.
error.details

CloudErrorBody[]

Felinformationen.
error.message

string

Felmeddelandet.
error.target

string

Felmålet.

CloudErrorBody

Felinformationen.

Name Typ Description
additionalInfo

ErrorAdditionalInfo[]

Ytterligare information om felet.
code

string

Felkoden.
details

CloudErrorBody[]

Felinformationen.
message

string

Felmeddelandet.
target

string

Felmålet.

ErrorAdditionalInfo

Ytterligare information om resurshanteringsfelet.

Name Typ Description
info

object

Ytterligare information.
type

string

Ytterligare informationstyp.

intent

Avsikten med dödskedjan bakom aviseringen. För en lista över värden som stöds och förklaringar av avsikterna för dödande kedja som stöds i Azure Security Center.

Name Typ Description
Collection

string

Samlingen består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering.
CommandAndControl

string

Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk.
CredentialAccess

string

Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö.
DefenseEvasion

string

Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra skydd.
Discovery

string

Identifieringen består av tekniker som gör det möjligt för motståndaren att få kunskap om systemet och det interna nätverket.
Execution

string

Körningstaktiken representerar tekniker som resulterar i körning av adversary-kontrollerad kod på ett lokalt eller fjärranslutet system.
Exfiltration

string

Exfiltrering refererar till tekniker och attribut som leder till eller hjälper motståndaren att ta bort filer och information från ett målnätverk.
Exploitation

string

Exploatering är det stadium där en angripare lyckas få fotfäste på den attackerade resursen. Den här fasen är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv.
Impact

string

Påverkanshändelser försöker främst direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk. inklusive manipulering av data för att påverka en affärs- eller driftsprocess.
InitialAccess

string

InitialAccess är den fas där en angripare lyckas få fotfäste på den angripna resursen.
LateralMovement

string

Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och kan, men inte nödvändigtvis, inkludera körning av verktyg på fjärrsystem.
Persistence

string

Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar till ett system som ger en hotskådespelare en beständig närvaro i systemet.
PreAttack

string

PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och hitta en väg in. Mer information om PreAttack-fasen kan läsas i MITRE Pre-Att&ck-matrisen.
PrivilegeEscalation

string

Behörighetseskalering är resultatet av åtgärder som gör det möjligt för en angripare att få en högre behörighetsnivå i ett system eller nätverk.
Probing

string

Avsökning kan vara antingen ett försök att komma åt en viss resurs oavsett en skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet.
Unknown

string

Okänd

LogAnalyticsIdentifier

Representerar en Log Analytics-omfångsidentifierare för arbetsytan.

Name Typ Description
agentId

string

(valfritt) LogAnalytics-agent-ID:t rapporterar händelsen som den här aviseringen baseras på.
type string:

LogAnalytics

Det kan finnas flera identifierare av olika typ per avisering, det här fältet anger identifierartyp.
workspaceId

string

LogAnalytics-arbetsytans ID som lagrar den här aviseringen.
workspaceResourceGroup

string

Azure-resursgruppen för LogAnalytics-arbetsytan som lagrar den här aviseringen
workspaceSubscriptionId

string

Azure-prenumerations-ID för LogAnalytics-arbetsytan som lagrar den här aviseringen.

SupportingEvidence

Ändra uppsättning egenskaper beroende på typen supportingEvidence.

Name Typ Description
type

string

Typ av supportEvidence