Alerts - List
列出與訂用帳戶相關聯的所有警示
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/alerts?api-version=2022-01-01
URI 參數
名稱 | 位於 | 必要 | 類型 | Description |
---|---|---|---|---|
subscription
|
path | True |
string |
Azure 訂用帳戶標識碼 Regex 模式: |
api-version
|
query | True |
string |
作業的 API 版本 |
回應
名稱 | 類型 | Description |
---|---|---|
200 OK |
還行 |
|
Other Status Codes |
描述作業失敗原因的錯誤回應。 |
安全性
azure_auth
Azure Active Directory OAuth2 Flow
類型:
oauth2
Flow:
implicit
授權 URL:
https://login.microsoftonline.com/common/oauth2/authorize
範圍
名稱 | Description |
---|---|
user_impersonation | 模擬您的用戶帳戶 |
範例
Get security alerts on a subscription
範例要求
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/alerts?api-version=2022-01-01
範例回覆
{
"value": [
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_EICAR",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"severity": "High",
"intent": "Execution",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"No further action is needed."
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"entities": [
{
"address": "192.0.2.1",
"location": {
"countryCode": "gb",
"state": "wokingham",
"city": "sonning",
"longitude": -0.909,
"latitude": 51.468,
"asn": 6584
},
"type": "ip"
}
],
"isIncident": true,
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"extendedProperties": {
"Property1": "Property1 information"
},
"compromisedEntity": "vm1",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
}
},
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_SuspiciousScreenSaver",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName2",
"alertDisplayName": "Suspicious Screensaver process executed",
"description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
"severity": "Medium",
"intent": "Execution",
"startTimeUtc": "2019-05-07T13:51:45.0045913Z",
"endTimeUtc": "2019-05-07T13:51:45.0045913Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
"2. Make sure the machine is completely updated and has an updated anti-malware application installed",
"3. Run a full anti-malware scan and verify that the threat was removed",
"4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
"5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
"6. Escalate the alert to the information security team"
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
"entities": [
{
"dnsDomain": "",
"ntDomain": "",
"hostName": "vm2",
"netBiosName": "vm2",
"azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
"omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
"operatingSystem": "Unknown",
"type": "host",
"OsVersion": null
},
{
"name": "contosoUser",
"ntDomain": "vm2",
"logonId": "0x61450d87",
"sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
"type": "account"
},
{
"directory": "c:\\windows\\system32",
"name": "cmd.exe",
"type": "file"
},
{
"processId": "0x3c44",
"type": "process"
},
{
"directory": "c:\\users\\contosoUser",
"name": "scrsave.scr",
"type": "file"
},
{
"processId": "0x4aec",
"commandLine": "c:\\users\\contosoUser\\scrsave.scr",
"creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
"type": "process"
}
],
"isIncident": true,
"correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
"compromisedEntity": "vm2",
"extendedProperties": {
"domain name": "vm2",
"user name": "vm2\\contosoUser",
