你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Alerts - List By Resource Group
列出与资源组关联的所有警报
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2022-01-01URI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
resource
|
path | True |
string |
用户订阅中的资源组的名称。 名称不区分大小写。 正则表达式模式: |
|
subscription
|
path | True |
string |
Azure 订阅 ID 正则表达式模式: |
|
api-version
|
query | True |
string |
操作的 API 版本 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 200 OK |
还行 |
|
| Other Status Codes |
描述操作失败的原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 Flow
类型:
oauth2
流向:
implicit
授权 URL:
https://login.microsoftonline.com/common/oauth2/authorize
作用域
| 名称 | 说明 |
|---|---|
| user_impersonation | 模拟用户帐户 |
示例
Get security alerts on a resource group
示例请求
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2022-01-01
示例响应
{
"value": [
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_EICAR",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"severity": "High",
"intent": "Execution",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"No further action is needed."
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"entities": [
{
"address": "192.0.2.1",
"location": {
"countryCode": "gb",
"state": "wokingham",
"city": "sonning",
"longitude": -0.909,
"latitude": 51.468,
"asn": 6584
},
"type": "ip"
}
],
"isIncident": true,
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"extendedProperties": {
"Property1": "Property1 information"
},
"compromisedEntity": "vm1",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"supportingEvidenceList": [
{
"evidenceElements": [
{
"text": {
"arguments": {
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
},
"domainName": {
"type": "string",
"value": "domainName"
}
},
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
"fallback": "Actor enumerated UseDesKey on domain1.test.local"
},
"type": "evidenceElement",
"innerElements": null
}
],
"type": "nestedList"
},
{
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
],
"type": "supportingEvidenceList"
}
}
}
]
}定义
| 名称 | 说明 |
|---|---|
| Alert |
安全警报 |
|
Alert |
根据实体类型更改属性集。 |
|
Alert |
安全警报列表 |
|
alert |
检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。 |
|
alert |
警报的生命周期状态。 |
|
Azure |
Azure 资源标识符。 |
|
Cloud |
所有 Azure 资源管理器 API 的常见错误响应,以返回失败操作的错误详细信息。 (这也遵循 OData 错误响应格式)。 |
|
Cloud |
错误详细信息。 |
|
Error |
资源管理错误附加信息。 |
| intent |
警报背后的终止链相关意向。 有关受支持值的列表,以及 Azure 安全中心支持的终止链意向的说明。 |
|
Log |
表示 Log Analytics 工作区范围标识符。 |
|
Supporting |
根据支持的Evidence 类型更改属性集。 |
Alert
安全警报
| 名称 | 类型 | 说明 |
|---|---|---|
| id |
string |
资源 ID |
| name |
string |
资源名称 |
| properties.alertDisplayName |
string |
警报的显示名称。 |
| properties.alertType |
string |
检测逻辑的唯一标识符(来自同一检测逻辑的所有警报实例将具有相同的 alertType)。 |
| properties.alertUri |
string |
指向 Azure 门户中警报页的直接链接。 |
| properties.compromisedEntity |
string |
与此警报最相关的资源的显示名称。 |
| properties.correlationKey |
string |
核心化相关警报的关键。 具有相同关联键的警报被视为相关。 |
| properties.description |
string |
检测到的可疑活动的说明。 |
| properties.endTimeUtc |
string |
警报中包含的最后一个事件或活动的 UTC 时间,格式为 ISO8601。 |
| properties.entities |
与警报相关的实体列表。 |
|
| properties.extendedLinks |
object[] |
与警报相关的链接 |
| properties.extendedProperties |
object |
警报的自定义属性。 |
| properties.intent |
警报背后的终止链相关意向。 有关受支持值的列表,以及 Azure 安全中心支持的终止链意向的说明。 |
|
| properties.isIncident |
boolean |
此字段确定警报是事件(多个警报的复合分组)还是单个警报。 |
| properties.processingEndTimeUtc |
string |
警报的 UTC 处理结束时间ISO8601格式。 |
| properties.productComponentName |
string |
支持此警报的 Azure 安全中心定价层的名称。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
| properties.productName |
string |
发布此警报的产品的名称(Microsoft Sentinel、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office、Microsoft Defender for Cloud Apps 等)。 |
| properties.remediationSteps |
string[] |
手动执行操作项来修正警报。 |
| properties.resourceIdentifiers | ResourceIdentifier[]: |
