通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Alerts - List

  • 参考
Service:
Defender for Cloud
API Version:
2022-01-01

列出与订阅关联的所有警报

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/alerts?api-version=2022-01-01

URI 参数

名称 必需 类型 说明
subscriptionId
 path True

string

Azure 订阅 ID

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

操作的 API 版本

响应

名称 类型 说明
200 OK

AlertList

确定
Other Status Codes

CloudError

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名称 说明
user_impersonation 模拟用户帐户

示例

Get security alerts on a subscription

Sample Request

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/alerts?api-version=2022-01-01

Sample Response

Status code:
200 
{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1",
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      }
    },
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
      "name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "version": "2022-01-01",
        "alertType": "VM_SuspiciousScreenSaver",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "testName2",
        "alertDisplayName": "Suspicious Screensaver process executed",
        "description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
        "severity": "Medium",
        "intent": "Execution",
        "startTimeUtc": "2019-05-07T13:51:45.0045913Z",
        "endTimeUtc": "2019-05-07T13:51:45.0045913Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
          "2. Make sure the machine is completely updated and has an updated anti-malware application installed",
          "3. Run a full anti-malware scan and verify that the threat was removed",
          "4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
          "5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
          "6. Escalate the alert to the information security team"
        ],
        "vendorName": "Microsoft",
        "status": "Active",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
        "entities": [
          {
            "dnsDomain": "",
            "ntDomain": "",
            "hostName": "vm2",
            "netBiosName": "vm2",
            "azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
            "omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
            "operatingSystem": "Unknown",
            "type": "host",
            "OsVersion": null
          },
          {
            "name": "contosoUser",
            "ntDomain": "vm2",
            "logonId": "0x61450d87",
            "sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
            "type": "account"
          },
          {
            "directory": "c:\\windows\\system32",
            "name": "cmd.exe",
            "type": "file"
          },
          {
            "processId": "0x3c44",
            "type": "process"
          },
          {
            "directory": "c:\\users\\contosoUser",
            "name": "scrsave.scr",
            "type": "file"
          },
          {
            "processId": "0x4aec",
            "commandLine": "c:\\users\\contosoUser\\scrsave.scr",
            "creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
            "type": "process"
          }
        ],
        "isIncident": true,
        "correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
        "compromisedEntity": "vm2",
        "extendedProperties": {
          "domain name": "vm2",
          "user name": "vm2\\contosoUser",
          "process name": "c:\\users\\contosoUser\\scrsave.scr",
          "command line": "c:\\users\\contosoUser\\scrsave.scr",
          "parent process": "cmd.exe",
          "process id": "0x4aec",
          "account logon id": "0x61450d87",
          "user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
          "parent process id": "0x3c44",
          "resourceType": "Virtual Machine"
        },
        "techniques": [
          "T1059",
          "T1053",
          "T1072"
        ],
        "subTechniques": [
          "T1059.001",
          "T1059.006",
          "T1053.002"
        ],
        "supportingEvidence": {
          "supportingEvidenceList": [
            {
              "evidenceElements": [
                {
                  "text": {
                    "arguments": {
                      "sensitiveEnumerationTypes": {
                        "type": "string[]",
                        "value": [
                          "UseDesKey"
                        ]
                      },
                      "domainName": {
                        "type": "string",
                        "value": "domainName"
                      }
                    },
                    "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                    "fallback": "Actor enumerated UseDesKey on domain1.test.local"
                  },
                  "type": "evidenceElement",
                  "innerElements": null
                }
              ],
              "type": "nestedList"
            },
            {
              "type": "tabularEvidences",
              "title": "Investigate activity test",
              "columns": [
                "Date",
                "Activity",
                "User",
                "TestedText",
                "TestedValue"
              ],
              "rows": [
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser2",
                  "false",
                  false
                ],
                [
                  "2022-01-17T07:03:52.034Z",
                  "Log on",
                  "testUser3",
                  "true",
                  true
                ]
              ]
            }
          ],
          "type": "supportingEvidenceList"
        }
      }
    }
  ]
}

定义

名称 说明
Alert

安全警报
AlertEntity

根据实体类型更改属性集。
AlertList

安全警报列表
alertSeverity

检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified
alertStatus

警报的生命周期状态。
AzureResourceIdentifier

Azure 资源标识符。
CloudError

对所有 Azure 资源管理器 API 的常见错误响应,可返回失败操作的错误详细信息。 (这也遵循 OData 错误响应格式.) 。
CloudErrorBody

错误详细信息。
ErrorAdditionalInfo

资源管理错误附加信息。
intent

警报背后的终止链相关意向。 有关受支持值的列表,以及Azure 安全中心支持的终止链意向的说明。
LogAnalyticsIdentifier

表示 Log Analytics 工作区范围标识符。
SupportingEvidence

根据 supportingEvidence 类型更改属性集。

Alert

安全警报

名称 类型 说明
id

string

资源 ID
name

string

资源名称
properties.alertDisplayName

string

警报的显示名称。
properties.alertType

string

检测逻辑的唯一标识符 (来自同一检测逻辑的所有警报实例将具有相同的 alertType) 。
properties.alertUri

string

Azure 门户中警报页的直接链接。
properties.compromisedEntity

string

与此警报最相关的资源的显示名称。
properties.correlationKey

string

用于关联关联警报的键。 具有相同关联键的警报被视为相关。
properties.description

string

检测到的可疑活动的说明。
properties.endTimeUtc

string

警报中包含的最后一个事件或活动的 UTC 时间,采用ISO8601格式。
properties.entities

AlertEntity[]

与警报相关的实体的列表。
properties.extendedLinks

object[]

与警报相关的链接
properties.extendedProperties

object

警报的自定义属性。
properties.intent

intent

警报背后的终止链相关意向。 有关受支持值的列表,以及Azure 安全中心支持的终止链意向的说明。
properties.isIncident

boolean

此字段确定警报是否为事件(多个警报的复合分组)或单个警报。
properties.processingEndTimeUtc

string

警报的 UTC 处理结束时间,采用ISO8601格式。
properties.productComponentName

string

支持此警报Azure 安全中心定价层的名称。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName

string

发布此警报的产品的名称 (Microsoft Sentinel、Microsoft Defender for Identity、Microsoft Defender for Endpoint Microsoft Defender for Office,Microsoft Defender for Cloud Apps等) 。
properties.remediationSteps

string[]

要执行以修正警报的手动操作项。
properties.resourceIdentifiers ResourceIdentifier[]:

可用于将警报定向到正确的产品暴露组的资源标识符 (租户、工作区、订阅等 ) 。 每个警报可有多个不同类型的标识符。
properties.severity

alertSeverity

检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified
properties.startTimeUtc

string

警报中包含的第一个事件或活动的 UTC 时间,采用ISO8601格式。
properties.status

alertStatus

警报的生命周期状态。
properties.subTechniques

string[]

警报背后的终止链相关子技术。
properties.supportingEvidence

SupportingEvidence

根据 supportingEvidence 类型更改属性集。
properties.systemAlertId

string

警报的唯一标识符。
properties.techniques

string[]

终止警报背后的链相关技术。
properties.timeGeneratedUtc

string

以ISO8601格式生成警报的 UTC 时间。
properties.vendorName

string

引发警报的供应商的名称。
properties.version

string

架构版本。
type

string

资源类型

AlertEntity

根据实体类型更改属性集。

名称 类型 说明
type

string

实体类型

AlertList

安全警报列表

名称 类型 说明
nextLink

string

用于提取下一页的 URI。
value

Alert[]

介绍安全警报属性。

alertSeverity

检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified

名称 类型 说明
High

string

Informational

string

信息
Low

string

Medium

string

alertStatus

警报的生命周期状态。

名称 类型 说明
Active

string

未指定值的警报被分配状态为“活动”
Dismissed

string

警报已消除为误报
InProgress

string

处于处理状态的警报
Resolved

string

警报在处理后关闭

AzureResourceIdentifier

Azure 资源标识符。

名称 类型 说明
azureResourceId

string

正在发出警报的云资源的 ARM 资源标识符
type string:

AzureResource

每个警报可以有多个不同类型的标识符,此字段指定标识符类型。

CloudError

对所有 Azure 资源管理器 API 的常见错误响应,可返回失败操作的错误详细信息。 (这也遵循 OData 错误响应格式.) 。

名称 类型 说明
error.additionalInfo

ErrorAdditionalInfo[]

错误附加信息。
error.code

string

错误代码。
error.details

CloudErrorBody[]

错误详细信息。
error.message

string

错误消息。
error.target

string

错误目标。

CloudErrorBody

错误详细信息。

名称 类型 说明
additionalInfo

ErrorAdditionalInfo[]

错误附加信息。
code

string

错误代码。
details

CloudErrorBody[]

错误详细信息。
message

string

错误消息。
target

string

错误目标。

ErrorAdditionalInfo

资源管理错误附加信息。

名称 类型 说明
info

object

其他信息。
type

string

其他信息类型。

intent

警报背后的终止链相关意向。 有关受支持值的列表,以及Azure 安全中心支持的终止链意向的说明。

名称 类型 说明
Collection

string

收集包含的方法让攻击者能在外泄之前标识和收集目标网络中的信息,例如敏感文件。
CommandAndControl

string

命令和控制策略表示攻击者如何在目标网络中与其控制的系统通信。
CredentialAccess

string

凭据访问指能够访问或控制企业环境中使用的系统、域或服务凭据的方法。
DefenseEvasion

string

防御规避策略包含攻击者可用于避开检测或其他防御措施的方法。
Discovery

string

发现策略包含允许攻击者了解系统和内部网络的方法。
Execution

string

执行策略表示允许在本地系统或远程系统上执行受攻击者控制的代码的方法。
Exfiltration

string

外泄策略指允许或有助于攻击者从目标网络中删除文件和信息的方法和特性。
Exploitation

string

利用是攻击者设法在受攻击的资源上站稳脚跟的阶段。 此阶段与计算主机和资源(如用户帐户、证书等)相关。
Impact

string

影响事件主要尝试直接降低系统、服务或网络的可用性或完整性;包括为了影响业务或操作过程而进行的数据操作活动。
InitialAccess

string

InitialAccess 是攻击者设法在受攻击的资源上站稳脚跟的阶段。
LateralMovement

string

横向移动包含的方法让攻击者能够访问并控制网络上的远程系统,但不一定包括在远程系统上执行工具。
Persistence

string

持久性指为了让威胁参与者在系统上持久存在而对该系统进行的任何访问、操作或配置更改。
PreAttack

string

预攻击可能是对某个资源的访问尝试,而不考虑恶意意图,也可能是在利用之前访问目标系统以收集信息的失败尝试。 此步骤通常被检测为尝试(源自网络外部)扫描目标系统并找到方法。 有关预攻击阶段的更多详细信息,请参阅 MITRE Pre-Att&ck 矩阵
PrivilegeEscalation

string

特权提升指允许攻击者在系统或网络上获得更高级别权限的操作的结果。
Probing

string

探测可能是尝试访问特定资源而不考虑恶意意图,也可能是尝试获取目标系统的访问权限以在利用之前收集信息失败。
Unknown

string

未知

LogAnalyticsIdentifier

表示 Log Analytics 工作区范围标识符。

名称 类型 说明
agentId

string

(可选) 报告此警报所基于事件的 LogAnalytics 代理 ID。
type string:

LogAnalytics

每个警报可以有多个不同类型的标识符,此字段指定标识符类型。
workspaceId

string

存储此警报的 LogAnalytics 工作区 ID。
workspaceResourceGroup

string

存储此警报的 LogAnalytics 工作区的 Azure 资源组
workspaceSubscriptionId

string

存储此警报的 LogAnalytics 工作区的 Azure 订阅 ID。

SupportingEvidence

根据 supportingEvidence 类型更改属性集。

名称 类型 说明
type

string

supportingEvidence 的类型