Alerts - List Resource Group Level By Region

服務:

Defender for Cloud

API 版本:

2022-01-01

列出與儲存在特定位置之資源群組相關聯的所有警示

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts?api-version=2022-01-01

URI 參數

名稱	位於	必要	類型	Description
ascLocation	path	True	string	ASC 儲存訂閱數據的位置。 可以從取得位置擷取
resourceGroupName	path	True	string	用戶訂用帳戶內的資源組名。 名稱不區分大小寫。 Regex 模式: ^[-\w\._\(\)]+$
subscriptionId	path	True	string	Azure 訂用帳戶標識碼 Regex 模式: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	作業的 API 版本

回應

名稱	類型	Description
200 OK	AlertList	還行
Other Status Codes	CloudError	描述作業失敗原因的錯誤回應。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

類型: oauth2
Flow: implicit
授權 URL: https://login.microsoftonline.com/common/oauth2/authorize

範圍

名稱	Description
user_impersonation	模擬您的用戶帳戶

範例

Get security alerts on a resource group from a security data location

範例要求

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts?api-version=2022-01-01

Java

/**
 * Samples for Alerts ListResourceGroupLevelByRegion.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertsResourceGroupLocation_example.json
     */
    /**
     * Sample code: Get security alerts on a resource group from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertsOnAResourceGroupFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().listResourceGroupLevelByRegion("westeurope", "myRg1", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroupLocation_example.json
func ExampleAlertsClient_NewListResourceGroupLevelByRegionPager() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	pager := clientFactory.NewAlertsClient().NewListResourceGroupLevelByRegionPager("westeurope", "myRg1", nil)
	for pager.More() {
		page, err := pager.NextPage(ctx)
		if err != nil {
			log.Fatalf("failed to advance page: %v", err)
		}
		for _, v := range page.Value {
			// You could use page here. We use blank identifier for just demo purposes.
			_ = v
		}
		// If the HTTP response code is 200 as defined in example definition, your page structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
		// page.AlertList = armsecurity.AlertList{
		// 	Value: []*armsecurity.Alert{
		// 		{
		// 			Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 			Type: to.Ptr("Microsoft.Security/Locations/alerts"),
		// 			ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
		// 			Properties: &armsecurity.AlertProperties{
		// 				Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
		// 				AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
		// 				AlertType: to.Ptr("VM_EICAR"),
		// 				AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
		// 				CompromisedEntity: to.Ptr("vm1"),
		// 				CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
		// 				EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 				Entities: []*armsecurity.AlertEntity{
		// 					{
		// 						AdditionalProperties: map[string]any{
		// 							"address": "192.0.2.1",
		// 							"location": map[string]any{
		// 								"asn": float64(6584),
		// 								"city": "sonning",
		// 								"countryCode": "gb",
		// 								"latitude": float64(51.468),
		// 								"longitude": float64(-0.909),
		// 								"state": "wokingham",
		// 							},
		// 						},
		// 						Type: to.Ptr("ip"),
		// 				}},
		// 				ExtendedLinks: []map[string]*string{
		// 					map[string]*string{
		// 						"Category": to.Ptr("threat_reports"),
		// 						"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
		// 						"Label": to.Ptr("Report: RDP Brute Forcing"),
		// 						"Type": to.Ptr("webLink"),
		// 				}},
		// 				ExtendedProperties: map[string]*string{
		// 					"Property1": to.Ptr("Property1 information"),
		// 				},
		// 				Intent: to.Ptr(armsecurity.IntentExecution),
		// 				IsIncident: to.Ptr(true),
		// 				ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
		// 				ProductComponentName: to.Ptr("testName"),
		// 				ProductName: to.Ptr("Azure Security Center"),
		// 				RemediationSteps: []*string{
		// 					to.Ptr("No further action is needed.")},
		// 					ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
		// 						&armsecurity.AzureResourceIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
		// 							AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
		// 						},
		// 						&armsecurity.LogAnalyticsIdentifier{
		// 							Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
		// 							AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
		// 							WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
		// 							WorkspaceResourceGroup: to.Ptr("myRg1"),
		// 							WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