可用于将警报定向到正确的产品公开组(租户、工作区、订阅等)的资源标识符。 每个警报可以有多个不同类型的标识符。 |
| properties.severity |
检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。 |
|
| properties.startTimeUtc |
string |
警报中包含的第一个事件或活动的 UTC 时间ISO8601格式。 |
| properties.status |
警报的生命周期状态。 |
|
| properties.subTechniques |
string[] |
终止警报背后的链相关子技术。 |
| properties.supportingEvidence |
根据支持的Evidence 类型更改属性集。 |
|
| properties.systemAlertId |
string |
警报的唯一标识符。 |
| properties.techniques |
string[] |
终止警报背后的链相关技术。 |
| properties.timeGeneratedUtc |
string |
以ISO8601格式生成警报的 UTC 时间。 |
| properties.vendorName |
string |
引发警报的供应商的名称。 |
| properties.version |
string |
架构版本。 |
| type |
string |
资源类型 |
AlertEntity
根据实体类型更改属性集。
| 名称 | 类型 | 说明 |
|---|---|---|
| type |
string |
实体类型 |
AlertList
安全警报列表
| 名称 | 类型 | 说明 |
|---|---|---|
| nextLink |
string |
要提取下一页的 URI。 |
| value |
Alert[] |
描述安全警报属性。 |
alertSeverity
检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。
| 名称 | 类型 | 说明 |
|---|---|---|
| High |
string |
高 |
| Informational |
string |
信息 |
| Low |
string |
低 |
| Medium |
string |
中等 |
alertStatus
警报的生命周期状态。
| 名称 | 类型 | 说明 |
|---|---|---|
| Active |
string |
未指定值的警报分配状态为“活动” |
| Dismissed |
string |
警报已消除为误报 |
| InProgress |
string |
处于处理状态的警报 |
| Resolved |
string |
处理后关闭警报 |
AzureResourceIdentifier
Azure 资源标识符。
| 名称 | 类型 | 说明 |
|---|---|---|
| azureResourceId |
string |
要对其发出警报的云资源的 ARM 资源标识符 |
| type |
string:
Azure |
每个警报可以有多个不同类型的标识符,此字段指定标识符类型。 |
CloudError
所有 Azure 资源管理器 API 的常见错误响应,以返回失败操作的错误详细信息。 (这也遵循 OData 错误响应格式)。
| 名称 | 类型 | 说明 |
|---|---|---|
| error.additionalInfo |
错误附加信息。 |
|
| error.code |
string |
错误代码。 |
| error.details |
错误详细信息。 |
|
| error.message |
string |
错误消息。 |
| error.target |
string |
错误目标。 |
CloudErrorBody
错误详细信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| additionalInfo |
错误附加信息。 |
|
| code |
string |
错误代码。 |
| details |
错误详细信息。 |
|
| message |
string |
错误消息。 |
| target |
string |
错误目标。 |
ErrorAdditionalInfo
资源管理错误附加信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| info |
object |
其他信息。 |
| type |
string |
其他信息类型。 |
intent
警报背后的终止链相关意向。 有关受支持值的列表,以及 Azure 安全中心支持的终止链意向的说明。
| 名称 | 类型 | 说明 |
|---|---|---|
| Collection |
string |
集合包含用于在外泄之前从目标网络识别和收集信息(如敏感文件)的技术。 |
| CommandAndControl |
string |
命令和控制策略表示攻击者如何在目标网络中与其控制下的系统通信。 |
| CredentialAccess |
string |
凭据访问表示导致对企业环境中使用的系统、域或服务凭据的访问或控制的技术。 |
| DefenseEvasion |
string |
防御逃避包括攻击者可用于逃避检测或避免其他防御的技术。 |
| Discovery |
string |
发现包含一些技术,使攻击者能够了解系统和内部网络。 |
| Execution |
string |
执行策略表示导致在本地或远程系统上执行对手控制的代码的技术。 |
| Exfiltration |
string |
外泄是指导致攻击者从目标网络中删除文件和信息的技术和属性。 |
| Exploitation |
string |
利用是攻击者设法获取受攻击资源的立足点的阶段。 此阶段与计算主机和资源(如用户帐户、证书等)相关。 |
| Impact |
string |
影响事件主要尝试直接减少系统、服务或网络的可用性或完整性;包括数据操作以影响业务或运营过程。 |
| InitialAccess |
string |
InitialAccess 是攻击者设法站稳脚跟攻击资源的阶段。 |
| LateralMovement |
string |
横向移动包括使对手能够在网络上访问和控制远程系统的技术,但不一定包括远程系统上的工具的执行。 |
| Persistence |
string |
持久性是对系统的任何访问、操作或配置更改,使威胁参与者在该系统上持久存在。 |
| PreAttack |
string |
PreAttack 可能是尝试访问特定资源,而不管恶意意图如何,或者尝试访问目标系统以在利用之前收集信息失败。 此步骤通常被检测为尝试(源自网络外部)扫描目标系统并找到一种方法。 MITRE Pre-Att&ck 矩阵中可以阅读有关 PreAttack 阶段的更多详细信息。 |
| PrivilegeEscalation |
string |
权限提升是允许攻击者获取系统或网络上更高权限的操作的结果。 |
| Probing |
string |
无论恶意意图如何,探测都可以尝试访问特定资源,或者尝试在利用之前获取对目标系统的访问权限失败,以收集信息。 |
| Unknown |
string |
未知 |
LogAnalyticsIdentifier
表示 Log Analytics 工作区范围标识符。
| 名称 | 类型 | 说明 |
|---|---|---|
| agentId |
string |
(可选)LogAnalytics 代理 ID 报告此警报所基于的事件。 |
| type |
string:
Log |
每个警报可以有多个不同类型的标识符,此字段指定标识符类型。 |
| workspaceId |
string |
存储此警报的 LogAnalytics 工作区 ID。 |
| workspaceResourceGroup |
string |
用于存储此警报的 LogAnalytics 工作区的 Azure 资源组 |
| workspaceSubscriptionId |
string |
存储此警报的 LogAnalytics 工作区的 Azure 订阅 ID。 |
SupportingEvidence
根据支持的Evidence 类型更改属性集。
| 名称 | 类型 | 说明 |
|---|---|---|
| type |
string |
supportingEvidence 的类型 |