Incidents - List Alerts
Obtiene todas las alertas de un incidente.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/alerts?api-version=2024-03-01Parámetros de identificador URI
| Nombre | En | Requerido | Tipo | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
Identificador de incidente |
|
resource
|
path | True |
string |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
|
subscription
|
path | True |
string uuid |
Identificador de la suscripción de destino. El valor debe ser un UUID. |
|
workspace
|
path | True |
string |
El nombre del área de trabajo. Regex pattern: |
|
api-version
|
query | True |
string |
Versión de API que se usará para la operación. |
Respuestas
| Nombre | Tipo | Description |
|---|---|---|
| 200 OK |
Aceptar |
|
| Other Status Codes |
Respuesta de error que describe el motivo del error de la operación. |
Seguridad
azure_auth
Flujo OAuth2 de Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Nombre | Description |
|---|---|
| user_impersonation | suplantación de su cuenta de usuario |
Ejemplos
Get all incident alerts.
Sample Request
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/alerts?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"name": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "SecurityAlert",
"properties": {
"systemAlertId": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"tactics": [],
"alertDisplayName": "myAlert",
"confidenceLevel": "Unknown",
"severity": "Low",
"vendorName": "Microsoft",
"productName": "Azure Security Center",
"alertType": "myAlert",
"processingEndTime": "2020-07-20T18:21:53.6158361Z",
"status": "New",
"endTimeUtc": "2020-07-20T18:21:53.6158361Z",
"startTimeUtc": "2020-07-20T18:21:53.6158361Z",
"timeGenerated": "2020-07-20T18:21:53.6158361Z",
"resourceIdentifiers": [
{
"type": "LogAnalytics",
"workspaceId": "c8c99641-985d-4e4e-8e91-fb3466cd0e5b",
"subscriptionId": "bd794837-4d29-4647-9105-6339bfdb4e6a",
"resourceGroup": "myRG"
}
],
"additionalData": {
"AlertMessageEnqueueTime": "2020-07-20T18:21:57.304Z"
},
"friendlyName": "myAlert"
}
}
]
}Definiciones
| Nombre | Description |
|---|---|
|
Alert |
La gravedad de la alerta |
|
Alert |
Estado del ciclo de vida de la alerta. |
|
Attack |
Gravedad de las alertas creadas por esta regla de alertas. |
|
Cloud |
Estructura de respuesta de error. |
|
Cloud |
Detalles del error. |
|
Confidence |
Nivel de confianza de esta alerta. |
|
Confidence |
Los motivos de confianza |
|
Confidence |
Estado de cálculo de puntuación de confianza, es decir, que indica si el cálculo de puntuación está pendiente para esta alerta, no aplicable o final. |
|
created |
Tipo de identidad que creó el recurso. |
|
Entity |
Tipo de la entidad agregada. |
|
Incident |
Lista de alertas de incidentes. |
|
Kill |
Contiene la asignación de fases de intención de alerta para esta alerta. |
|
Security |
Representa una entidad de alerta de seguridad. |
|
system |
Metadatos relacionados con la creación y la última modificación del recurso. |
AlertSeverity
La gravedad de la alerta
| Nombre | Tipo | Description |
|---|---|---|
| High |
string |
Gravedad alta |
| Informational |
string |
Gravedad informativa |
| Low |
string |
Low severity |
| Medium |
string |
Gravedad media |
AlertStatus
Estado del ciclo de vida de la alerta.
| Nombre | Tipo | Description |
|---|---|---|
| Dismissed |
string |
Alerta descartada como falso positivo |
| InProgress |
string |
Se está controlando la alerta |
| New |
string |
Alerta nueva |
| Resolved |
string |
Alerta cerrada después del control |
| Unknown |
string |
Valor desconocido |
AttackTactic
Gravedad de las alertas creadas por esta regla de alertas.
| Nombre | Tipo | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Estructura de respuesta de error.
| Nombre | Tipo | Description |
|---|---|---|
| error |
Datos inválidos |
CloudErrorBody
Detalles del error.
| Nombre | Tipo | Description |
|---|---|---|
| code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
| message |
string |
Mensaje que describe el error, diseñado para ser adecuado para su presentación en una interfaz de usuario. |
ConfidenceLevel
Nivel de confianza de esta alerta.
