共用方式為


Alerts - List By Resource Group

列出與資源群組相關聯的所有警示

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2022-01-01

URI 參數

名稱 位於 必要 類型 Description
resourceGroupName
path True

string

用戶訂用帳戶內的資源組名。 名稱不區分大小寫。

Regex 模式: ^[-\w\._\(\)]+$

subscriptionId
path True

string

Azure 訂用帳戶標識碼

Regex 模式: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

api-version
query True

string

作業的 API 版本

回應

名稱 類型 Description
200 OK

AlertList

還行

Other Status Codes

CloudError

描述作業失敗原因的錯誤回應。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

類型: oauth2
Flow: implicit
授權 URL: https://login.microsoftonline.com/common/oauth2/authorize

範圍

名稱 Description
user_impersonation 模擬您的用戶帳戶

範例

Get security alerts on a resource group

範例要求

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2022-01-01

範例回覆

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

定義

名稱 Description
Alert

安全性警示

AlertEntity

根據實體類型變更屬性集。

AlertList

安全性警示清單

alertSeverity

偵測到之威脅的風險層級。 深入瞭解:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified

alertStatus

警示的生命周期狀態。

AzureResourceIdentifier

Azure 資源標識碼。

CloudError

所有 Azure Resource Manager API 的常見錯誤回應,以傳回失敗作業的錯誤詳細數據。 (這也遵循 OData 錯誤回應格式。)。

CloudErrorBody

錯誤詳細數據。

ErrorAdditionalInfo

資源管理錯誤其他資訊。

intent

警示背後的終止鏈結相關意圖。 如需支援的值清單,以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。

LogAnalyticsIdentifier

表示 Log Analytics 工作區範圍標識碼。

SupportingEvidence

根據 supportingEvidence 類型變更屬性集。

Alert

安全性警示

名稱 類型 Description
id

string

資源標識碼

name

string

資源名稱

properties.alertDisplayName

string

警示的顯示名稱。

properties.alertType

string

偵測邏輯的唯一標識碼(來自相同偵測邏輯的所有警示實例都會有相同的 alertType)。

properties.alertUri

string

Azure 入口網站中警示頁面的直接連結。

properties.compromisedEntity

string

與此警示最相關的資源顯示名稱。

properties.correlationKey

string

核心化相關警示的關鍵。 具有相同相互關聯索引鍵的警示,視為相關。

properties.description

string

偵測到的可疑活動描述。

properties.endTimeUtc

string

警示中最後一個事件或活動的UTC時間,格式為 ISO8601。

properties.entities

AlertEntity[]

與警示相關的實體清單。

properties.extendedLinks

object[]

與警示相關的連結

properties.extendedProperties

object

警示的自定義屬性。

properties.intent

intent

警示背後的終止鏈結相關意圖。 如需支援的值清單,以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。

properties.isIncident

boolean

此欄位會判斷警示是事件或單一警示的複合群組。

properties.processingEndTimeUtc

string

以ISO8601格式處理警示的UTC處理結束時間。

properties.productComponentName

string

支援此警示的 Azure 資訊安全中心定價層名稱。 深入瞭解:https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing

properties.productName

string

發佈此警示的產品名稱(Microsoft Sentinel、Microsoft 適用於身分識別的 Defender、適用於端點的 Defender Microsoft Defender Microsoft、適用於 Office 的 Defender、適用於 Cloud Apps 的 Defender Microsoft Defender 等等)。

properties.remediationSteps

string[]

手動採取動作專案來補救警示。

properties.resourceIdentifiers ResourceIdentifier[]:

資源標識碼,可用來將警示導向正確的產品曝光群組(租使用者、工作區、訂用帳戶等)。 每個警示可以有多個不同類型的標識碼。

properties.severity

alertSeverity

偵測到之威脅的風險層級。 深入瞭解:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified

properties.startTimeUtc

string

警示中第一個事件或活動的 UTC 時間,格式為 ISO8601。

properties.status

alertStatus

警示的生命周期狀態。

properties.subTechniques

string[]

終止警示背後的鏈結相關子技術。

properties.supportingEvidence

SupportingEvidence

根據 supportingEvidence 類型變更屬性集。

properties.systemAlertId

string

警示的唯一標識碼。

properties.techniques

string[]

終止警示背後的鏈結相關技術。

properties.timeGeneratedUtc

string

以ISO8601格式產生警示的UTC時間。

properties.vendorName

string

引發警示的廠商名稱。

properties.version

string

架構版本。

type

string

資源類型

AlertEntity

根據實體類型變更屬性集。

名稱 類型 Description
type

string

實體的類型

AlertList

安全性警示清單

名稱 類型 Description
nextLink

string

要擷取下一頁的 URI。

value

Alert[]