		// 					}},
		// 					Severity: to.Ptr(armsecurity.AlertSeverityHigh),
		// 					StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
		// 					Status: to.Ptr(armsecurity.AlertStatusActive),
		// 					SubTechniques: []*string{
		// 						to.Ptr("T1059.001"),
		// 						to.Ptr("T1059.006"),
		// 						to.Ptr("T1053.002")},
		// 						SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
		// 							AdditionalProperties: map[string]any{
		// 								"supportingEvidenceList": []any{
		// 									map[string]any{
		// 										"type": "nestedList",
		// 										"evidenceElements":[]any{
		// 											map[string]any{
		// 												"type": "evidenceElement",
		// 												"innerElements": nil,
		// 												"text":map[string]any{
		// 													"arguments":map[string]any{
		// 														"domainName":map[string]any{
		// 															"type": "string",
		// 															"value": "domainName",
		// 														},
		// 														"sensitiveEnumerationTypes":map[string]any{
		// 															"type": "string[]",
		// 															"value":[]any{
		// 																"UseDesKey",
		// 															},
		// 														},
		// 													},
		// 													"fallback": "Actor enumerated UseDesKey on domain1.test.local",
		// 													"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
		// 												},
		// 											},
		// 										},
		// 									},
		// 									map[string]any{
		// 										"type": "tabularEvidences",
		// 										"columns":[]any{
		// 											"Date",
		// 											"Activity",
		// 											"User",
		// 											"TestedText",
		// 											"TestedValue",
		// 										},
		// 										"rows":[]any{
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser2",
		// 												"false",
		// 												false,
		// 											},
		// 											[]any{
		// 												"2022-01-17T07:03:52.034Z",
		// 												"Log on",
		// 												"testUser3",
		// 												"true",
		// 												true,
		// 											},
		// 										},
		// 										"title": "Investigate activity test",
		// 									},
		// 								},
		// 							},
		// 							Type: to.Ptr("supportingEvidenceList"),
		// 						},
		// 						SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
		// 						Techniques: []*string{
		// 							to.Ptr("T1059"),
		// 							to.Ptr("T1053"),
		// 							to.Ptr("T1072")},
		// 							TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
		// 							VendorName: to.Ptr("Microsoft"),
		// 							Version: to.Ptr("2022-01-01"),
		// 						},
		// 				}},
		// 			}
	}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to List all the alerts that are associated with the resource group that are stored in a specific location
 *
 * @summary List all the alerts that are associated with the resource group that are stored in a specific location
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroupLocation_example.json
 */
async function getSecurityAlertsOnAResourceGroupFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const ascLocation = "westeurope";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const resArray = new Array();
  for await (let item of client.alerts.listResourceGroupLevelByRegion(
    ascLocation,
    resourceGroupName,
  )) {
    resArray.push(item);
  }
  console.log(resArray);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Resources;
using Azure.ResourceManager.SecurityCenter;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertsResourceGroupLocation_example.json
// this example is just showing the usage of "Alerts_ListResourceGroupLevelByRegion" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupResource created on azure
// for more information of creating ResourceGroupResource, please refer to the document of ResourceGroupResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = client.GetResourceGroupResource(resourceGroupResourceId);

// get the collection of this ResourceGroupSecurityAlertResource
AzureLocation ascLocation = new AzureLocation("westeurope");
ResourceGroupSecurityAlertCollection collection = resourceGroupResource.GetResourceGroupSecurityAlerts(ascLocation);

// invoke the operation and iterate over the result
await foreach (ResourceGroupSecurityAlertResource item in collection.GetAllAsync())
{
    // the variable item is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityAlertData resourceData = item.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

Console.WriteLine($"Succeeded");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

範例回覆

狀態碼:

200

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

定義

名稱	Description
Alert	安全性警示
AlertEntity	根據實體類型變更屬性集。
AlertList	安全性警示清單
alertSeverity	偵測到之威脅的風險層級。 深入瞭解：https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。
alertStatus	警示的生命周期狀態。
AzureResourceIdentifier	Azure 資源標識碼。
CloudError	所有 Azure Resource Manager API 的常見錯誤回應，以傳回失敗作業的錯誤詳細數據。 （這也遵循 OData 錯誤回應格式。）。
CloudErrorBody	錯誤詳細數據。
ErrorAdditionalInfo	資源管理錯誤其他資訊。
intent	警示背後的終止鏈結相關意圖。 如需支援的值清單，以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。
LogAnalyticsIdentifier	表示 Log Analytics 工作區範圍標識碼。
SupportingEvidence	根據 supportingEvidence 類型變更屬性集。

Alert

安全性警示

名稱	類型	Description
id	string	資源標識碼
name	string	資源名稱
properties.alertDisplayName	string	警示的顯示名稱。
properties.alertType	string	偵測邏輯的唯一標識碼（來自相同偵測邏輯的所有警示實例都會有相同的 alertType）。
properties.alertUri	string	Azure 入口網站中警示頁面的直接連結。
properties.compromisedEntity	string	與此警示最相關的資源顯示名稱。
properties.correlationKey	string	核心化相關警示的關鍵。 具有相同相互關聯索引鍵的警示，視為相關。
properties.description	string	偵測到的可疑活動描述。
properties.endTimeUtc	string	警示中最後一個事件或活動的UTC時間，格式為 ISO8601。
properties.entities	AlertEntity[]	與警示相關的實體清單。
properties.extendedLinks	object[]	與警示相關的連結
properties.extendedProperties	object	警示的自定義屬性。
properties.intent	intent	警示背後的終止鏈結相關意圖。 如需支援的值清單，以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。
properties.isIncident	boolean	此欄位會判斷警示是事件或單一警示的複合群組。
properties.processingEndTimeUtc	string	以ISO8601格式處理警示的UTC處理結束時間。
properties.productComponentName	string	支援此警示的 Azure 資訊安全中心定價層名稱。 深入瞭解：https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	發佈此警示的產品名稱（Microsoft Sentinel、Microsoft 適用於身分識別的 Defender、適用於端點的 Defender Microsoft Defender Microsoft、適用於 Office 的 Defender、適用於 Cloud Apps 的 Defender Microsoft Defender 等等）。
properties.remediationSteps	string[]	手動採取動作專案來補救警示。
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	資源標識碼，可用來將警示導向正確的產品曝光群組（租使用者、工作區、訂用帳戶等）。 每個警示可以有多個不同類型的標識碼。
properties.severity	alertSeverity	偵測到之威脅的風險層級。 深入瞭解：https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。
properties.startTimeUtc	string	警示中第一個事件或活動的 UTC 時間，格式為 ISO8601。
properties.status	alertStatus	警示的生命周期狀態。
properties.subTechniques	string[]	終止警示背後的鏈結相關子技術。
properties.supportingEvidence	SupportingEvidence	根據 supportingEvidence 類型變更屬性集。
properties.systemAlertId	string	警示的唯一標識碼。
properties.techniques	string[]	終止警示背後的鏈結相關技術。
properties.timeGeneratedUtc	string	以ISO8601格式產生警示的UTC時間。
properties.vendorName	string	引發警示的廠商名稱。
properties.version	string	架構版本。
type	string	資源類型

AlertEntity

根據實體類型變更屬性集。

名稱	類型	Description
type	string	實體的類型

AlertList

安全性警示清單

名稱	類型	Description
nextLink	string	要擷取下一頁的 URI。
value	Alert[]	描述安全性警示屬性。

alertSeverity

偵測到之威脅的風險層級。 深入瞭解：https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。

名稱	類型	Description
High	string	高
Informational	string	資訊
Low	string	低
Medium	string	中等

alertStatus

警示的生命周期狀態。

名稱	類型	Description
Active	string	未指定值的警示會指派狀態為 'Active'
Dismissed	string	警示關閉為誤判
InProgress	string	處於處理狀態的警示
Resolved	string	處理后關閉警示

AzureResourceIdentifier

Azure 資源標識碼。

名稱	類型	Description
azureResourceId	string	要警示之雲端資源的 ARM 資源識別碼
type	string: AzureResource	每個警示可以有多個不同類型的標識碼，此欄位會指定識別碼類型。

CloudError

所有 Azure Resource Manager API 的常見錯誤回應，以傳回失敗作業的錯誤詳細數據。 （這也遵循 OData 錯誤回應格式。）。

名稱	類型	Description
error.additionalInfo	ErrorAdditionalInfo[]	錯誤其他資訊。
error.code	string	錯誤碼。
error.details	CloudErrorBody[]	錯誤詳細數據。
error.message	string	錯誤訊息。
error.target	string	錯誤目標。

CloudErrorBody

錯誤詳細數據。

名稱	類型	Description
additionalInfo	ErrorAdditionalInfo[]	錯誤其他資訊。
code	string	錯誤碼。
details	CloudErrorBody[]	錯誤詳細數據。
message	string	錯誤訊息。
target	string	錯誤目標。

ErrorAdditionalInfo

資源管理錯誤其他資訊。

名稱	類型	Description
info	object	其他資訊。
type	string	其他信息類型。

intent

警示背後的終止鏈結相關意圖。 如需支援的值清單，以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。

名稱	類型	Description
Collection	string	集合包含用來識別和收集信息的技術，例如敏感性檔案，在外泄之前從目標網路收集。
CommandAndControl	string	命令和控制策略代表敵人如何與目標網路內系統進行通訊。
CredentialAccess	string	認證存取代表導致存取或控制企業環境中所使用的系統、網域或服務認證的技術。
DefenseEvasion	string	防禦逃避是由敵人可用來逃避偵測或避免其他防禦的技術所組成。
Discovery	string	探索是由可讓敵人取得系統和內部網路知識的技術所組成。
Execution	string	執行策略代表導致在本機或遠端系統上執行敵人控制程式代碼的技術。
Exfiltration	string	外泄是指導致或協助敵人從目標網路移除檔案和信息的技術與屬性。
Exploitation	string	惡意探索是攻擊者設法在受攻擊資源上站穩腳跟的階段。 此階段與計算主機和資源相關，例如用戶帳戶、憑證等。
Impact	string	影響事件主要嘗試直接減少系統、服務或網路的可用性或完整性;包括操作數據以影響商務或作業程式。
InitialAccess	string	InitialAccess 是攻擊者設法在受攻擊資源上站穩腳跟的階段。
LateralMovement	string	橫向移動是由技術所組成，可讓敵人存取和控制網路上的遠端系統，而且不一定包括遠端系統上的工具執行。
Persistence	string	持續性是系統的任何存取、動作或組態變更，可讓威脅執行者在該系統上持續存在。
PreAttack	string	PreAttack 可能是嘗試存取特定資源，不論惡意意圖為何，或嘗試取得目標系統的存取權，以在惡意探索之前收集資訊。 這個步驟通常會偵測為嘗試，源自網路外部，以掃描目標系統並尋找方法。 如需 PreAttack 階段的進一步詳細數據，請參閱 MITRE Pre-Att&ck 矩陣。
PrivilegeEscalation	string	許可權提升是動作的結果，可讓對手取得系統或網路上較高層級的許可權。
Probing	string	探查可能是嘗試存取特定資源，而不論惡意意圖為何，或嘗試取得目標系統的存取權，以在惡意探索之前收集資訊。
Unknown	string	未知

LogAnalyticsIdentifier

表示 Log Analytics 工作區範圍標識碼。

名稱	類型	Description
agentId	string	（選擇性）LogAnalytics 代理程式標識碼會報告此警示所依據的事件。
type	string: LogAnalytics	每個警示可以有多個不同類型的標識碼，此欄位會指定識別碼類型。
workspaceId	string	儲存此警示的LogAnalytics工作區標識碼。
workspaceResourceGroup	string	儲存此警示之 LogAnalytics 工作區的 Azure 資源群組
workspaceSubscriptionId	string	儲存此警示之 LogAnalytics 工作區的 Azure 訂用帳戶標識碼。

SupportingEvidence

根據 supportingEvidence 類型變更屬性集。

名稱	類型	Description
type	string	supportingEvidence 的類型