| Nombre | Tipo | Description |
|---|---|---|
| High |
string |
Confianza alta de que la alerta es verdaderamente malintencionada positiva |
| Low |
string |
Confianza baja, lo que significa que tenemos algunas dudas de que esto es realmente malintencionado o parte de un ataque |
| Unknown |
string |
Confianza desconocida, es el valor predeterminado. |
ConfidenceReasons
Los motivos de confianza
| Nombre | Tipo | Description |
|---|---|---|
| reason |
string |
Descripción del motivo |
| reasonType |
string |
Tipo (categoría) del motivo |
ConfidenceScoreStatus
Estado de cálculo de puntuación de confianza, es decir, que indica si el cálculo de puntuación está pendiente para esta alerta, no aplicable o final.
| Nombre | Tipo | Description |
|---|---|---|
| Final |
string |
La puntuación final se calculó y disponible |
| InProcess |
string |
Todavía no se estableció ninguna puntuación y el cálculo está en curso |
| NotApplicable |
string |
La puntuación no se calculará para esta alerta, ya que no es compatible con el analista virtual |
| NotFinal |
string |
La puntuación se calcula y se muestra como parte de la alerta, pero puede actualizarse de nuevo más adelante después del procesamiento de datos adicionales. |
createdByType
Tipo de identidad que creó el recurso.
| Nombre | Tipo | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityKindEnum
Tipo de la entidad agregada.
| Nombre | Tipo | Description |
|---|---|---|
| Account |
string |
La entidad representa la cuenta en el sistema. |
| AzureResource |
string |
La entidad representa el recurso de Azure en el sistema. |
| Bookmark |
string |
La entidad representa el marcador en el sistema. |
| CloudApplication |
string |
La entidad representa la aplicación en la nube en el sistema. |
| DnsResolution |
string |
La entidad representa la resolución dns en el sistema. |
| File |
string |
La entidad representa el archivo en el sistema. |
| FileHash |
string |
La entidad representa el hash de archivo en el sistema. |
| Host |
string |
La entidad representa el host en el sistema. |
| IoTDevice |
string |
La entidad representa el dispositivo IoT en el sistema. |
| Ip |
string |
La entidad representa ip en el sistema. |
| MailCluster |
string |
La entidad representa el clúster de correo en el sistema. |
| MailMessage |
string |
La entidad representa el mensaje de correo en el sistema. |
| Mailbox |
string |
La entidad representa el buzón del sistema. |
| Malware |
string |
La entidad representa malware en el sistema. |
| Process |
string |
La entidad representa el proceso en el sistema. |
| RegistryKey |
string |
La entidad representa la clave del Registro en el sistema. |
| RegistryValue |
string |
La entidad representa el valor del Registro en el sistema. |
| SecurityAlert |
string |
La entidad representa una alerta de seguridad en el sistema. |
| SecurityGroup |
string |
La entidad representa el grupo de seguridad en el sistema. |
| SubmissionMail |
string |
La entidad representa el correo de envío en el sistema. |
| Url |
string |
La entidad representa la dirección URL en el sistema. |
IncidentAlertList
Lista de alertas de incidentes.
| Nombre | Tipo | Description |
|---|---|---|
| value |
Matriz de alertas de incidentes. |
KillChainIntent
Contiene la asignación de fases de intención de alerta para esta alerta.
| Nombre | Tipo | Description |
|---|---|---|
| Collection |
string |
La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado. |
| CommandAndControl |
string |
La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino. |
| CredentialAccess |
string |
El acceso a credenciales representa técnicas que tienen como resultado el acceso o el control sobre las credenciales del sistema, dominio o servicio que se usan en un entorno empresarial. Los adversarios probablemente intentarán obtener credenciales legítimas de usuarios o cuentas de administrador (administrador del sistema local o usuarios del dominio con acceso de administrador) para usarlas dentro de la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno. |
| DefenseEvasion |
string |
La evasión defensiva consiste en una serie de técnicas que un adversario puede usar para evadir la detección o evitar otras defensas. A veces, estas acciones son las mismas o variaciones de técnicas de otras categorías que tienen la ventaja adicional de subvertir una defensa o mitigación determinada. |
| Discovery |
string |
La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen el control y lo que las ventajas que aportan ese sistema a su objetivo actual o a sus objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase de recopilación de información que se pone en peligro. |
| Execution |
string |
La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto. Esta táctica suele usarse junto con el movimiento lateral para expandir el acceso a los sistemas remotos de una red. |
| Exfiltration |
string |
La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino. Esta categoría también abarca ubicaciones en un sistema o una red donde el adversario puede buscar información para el filtrado. |
| Exploitation |
string |
La explotación es la fase en la que un atacante administra la posición de pie del recurso atacado. Esta fase es aplicable no solo a hosts de proceso, sino también a recursos como cuentas de usuario, certificados, etc. Los adversarios a menudo podrán controlar el recurso después de esta fase. |