描述安全性警示屬性。

alertSeverity

偵測到之威脅的風險層級。 深入瞭解:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified

名稱 類型 Description
High

string

Informational

string

資訊

Low

string

Medium

string

中等

alertStatus

警示的生命周期狀態。

名稱 類型 Description
Active

string

未指定值的警示會指派狀態為 'Active'

Dismissed

string

警示關閉為誤判

InProgress

string

處於處理狀態的警示

Resolved

string

處理后關閉警示

AzureResourceIdentifier

Azure 資源標識碼。

名稱 類型 Description
azureResourceId

string

要警示之雲端資源的 ARM 資源識別碼

type string:

AzureResource

每個警示可以有多個不同類型的標識碼,此欄位會指定識別碼類型。

CloudError

所有 Azure Resource Manager API 的常見錯誤回應,以傳回失敗作業的錯誤詳細數據。 (這也遵循 OData 錯誤回應格式。)。

名稱 類型 Description
error.additionalInfo

ErrorAdditionalInfo[]

錯誤其他資訊。

error.code

string

錯誤碼。

error.details

CloudErrorBody[]

錯誤詳細數據。

error.message

string

錯誤訊息。

error.target

string

錯誤目標。

CloudErrorBody

錯誤詳細數據。

名稱 類型 Description
additionalInfo

ErrorAdditionalInfo[]

錯誤其他資訊。

code

string

錯誤碼。

details

CloudErrorBody[]

錯誤詳細數據。

message

string

錯誤訊息。

target

string

錯誤目標。

ErrorAdditionalInfo

資源管理錯誤其他資訊。

名稱 類型 Description
info

object

其他資訊。

type

string

其他信息類型。

intent

警示背後的終止鏈結相關意圖。 如需支援的值清單,以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。

名稱 類型 Description
Collection

string

集合包含用來識別和收集信息的技術,例如敏感性檔案,在外泄之前從目標網路收集。

CommandAndControl

string

命令和控制策略代表敵人如何與目標網路內系統進行通訊。

CredentialAccess

string

認證存取代表導致存取或控制企業環境中所使用的系統、網域或服務認證的技術。

DefenseEvasion

string

防禦逃避是由敵人可用來逃避偵測或避免其他防禦的技術所組成。

Discovery

string

探索是由可讓敵人取得系統和內部網路知識的技術所組成。

Execution

string

執行策略代表導致在本機或遠端系統上執行敵人控制程式代碼的技術。

Exfiltration

string

外泄是指導致或協助敵人從目標網路移除檔案和信息的技術與屬性。

Exploitation

string

惡意探索是攻擊者設法在受攻擊資源上站穩腳跟的階段。 此階段與計算主機和資源相關,例如用戶帳戶、憑證等。

Impact

string

影響事件主要嘗試直接減少系統、服務或網路的可用性或完整性;包括操作數據以影響商務或作業程式。

InitialAccess

string

InitialAccess 是攻擊者設法在受攻擊資源上站穩腳跟的階段。

LateralMovement

string

橫向移動是由技術所組成,可讓敵人存取和控制網路上的遠端系統,而且不一定包括遠端系統上的工具執行。

Persistence

string

持續性是系統的任何存取、動作或組態變更,可讓威脅執行者在該系統上持續存在。

PreAttack

string

PreAttack 可能是嘗試存取特定資源,不論惡意意圖為何,或嘗試取得目標系統的存取權,以在惡意探索之前收集資訊。 這個步驟通常會偵測為嘗試,源自網路外部,以掃描目標系統並尋找方法。 如需 PreAttack 階段的進一步詳細數據,請參閱 MITRE Pre-Att&ck 矩陣

PrivilegeEscalation

string

許可權提升是動作的結果,可讓對手取得系統或網路上較高層級的許可權。

Probing

string

探查可能是嘗試存取特定資源,而不論惡意意圖為何,或嘗試取得目標系統的存取權,以在惡意探索之前收集資訊。

Unknown

string

未知

LogAnalyticsIdentifier

表示 Log Analytics 工作區範圍標識碼。

名稱 類型 Description
agentId

string

(選擇性)LogAnalytics 代理程式標識碼會報告此警示所依據的事件。

type string:

LogAnalytics

每個警示可以有多個不同類型的標識碼,此欄位會指定識別碼類型。

workspaceId

string

儲存此警示的LogAnalytics工作區標識碼。

workspaceResourceGroup

string

儲存此警示之 LogAnalytics 工作區的 Azure 資源群組

workspaceSubscriptionId

string

儲存此警示之 LogAnalytics 工作區的 Azure 訂用帳戶標識碼。

SupportingEvidence

根據 supportingEvidence 類型變更屬性集。

名稱 類型 Description
type

string

supportingEvidence 的類型