"process name": "c:\\users\\contosoUser\\scrsave.scr",
"command line": "c:\\users\\contosoUser\\scrsave.scr",
"parent process": "cmd.exe",
"process id": "0x4aec",
"account logon id": "0x61450d87",
"user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
"parent process id": "0x3c44",
"resourceType": "Virtual Machine"
},
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"supportingEvidenceList": [
{
"evidenceElements": [
{
"text": {
"arguments": {
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
},
"domainName": {
"type": "string",
"value": "domainName"
}
},
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
"fallback": "Actor enumerated UseDesKey on domain1.test.local"
},
"type": "evidenceElement",
"innerElements": null
}
],
"type": "nestedList"
},
{
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
],
"type": "supportingEvidenceList"
}
}
}
]
}
定義
名稱 | Description |
---|---|
Alert |
安全性警示 |
Alert |
根據實體類型變更屬性集。 |
Alert |
安全性警示清單 |
alert |
偵測到之威脅的風險層級。 深入瞭解:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。 |
alert |
警示的生命周期狀態。 |
Azure |
Azure 資源標識碼。 |
Cloud |
所有 Azure Resource Manager API 的常見錯誤回應,以傳回失敗作業的錯誤詳細數據。 (這也遵循 OData 錯誤回應格式。)。 |
Cloud |
錯誤詳細數據。 |
Error |
資源管理錯誤其他資訊。 |
intent |
警示背後的終止鏈結相關意圖。 如需支援的值清單,以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。 |
Log |
表示 Log Analytics 工作區範圍標識碼。 |
Supporting |
根據 supportingEvidence 類型變更屬性集。 |
Alert
安全性警示
名稱 | 類型 | Description |
---|---|---|
id |
string |
資源標識碼 |
name |
string |
資源名稱 |
properties.alertDisplayName |
string |
警示的顯示名稱。 |
properties.alertType |
string |
偵測邏輯的唯一標識碼(來自相同偵測邏輯的所有警示實例都會有相同的 alertType)。 |
properties.alertUri |
string |
Azure 入口網站中警示頁面的直接連結。 |
properties.compromisedEntity |
string |
與此警示最相關的資源顯示名稱。 |
properties.correlationKey |
string |
核心化相關警示的關鍵。 具有相同相互關聯索引鍵的警示,視為相關。 |
properties.description |
string |
偵測到的可疑活動描述。 |
properties.endTimeUtc |
string |
警示中最後一個事件或活動的UTC時間,格式為 ISO8601。 |
properties.entities |
與警示相關的實體清單。 |
|
properties.extendedLinks |
object[] |
與警示相關的連結 |
properties.extendedProperties |
object |
警示的自定義屬性。 |
properties.intent |
警示背後的終止鏈結相關意圖。 如需支援的值清單,以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。 |
|
properties.isIncident |
boolean |
此欄位會判斷警示是事件或單一警示的複合群組。 |
properties.processingEndTimeUtc |
string |
以ISO8601格式處理警示的UTC處理結束時間。 |
properties.productComponentName |
string |
支援此警示的 Azure 資訊安全中心定價層名稱。 深入瞭解:https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
properties.productName |
string |
發佈此警示的產品名稱(Microsoft Sentinel、Microsoft 適用於身分識別的 Defender、適用於端點的 Defender Microsoft Defender Microsoft、適用於 Office 的 Defender、適用於 Cloud Apps 的 Defender Microsoft Defender 等等)。 |
properties.remediationSteps |
string[] |
手動採取動作專案來補救警示。 |
properties.resourceIdentifiers | ResourceIdentifier[]: |
資源標識碼,可用來將警示導向正確的產品曝光群組(租使用者、工作區、訂用帳戶等)。 每個警示可以有多個不同類型的標識碼。 |
properties.severity |
偵測到之威脅的風險層級。 深入瞭解:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。 |
|
properties.startTimeUtc |
string |
警示中第一個事件或活動的 UTC 時間,格式為 ISO8601。 |
properties.status |
警示的生命周期狀態。 |
|
properties.subTechniques |
string[] |
終止警示背後的鏈結相關子技術。 |
properties.supportingEvidence |
根據 supportingEvidence 類型變更屬性集。 |
|
properties.systemAlertId |
string |
警示的唯一標識碼。 |
properties.techniques |
string[] |
終止警示背後的鏈結相關技術。 |
