Iot Security Solutions Analytics Aggregated Alert - Get

Service:

Defender for Cloud

API Version:

2019-08-01

Użyj tej metody, aby uzyskać pojedynczy zagregowany alert rozwiązania IoT Security. Ta agregacja jest wykonywana przez nazwę alertu.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/iotSecuritySolutions/{solutionName}/analyticsModels/default/aggregatedAlerts/{aggregatedAlertName}?api-version=2019-08-01

Parametry identyfikatora URI

Nazwa	W	Wymagane	Typ	Opis
aggregatedAlertName	path	True	string	Identyfikator zagregowanego alertu.
resourceGroupName	path	True	string	Nazwa grupy zasobów w ramach subskrypcji użytkownika. W nazwie jest uwzględniana wielkość liter. Regex pattern: ^[-\w\._\(\)]+$
solutionName	path	True	string	Nazwa rozwiązania IoT Security.
subscriptionId	path	True	string	Identyfikator subskrypcji platformy Azure Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	Wersja interfejsu API dla operacji

Odpowiedzi

Nazwa	Typ	Opis
200 OK	IoTSecurityAggregatedAlert	OK
Other Status Codes	CloudError	Odpowiedź na błąd opisująca, dlaczego operacja nie powiodła się.

Zabezpieczenia

azure_auth

Przepływ OAuth2 usługi Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Nazwa	Opis
user_impersonation	personifikacja konta użytkownika

Przykłady

Get the aggregated security analytics alert of yours IoT Security solution. This aggregation is performed by alert name

Sample Request

HTTP

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/iotSecuritySolutions/default/analyticsModels/default/aggregatedAlerts/IoT_Bruteforce_Fail/2019-02-02?api-version=2019-08-01

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/e716082ac474f182e2220e4f38f1d6191e7636cf/specification/security/resource-manager/Microsoft.Security/stable/2019-08-01/examples/IoTSecuritySolutionsAnalytics/GetIoTSecuritySolutionsSecurityAggregatedAlert.json
func ExampleIotSecuritySolutionsAnalyticsAggregatedAlertClient_Get() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewIotSecuritySolutionsAnalyticsAggregatedAlertClient().Get(ctx, "MyGroup", "default", "IoT_Bruteforce_Fail/2019-02-02", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.IoTSecurityAggregatedAlert = armsecurity.IoTSecurityAggregatedAlert{
	// 	Name: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02"),
	// 	Type: to.Ptr("Microsoft.Security/iotSecuritySolutions/analyticsModels/aggregatedAlerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02"),
	// 	Properties: &armsecurity.IoTSecurityAggregatedAlertProperties{
	// 		Description: to.Ptr("Multiple unsuccsseful login attempts identified. A Bruteforce attack on the device failed."),
	// 		ActionTaken: to.Ptr("Detected"),
	// 		AggregatedDateUTC: to.Ptr(func() time.Time { t, _ := time.Parse("2006-01-02", "2019-02-02"); return t}()),
	// 		AlertDisplayName: to.Ptr("Failed Bruteforce"),
	// 		AlertType: to.Ptr("IoT_Bruteforce_Fail"),
	// 		Count: to.Ptr[int64](50),
	// 		EffectedResourceType: to.Ptr("IoT Device"),
	// 		LogAnalyticsQuery: to.Ptr("SecurityAlert | where tolower(ResourceId) == tolower('/subscriptions/b77ec8a9-04ed-48d2-a87a-e5887b978ba6/resourceGroups/IoT-Solution-DemoEnv/providers/Microsoft.Devices/IotHubs/rtogm-hub') and tolower(AlertName) == tolower('Custom Alert - number of device to cloud messages in MQTT protocol is not in the allowed range') | extend DeviceId=parse_json(ExtendedProperties)['DeviceId'] | project DeviceId, TimeGenerated, DisplayName, AlertSeverity, Description, RemediationSteps, ExtendedProperties"),
	// 		RemediationSteps: to.Ptr(""),
	// 		ReportedSeverity: to.Ptr(armsecurity.ReportedSeverityLow),
	// 		SystemSource: to.Ptr("Devices"),
	// 		TopDevicesList: []*armsecurity.IoTSecurityAggregatedAlertPropertiesTopDevicesListItem{
	// 			{
	// 				AlertsCount: to.Ptr[int64](100),
	// 				DeviceID: to.Ptr("testDevice1"),
	// 				LastOccurrence: to.Ptr("10:42"),
	// 			},
	// 			{
	// 				AlertsCount: to.Ptr[int64](80),
	// 				DeviceID: to.Ptr("testDevice2"),
	// 				LastOccurrence: to.Ptr("15:42"),
	// 		}},
	// 		VendorName: to.Ptr("Microsoft"),
	// 	},
	// }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Use this method to get a single the aggregated alert of yours IoT Security solution. This aggregation is performed by alert name.
 *
 * @summary Use this method to get a single the aggregated alert of yours IoT Security solution. This aggregation is performed by alert name.
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2019-08-01/examples/IoTSecuritySolutionsAnalytics/GetIoTSecuritySolutionsSecurityAggregatedAlert.json
 */
async function getTheAggregatedSecurityAnalyticsAlertOfYoursIoTSecuritySolutionThisAggregationIsPerformedByAlertName() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "MyGroup";
  const solutionName = "default";
  const aggregatedAlertName = "IoT_Bruteforce_Fail/2019-02-02";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.iotSecuritySolutionsAnalyticsAggregatedAlert.get(
    resourceGroupName,
    solutionName,
    aggregatedAlertName
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2019-08-01/examples/IoTSecuritySolutionsAnalytics/GetIoTSecuritySolutionsSecurityAggregatedAlert.json
// this example is just showing the usage of "IotSecuritySolutionsAnalyticsAggregatedAlert_Get" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this IotSecurityAggregatedAlertResource created on azure
// for more information of creating IotSecurityAggregatedAlertResource, please refer to the document of IotSecurityAggregatedAlertResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "MyGroup";
string solutionName = "default";
string aggregatedAlertName = "IoT_Bruteforce_Fail/2019-02-02";
ResourceIdentifier iotSecurityAggregatedAlertResourceId = IotSecurityAggregatedAlertResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, solutionName, aggregatedAlertName);
IotSecurityAggregatedAlertResource iotSecurityAggregatedAlert = client.GetIotSecurityAggregatedAlertResource(iotSecurityAggregatedAlertResourceId);

// invoke the operation
IotSecurityAggregatedAlertResource result = await iotSecurityAggregatedAlert.GetAsync();

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
IotSecurityAggregatedAlertData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:

200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02",
  "name": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/MyGroup/providers/Microsoft.Security/IoTSecuritySolutions/Locations/eastus/default/IoT_Bruteforce_Fail/2019-02-02",
  "type": "Microsoft.Security/iotSecuritySolutions/analyticsModels/aggregatedAlerts",
  "properties": {
    "alertType": "IoT_Bruteforce_Fail",
    "alertDisplayName": "Failed Bruteforce",
    "aggregatedDateUtc": "2019-02-02",
    "vendorName": "Microsoft",
    "reportedSeverity": "Low",
    "remediationSteps": "",
    "description": "Multiple unsuccsseful login attempts identified. A Bruteforce attack on the device failed.",
    "count": 50,
    "effectedResourceType": "IoT Device",
    "systemSource": "Devices",
    "actionTaken": "Detected",
    "logAnalyticsQuery": "SecurityAlert | where tolower(ResourceId) == tolower('/subscriptions/b77ec8a9-04ed-48d2-a87a-e5887b978ba6/resourceGroups/IoT-Solution-DemoEnv/providers/Microsoft.Devices/IotHubs/rtogm-hub') and tolower(AlertName) == tolower('Custom Alert - number of device to cloud messages in MQTT protocol is not in the allowed range') | extend DeviceId=parse_json(ExtendedProperties)['DeviceId'] | project DeviceId, TimeGenerated, DisplayName, AlertSeverity, Description, RemediationSteps, ExtendedProperties",
    "topDevicesList": [
      {
        "deviceId": "testDevice1",
        "alertsCount": 100,
        "lastOccurrence": "10:42"
      },
      {
        "deviceId": "testDevice2",
        "alertsCount": 80,
        "lastOccurrence": "15:42"
      }
    ]
  }
}

Definicje

Nazwa	Opis
CloudError	Typowa odpowiedź na błąd dla wszystkich interfejsów API usługi Azure Resource Manager zwraca szczegóły błędu dla operacji, które zakończyły się niepowodzeniem. (Jest to również zgodne z formatem odpowiedzi oData).
CloudErrorBody	Szczegóły błędu.
ErrorAdditionalInfo	Dodatkowe informacje o błędzie zarządzania zasobami.
IoTSecurityAggregatedAlert	Informacje o alertach zagregowanych w rozwiązaniu zabezpieczeń
reportedSeverity	Oceniono ważność alertu.
TopDevicesList	10 urządzeń z największą liczbą wystąpień tego typu alertu w tym dniu.

CloudError

Typowa odpowiedź na błąd dla wszystkich interfejsów API usługi Azure Resource Manager zwraca szczegóły błędu dla operacji, które zakończyły się niepowodzeniem. (Jest to również zgodne z formatem odpowiedzi oData).

Nazwa	Typ	Opis
error.additionalInfo	ErrorAdditionalInfo[]	Dodatkowe informacje o błędzie.
error.code	string	Kod błędu.
error.details	CloudErrorBody[]	Szczegóły błędu.
error.message	string	Komunikat o błędzie.
error.target	string	Element docelowy błędu.

CloudErrorBody

Szczegóły błędu.

Nazwa	Typ	Opis
additionalInfo	ErrorAdditionalInfo[]	Dodatkowe informacje o błędzie.
code	string	Kod błędu.
details	CloudErrorBody[]	Szczegóły błędu.
message	string	Komunikat o błędzie.
target	string	Element docelowy błędu.

ErrorAdditionalInfo

Dodatkowe informacje o błędzie zarządzania zasobami.

Nazwa	Typ	Opis
info	object	Dodatkowe informacje.
type	string	Dodatkowy typ informacji.

IoTSecurityAggregatedAlert

Informacje o alertach zagregowanych w rozwiązaniu zabezpieczeń

Nazwa	Typ	Opis
id	string	Identyfikator zasobu
name	string	Nazwa zasobu
properties.actionTaken	string	Odpowiedź na alert rozwiązania IoT Security.
properties.aggregatedDateUtc	string	Data wykrywania.
properties.alertDisplayName	string	Nazwa wyświetlana typu alertu.
properties.alertType	string	Nazwa typu alertu.
properties.count	integer	Liczba wystąpień alertów w zagregowanym przedziale czasu.
properties.description	string	Opis podejrzanej luki w zabezpieczeniach i znaczenia.
properties.effectedResourceType	string	Identyfikator zasobu platformy Azure, który otrzymał alerty.
properties.logAnalyticsQuery	string	Zapytanie usługi Log Analytics dotyczące pobierania listy urządzeń/alertów, których dotyczy problem.
properties.remediationSteps	string	Zalecane kroki korygowania.
properties.reportedSeverity	reportedSeverity	Oceniono ważność alertu.
properties.systemSource	string	Typ zasób z alertami (Azure, non-Azure).
properties.topDevicesList	TopDevicesList[]	10 urządzeń z największą liczbą wystąpień tego typu alertu w tym dniu.
properties.vendorName	string	Nazwa organizacji, która zgłosiła alert.
tags	object	Tagi zasobów
type	string	Typ zasobu

reportedSeverity

Oceniono ważność alertu.

Nazwa	Typ	Opis
High	string
Informational	string
Low	string
Medium	string

TopDevicesList

10 urządzeń z największą liczbą wystąpień tego typu alertu w tym dniu.

Nazwa	Typ	Opis
alertsCount	integer	Liczba alertów zgłoszonych dla tego urządzenia.
deviceId	string	Nazwa urządzenia.
lastOccurrence	string	Ostatni raz ten alert został zgłoszony dla tego urządzenia w tym dniu.