| Impact |
string |
El objetivo principal de la intención de impacto es reducir directamente la disponibilidad o integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto a menudo se referiría a técnicas como el software de rescate, la desfase, la manipulación de datos y otras. |
| LateralMovement |
string |
El movimiento lateral se compone de técnicas que permiten a un adversario tener acceso y controlar sistemas remotos en una red y, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, como la ejecución remota de herramientas, la dinamización de sistemas adicionales, el acceso a información específica o archivos, el acceso a credenciales adicionales o la causa de un efecto. |
| Persistence |
string |
La persistencia es cualquier cambio de acceso, acción o configuración a un sistema que proporciona a un adversario una presencia persistente en ese sistema. Los adversarios a menudo tendrán que mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requerirían una herramienta de acceso remoto para reiniciar o alternar la puerta trasera para que recuperen el acceso. |
| PrivilegeEscalation |
string |
La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Ciertas herramientas o acciones requieren un mayor nivel de privilegios para trabajar y es probable que necesiten muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios alcancen su objetivo también se pueden considerar como una elevación de privilegios. |
| Probing |
string |
El sondeo podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se suele detectar como un intento procedente de fuera de la red en intento de examinar el sistema de destino y encontrar una manera de hacerlo. |
| Unknown |
string |
Valor predeterminado. |
SecurityAlert
Representa una entidad de alerta de seguridad.
| Nombre | Tipo | Description |
|---|---|---|
| id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind | string: |
Tipo de la entidad. |
| name |
string |
Nombre del recurso. |
| properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y se mostrarán al usuario. |
| properties.alertDisplayName |
string |
Nombre para mostrar de la alerta. |
| properties.alertLink |
string |
Vínculo URI de la alerta. |
| properties.alertType |
string |
Nombre de tipo de la alerta. |
| properties.compromisedEntity |
string |
Nombre para mostrar de la entidad principal en la que se notifica. |
| properties.confidenceLevel |
Nivel de confianza de esta alerta. |
|
| properties.confidenceReasons |
Los motivos de confianza |
|
| properties.confidenceScore |
number |
Puntuación de confianza de la alerta. |
| properties.confidenceScoreStatus |
Estado de cálculo de puntuación de confianza, es decir, que indica si el cálculo de puntuación está pendiente para esta alerta, no aplicable o final. |
|
| properties.description |
string |
Descripción de la alerta. |
| properties.endTimeUtc |
string |
Hora de finalización del impacto de la alerta (la hora del último evento que contribuye a la alerta). |
| properties.friendlyName |
string |
Nombre para mostrar del elemento de grafo, que es una breve descripción legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
| properties.intent |
Contiene la asignación de fases de intención de alerta para esta alerta. |
|
| properties.processingEndTime |
string |
Hora en que la alerta estaba disponible para su consumo. |
| properties.productComponentName |
string |
Nombre de un componente dentro del producto que generó la alerta. |
| properties.productName |
string |
Nombre del producto que publicó esta alerta. |
| properties.productVersion |
string |
Versión del producto que genera la alerta. |
| properties.providerAlertId |
string |
Identificador de la alerta dentro del producto que generó la alerta. |
| properties.remediationSteps |
string[] |
Elementos de acción manual que se deben llevar a cabo para corregir la alerta. |
| properties.resourceIdentifiers |
object[] |
Lista de identificadores de recursos de la alerta. |
| properties.severity |
La gravedad de la alerta |
|
| properties.startTimeUtc |
string |
Hora de inicio del impacto de la alerta (la hora del primer evento que contribuye a la alerta). |
| properties.status |
Estado del ciclo de vida de la alerta. |
|
| properties.systemAlertId |
string |
Contiene el identificador de producto de la alerta para el producto. |
| properties.tactics |
Tácticas de la alerta |
|
| properties.timeGenerated |
string |
Hora en que se generó la alerta. |
| properties.vendorName |
string |
Nombre del proveedor que genera la alerta. |
| systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
| type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
systemData
Metadatos relacionados con la creación y la última modificación del recurso.
| Nombre | Tipo | Description |
|---|---|---|
| createdAt |
string |
Marca de tiempo de creación de recursos (UTC). |
| createdBy |
string |
Identidad que creó el recurso. |
| createdByType |
Tipo de identidad que creó el recurso. |
|
| lastModifiedAt |
string |
Marca de tiempo de la última modificación del recurso (UTC) |
| lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
| lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |