Alerts - List By Resource Group

Auflisten aller Warnungen, die der Ressourcengruppe zugeordnet sind

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2021-01-01

URI-Parameter

Name In Required Type Description
resourceGroupName
path True
  • string

Der Name der Ressourcengruppe im Abonnement des Benutzers. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet.

Regex pattern: ^[-\w\._\(\)]+$

subscriptionId
path True
  • string

Azure-Abonnement-ID

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

api-version
query True
  • string

API-Version für den Vorgang

Antworten

Name Type Description
200 OK

OK

Other Status Codes

Fehlerantwort mit Beschreibung des Grunds für den Fehler.

Sicherheit

azure_auth

Azure Active Directory OAuth2-Fluss

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation Imitate your user account (Identität Ihres Benutzerkontos imitieren)

Beispiele

Get security alerts on a resource group

Sample Request

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2021-01-01

Sample Response

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "New",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1"
      }
    }
  ]
}

Definitionen

Alert

Sicherheitswarnung

AlertEntity

Ändern von Eigenschaften je nach Entitätstyp.

AlertList

Liste der Sicherheitswarnungen

alertSeverity

Die Risikostufe der erkannten Bedrohung. Weitere Informationen finden Sie hier: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

alertStatus

Der Lebenszyklusstatus der Warnung.

AzureResourceIdentifier

Azure-Ressourcenbezeichner.

CloudError

Allgemeine Fehlerantwort für alle Azure Resource Manager-APIs, um Fehlerdetails für fehlgeschlagene Vorgänge zurückzugeben. (Dies entspricht auch dem OData-Fehlerantwortformat.)

CloudErrorBody

Die Fehlerdetails.

ErrorAdditionalInfo

Zusätzliche Informationen zu Ressourcenverwaltungsfehlern.

intent

Die mit der Kill Chain im Zusammenhang stehende Absicht hinter der Warnung. Eine Liste der unterstützten Werte und Erläuterungen zu den von Azure Security Center unterstützten Kill Chain-Absichten.

LogAnalyticsIdentifier

Stellt einen Log Analytics-Arbeitsbereichsbereichsbezeichner dar.

Alert

Sicherheitswarnung

Name Type Description
id
  • string

Ressourcen-ID

name
  • string

Ressourcenname

properties.alertDisplayName
  • string

Der Anzeigename der Warnung.

properties.alertType
  • string

Eindeutiger Bezeichner für die Erkennungslogik (alle Warnungsinstanzen aus derselben Erkennungslogik weisen den gleichen alertType auf).

properties.alertUri
  • string

Ein direkter Link zur Warnungsseite im Azure-Portal.

properties.compromisedEntity
  • string

Der Anzeigename der Ressource, die in der Regel mit dieser Warnung im Zusammenhang steht.

properties.correlationKey
  • string

Schlüssel für kernlatingbezogene Warnungen. Warnungen mit demselben Korrelationsschlüssel, der als verknüpft betrachtet wird.

properties.description
  • string

Beschreibung der erkannten verdächtigen Aktivität.

properties.endTimeUtc
  • string

Die UTC-Zeit des letzten Ereignisses oder der letzten Aktivität, das bzw. die in der Warnung enthalten ist, im ISO8601-Format.

properties.entities

Eine Liste der Entitäten im Zusammenhang mit der Warnung.

properties.extendedLinks
  • object[]

Links zur Warnung

properties.extendedProperties
  • object

Benutzerdefinierte Eigenschaften für die Warnung.

properties.intent

Die mit der Kill Chain im Zusammenhang stehende Absicht hinter der Warnung. Eine Liste der unterstützten Werte und Erläuterungen zu den von Azure Security Center unterstützten Kill Chain-Absichten.

properties.isIncident
  • boolean

Dieses Feld bestimmt, ob es sich bei der Warnung um einen Incident (eine zusammengesetzte Gruppierung mehrerer Warnungen) oder eine einzelne Warnung handelt.

properties.processingEndTimeUtc
  • string

Die UTC-Verarbeitungsendzeit der Warnung im ISO8601-Format.

properties.productComponentName
  • string

Der Name Azure Security Center Tarif, der diese Warnung auslöst. Weitere Informationen: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing

properties.productName
  • string

Der Name des Produkts, das diese Warnung veröffentlicht hat (Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS usw.).

properties.remediationSteps
  • string[]

Manuelle Aktionselemente zum Beheben der Warnung.

properties.resourceIdentifiers ResourceIdentifier[]:

Die Ressourcenbezeichner, mit denen die Warnung an die richtige Produktbelichtungsgruppe (Mandant, Arbeitsbereich, Abonnement usw.) geleitet werden kann. Es können mehrere Bezeichner unterschiedlichen Typs pro Warnung vorhanden sein.

properties.severity

Die Risikostufe der erkannten Bedrohung. Weitere Informationen finden Sie hier: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

properties.startTimeUtc
  • string

Die UTC-Zeit des ersten Ereignisses oder der ersten Aktivität, das bzw. die in der Warnung enthalten ist, im ISO8601-Format.

properties.status

Der Lebenszyklusstatus der Warnung.

properties.systemAlertId
  • string

Eindeutiger Bezeichner für die Warnung.

properties.timeGeneratedUtc
  • string

Die UTC-Zeit, zu der die Warnung im ISO8601-Format generiert wurde.

properties.vendorName
  • string

Der Name des Anbieters, der die Warnung auslöst.

type
  • string

Ressourcentyp

AlertEntity

Ändern von Eigenschaften je nach Entitätstyp.

Name Type Description
type
  • string

Entitätstyp

AlertList

Liste der Sicherheitswarnungen

Name Type Description
nextLink
  • string

Der URI zum Abrufen der nächsten Seite.

value

beschreibt Sicherheitswarnungseigenschaften.

alertSeverity

Die Risikostufe der erkannten Bedrohung. Weitere Informationen finden Sie hier: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Name Type Description
High
  • string

High

Informational
  • string

Informational

Low
  • string

Niedrig

Medium
  • string

Medium

alertStatus

Der Lebenszyklusstatus der Warnung.

Name Type Description
Active
  • string

Einer Warnung, die keinen Wert angibt, wird der Status "Aktiv" zugewiesen.

Dismissed
  • string

Warnung als falsch positiv verworfen

Resolved
  • string

Warnung nach der Behandlung geschlossen

AzureResourceIdentifier

Azure-Ressourcenbezeichner.

Name Type Description
azureResourceId
  • string

ARM-Ressourcenbezeichner für die Cloudressource, für die eine Warnung ausgegeben wird

type string:
  • AzureResource

Pro Warnung können mehrere Bezeichner unterschiedlichen Typs vorhanden sein. In diesem Feld wird der Bezeichnertyp angegeben.

CloudError

Allgemeine Fehlerantwort für alle Azure Resource Manager-APIs, um Fehlerdetails für fehlgeschlagene Vorgänge zurückzugeben. (Dies entspricht auch dem OData-Fehlerantwortformat.)

Name Type Description
error.additionalInfo

Die zusätzlichen Fehlerinformationen.

error.code
  • string

Der Fehlercode.

error.details

Die Fehlerdetails.

error.message
  • string

Die Fehlermeldung.

error.target
  • string

Das Fehlerziel.

CloudErrorBody

Die Fehlerdetails.

Name Type Description
additionalInfo

Die zusätzlichen Fehlerinformationen.

code
  • string

Der Fehlercode.

details

Die Fehlerdetails.

message
  • string

Die Fehlermeldung.

target
  • string

Das Fehlerziel.

ErrorAdditionalInfo

Zusätzliche Informationen zu Ressourcenverwaltungsfehlern.

Name Type Description
info
  • object

Die zusätzlichen Informationen.

type
  • string

Der zusätzliche Infotyp.

intent

Die mit der Kill Chain im Zusammenhang stehende Absicht hinter der Warnung. Eine Liste der unterstützten Werte und Erläuterungen zu den von Azure Security Center unterstützten Kill Chain-Absichten.

Name Type Description
Collection
  • string

Als „Sammlung“ werden Techniken bezeichnet, die vor der Exfiltration zur Identifizierung und Erfassung von Informationen, z.B. sensiblen Dateien, von einem Zielnetzwerk verwendet werden.

CommandAndControl
  • string

„Command-and-Control“ repräsentiert, wie Angreifer mit Systemen innerhalb eines Zielnetzwerks kommunizieren, die ihrer Kontrolle unterliegen.

CredentialAccess
  • string

Als „Zugriff auf Anmeldeinformationen“ werden Techniken bezeichnet, die einen Zugriff oder die Kontrolle von System-, Domänen- oder Dienstanmeldeinformationen, die in einer Unternehmensumgebung verwendet werden, zur Folge haben.

DefenseEvasion
  • string

Das „Umgehen von Verteidigungsmaßnahmen“ umfasst Techniken, die ein Angreifer verwenden kann, um eine Erkennung zu vermeiden oder andere Abwehrmaßnahmen zu umgehen.

Discovery
  • string

„Ermittlung“ umfasst Techniken, die es dem Angreifer ermöglichen, Informationen über das System und das interne Netzwerk zu erlangen.

Execution
  • string

Als „Ausführung“ werden Techniken bezeichnet, die zur Ausführung von durch den Angreifer kontrolliertem Code auf einem lokalen System oder einem Remotesystem führen.

Exfiltration
  • string

„Extrafiltration" bezieht sich auf Techniken und Attribute, die das Entfernen von Dateien und Informationen aus einem Zielnetzwerk zur Folge haben oder dem Angreifer dies ermöglichen.

Exploitation
  • string

Als „Ausnutzung“ wird die Phase bezeichnet, in der es einem Angreifer gelingt, auf der angegriffenen Ressource Fuß zu fassen. Diese Phase ist für Computehosts und Ressourcen wie Benutzerkonten, Zertifikate usw. relevant.

Impact
  • string

Ereignisse vom Typ „Auswirkung“ versuchen in erster Linie, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks unmittelbar zu verringern, einschließlich der Manipulation von Daten, um einen Geschäfts- oder Betriebsprozess zu beeinträchtigen.

InitialAccess
  • string

InitialAccess ist die Phase, in der ein Angreifer die angegriffene Ressource erreichen kann.

LateralMovement
  • string

„Lateral-Movement“ umfasst Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und diese zu steuern. Die Ausführung von Tools auf Remotesystemen kann, muss jedoch nicht unbedingt möglich sein.

Persistence
  • string

Als „Persistenz“ wird ein Zugriff, eine Aktion oder eine Konfigurationsänderung in einem System bezeichnet, der bzw. die einem Bedrohungsakteur dauerhafte Präsenz in diesem System ermöglicht.

PreAttack
  • string

Bei einem PreAttack kann es sich entweder um einen Versuch handeln, unabhängig von böswilligen Absichten auf eine bestimmte Ressource zuzugreifen, oder um einen fehlgeschlagenen Versuch, Zugriff auf ein Zielsystem zu erlangen, um Informationen vor deren Ausnutzung zu sammeln. Dieser Schritt wird in der Regel als Versuch erkannt, von außerhalb des Netzwerks aus das Zielsystem zu überprüfen und einen Weg zu finden. Weitere Informationen zur PreAngriff-Phase finden Sie in der MITRE Pre-Att&ck matrix.

PrivilegeEscalation
  • string

„Rechteausweitung“ ist das Ergebnis von Aktionen, mit denen ein Angreifer eine höhere Berechtigungsebene für ein System oder ein Netzwerk erhält.

Probing
  • string

Beim „Probing“ kann es sich entweder um einen Versuch handeln, unabhängig von böswilligen Absichten auf eine bestimmte Ressource zuzugreifen, oder um einen fehlgeschlagenen Versuch, Zugriff auf ein Zielsystem zu erlangen, um Informationen vor deren Ausnutzung zu sammeln.

Unknown
  • string

Unbekannt

LogAnalyticsIdentifier

Stellt einen Log Analytics-Arbeitsbereichsbereichsbezeichner dar.

Name Type Description
agentId
  • string

(optional) Die LogAnalytics-Agent-ID, die das Ereignis meldet, auf dem diese Warnung basiert.

type string:
  • LogAnalytics

Pro Warnung können mehrere Bezeichner unterschiedlichen Typs vorhanden sein. In diesem Feld wird der Bezeichnertyp angegeben.

workspaceId
  • string

Die LogAnalytics-Arbeitsbereichs-ID, in der diese Warnung gespeichert wird.

workspaceResourceGroup
  • string

Die Azure-Ressourcengruppe für den LogAnalytics-Arbeitsbereich, in dem diese Warnung gespeichert wird

workspaceSubscriptionId
  • string

Die Azure-Abonnement-ID für den LogAnalytics-Arbeitsbereich, in dem diese Warnung gespeichert wird.