properties.timeGeneratedUtc |
string |
以ISO8601格式產生警示的UTC時間。 |
properties.vendorName |
string |
引發警示的廠商名稱。 |
properties.version |
string |
架構版本。 |
type |
string |
資源類型 |
AlertEntity
根據實體類型變更屬性集。
名稱 | 類型 | Description |
---|---|---|
type |
string |
實體的類型 |
AlertList
安全性警示清單
名稱 | 類型 | Description |
---|---|---|
nextLink |
string |
要擷取下一頁的 URI。 |
value |
Alert[] |
描述安全性警示屬性。 |
alertSeverity
偵測到之威脅的風險層級。 深入瞭解:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。
名稱 | 類型 | Description |
---|---|---|
High |
string |
高 |
Informational |
string |
資訊 |
Low |
string |
低 |
Medium |
string |
中等 |
alertStatus
警示的生命周期狀態。
名稱 | 類型 | Description |
---|---|---|
Active |
string |
未指定值的警示會指派狀態為 'Active' |
Dismissed |
string |
警示關閉為誤判 |
InProgress |
string |
處於處理狀態的警示 |
Resolved |
string |
處理后關閉警示 |
AzureResourceIdentifier
Azure 資源標識碼。
名稱 | 類型 | Description |
---|---|---|
azureResourceId |
string |
要警示之雲端資源的 ARM 資源識別碼 |
type |
string:
Azure |
每個警示可以有多個不同類型的標識碼,此欄位會指定識別碼類型。 |
CloudError
所有 Azure Resource Manager API 的常見錯誤回應,以傳回失敗作業的錯誤詳細數據。 (這也遵循 OData 錯誤回應格式。)。
名稱 | 類型 | Description |
---|---|---|
error.additionalInfo |
錯誤其他資訊。 |
|
error.code |
string |
錯誤碼。 |
error.details |
錯誤詳細數據。 |
|
error.message |
string |
錯誤訊息。 |
error.target |
string |
錯誤目標。 |
CloudErrorBody
錯誤詳細數據。
名稱 | 類型 | Description |
---|---|---|
additionalInfo |
錯誤其他資訊。 |
|
code |
string |
錯誤碼。 |
details |
錯誤詳細數據。 |
|
message |
string |
錯誤訊息。 |
target |
string |
錯誤目標。 |
ErrorAdditionalInfo
資源管理錯誤其他資訊。
名稱 | 類型 | Description |
---|---|---|
info |
object |
其他資訊。 |
type |
string |
其他信息類型。 |
intent
警示背後的終止鏈結相關意圖。 如需支援的值清單,以及 Azure 資訊安全中心所支援終止鏈結意圖的說明。
名稱 | 類型 | Description |
---|---|---|
Collection |
string |
集合包含用來識別和收集信息的技術,例如敏感性檔案,在外泄之前從目標網路收集。 |
CommandAndControl |
string |
命令和控制策略代表敵人如何與目標網路內系統進行通訊。 |
CredentialAccess |
string |
認證存取代表導致存取或控制企業環境中所使用的系統、網域或服務認證的技術。 |
DefenseEvasion |
string |
防禦逃避是由敵人可用來逃避偵測或避免其他防禦的技術所組成。 |
Discovery |
string |
探索是由可讓敵人取得系統和內部網路知識的技術所組成。 |
Execution |
string |
執行策略代表導致在本機或遠端系統上執行敵人控制程式代碼的技術。 |
Exfiltration |
string |
外泄是指導致或協助敵人從目標網路移除檔案和信息的技術與屬性。 |
Exploitation |
string |
惡意探索是攻擊者設法在受攻擊資源上站穩腳跟的階段。 此階段與計算主機和資源相關,例如用戶帳戶、憑證等。 |
Impact |
string |
影響事件主要嘗試直接減少系統、服務或網路的可用性或完整性;包括操作數據以影響商務或作業程式。 |
InitialAccess |
string |
InitialAccess 是攻擊者設法在受攻擊資源上站穩腳跟的階段。 |
LateralMovement |
string |
橫向移動是由技術所組成,可讓敵人存取和控制網路上的遠端系統,而且不一定包括遠端系統上的工具執行。 |
Persistence |
string |
持續性是系統的任何存取、動作或組態變更,可讓威脅執行者在該系統上持續存在。 |
PreAttack |
string |
PreAttack 可能是嘗試存取特定資源,不論惡意意圖為何,或嘗試取得目標系統的存取權,以在惡意探索之前收集資訊。 這個步驟通常會偵測為嘗試,源自網路外部,以掃描目標系統並尋找方法。 如需 PreAttack 階段的進一步詳細數據,請參閱 MITRE Pre-Att&ck 矩陣。 |
PrivilegeEscalation |
string |
許可權提升是動作的結果,可讓對手取得系統或網路上較高層級的許可權。 |
Probing |
string |
探查可能是嘗試存取特定資源,而不論惡意意圖為何,或嘗試取得目標系統的存取權,以在惡意探索之前收集資訊。 |
Unknown |
string |
未知 |
LogAnalyticsIdentifier
表示 Log Analytics 工作區範圍標識碼。
名稱 | 類型 | Description |
---|---|---|
agentId |
string |
(選擇性)LogAnalytics 代理程式標識碼會報告此警示所依據的事件。 |
type |
string:
Log |
每個警示可以有多個不同類型的標識碼,此欄位會指定識別碼類型。 |
workspaceId |
string |
儲存此警示的LogAnalytics工作區標識碼。 |
workspaceResourceGroup |
string |
儲存此警示之 LogAnalytics 工作區的 Azure 資源群組 |
workspaceSubscriptionId |
string |
儲存此警示之 LogAnalytics 工作區的 Azure 訂用帳戶標識碼。 |
SupportingEvidence
根據 supportingEvidence 類型變更屬性集。
名稱 | 類型 | Description |
---|---|---|
type |
string |
supportingEvidence 的類型 |