您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

Alerts - List By Resource Group

列出与资源组关联的所有警报

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/alerts?api-version=2021-01-01

URI 参数

Name In Required Type Description
resourceGroupName
path True
  • string

用户订阅中的资源组的名称。 此名称不区分大小写。

Regex pattern: ^[-\w\._\(\)]+$

subscriptionId
path True
  • string

Azure 订阅 ID

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

api-version
query True
  • string

该操作的 API 版本

响应

Name Type Description
200 OK

确定

Other Status Codes

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation 模拟用户帐户

示例

Get security alerts on a resource group

Sample Request

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/alerts?api-version=2021-01-01

Sample Response

{
  "value": [
    {
      "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
      "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
      "type": "Microsoft.Security/Locations/alerts",
      "properties": {
        "alertType": "VM_EICAR",
        "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
        "productComponentName": "",
        "alertDisplayName": "Azure Security Center test alert (not a threat)",
        "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
        "severity": "High",
        "intent": "Execution",
        "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
        "resourceIdentifiers": [
          {
            "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
            "type": "AzureResource"
          },
          {
            "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
            "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
            "workspaceResourceGroup": "myRg1",
            "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
            "type": "LogAnalytics"
          }
        ],
        "remediationSteps": [
          "No further action is needed."
        ],
        "vendorName": "Microsoft",
        "status": "New",
        "extendedLinks": [
          {
            "Category": "threat_reports",
            "Label": "Report: RDP Brute Forcing",
            "Href": "https://contoso.com/reports/DisplayReport",
            "Type": "webLink"
          }
        ],
        "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
        "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
        "productName": "Azure Security Center",
        "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
        "entities": [
          {
            "address": "192.0.2.1",
            "location": {
              "countryCode": "gb",
              "state": "wokingham",
              "city": "sonning",
              "longitude": -0.909,
              "latitude": 51.468,
              "asn": 6584
            },
            "type": "ip"
          }
        ],
        "isIncident": true,
        "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
        "extendedProperties": {
          "Property1": "Property1 information"
        },
        "compromisedEntity": "vm1"
      }
    }
  ]
}

定义

Alert

安全警报

AlertEntity

根据实体类型更改属性集。

AlertList

安全警报列表

alertSeverity

检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。

alertStatus

警报的生命周期状态。

AzureResourceIdentifier

Azure 资源标识符。

CloudError

所有 API 的常见Azure 资源管理器,用于返回失败操作的错误详细信息。 (也遵循 OData 错误响应格式.) 。

CloudErrorBody

错误详细信息。

ErrorAdditionalInfo

资源管理错误其他信息。

intent

警报背后的终止链相关意向。 有关支持的值的列表,以及Azure 安全中心终止链意向的说明。

LogAnalyticsIdentifier

表示 Log Analytics 工作区范围标识符。

Alert

安全警报

Name Type Description
id
  • string

资源 ID

name
  • string

资源名称

properties.alertDisplayName
  • string

警报的显示名称。

properties.alertType
  • string

检测逻辑的唯一标识符 (来自同一检测逻辑的所有警报实例将具有相同的 alertType) 。

properties.alertUri
  • string

Azure 门户中警报页的直接链接。

properties.compromisedEntity
  • string

与此警报最相关的资源的显示名称。

properties.correlationKey
  • string

与核心化相关的警报的密钥。 具有被视为相关的相同关联键的警报。

properties.description
  • string

检测到的可疑活动的说明。

properties.endTimeUtc
  • string

警报中包含的最后一个事件或活动的 UTC 时间,采用 ISO8601 格式。

properties.entities

与警报相关的实体的列表。

properties.extendedLinks
  • object[]

与警报相关的链接

properties.extendedProperties
  • object

警报的自定义属性。

properties.intent

警报背后的终止链相关意向。 有关支持的值的列表,以及Azure 安全中心终止链意向的说明。

properties.isIncident
  • boolean

此字段确定警报是否为事件(多个警报的复合分组)或单个警报。

properties.processingEndTimeUtc
  • string

警报的 UTC 处理结束时间(采用 ISO8601 格式)。

properties.productComponentName
  • string

为此警报Azure 安全中心定价层的名称。 了解更多信息: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing

properties.productName
  • string

发布此警报的产品的名称 (Azure 安全中心 Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS 等) 。

properties.remediationSteps
  • string[]

要执行以修正警报的手动操作项。

properties.resourceIdentifiers ResourceIdentifier[]:

可用于将警报引导到正确的产品公开组的资源标识符 (租户、工作区、订阅等) 。 每个警报可有多个不同类型的标识符。

properties.severity

检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。

properties.startTimeUtc
  • string

警报中包含的第一个事件或活动的 UTC 时间,采用 ISO8601 格式。

properties.status

警报的生命周期状态。

properties.systemAlertId
  • string

警报的唯一标识符。

properties.timeGeneratedUtc
  • string

以 ISO8601 格式生成警报的 UTC 时间。

properties.vendorName
  • string

引发警报的供应商的名称。

type
  • string

资源类型

AlertEntity

根据实体类型更改属性集。

Name Type Description
type
  • string

实体类型

AlertList

安全警报列表

Name Type Description
nextLink
  • string

要提取下一页的 URI。

value

描述安全警报属性。

alertSeverity

检测到的威胁的风险级别。 了解详细信息:https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified。

Name Type Description
High
  • string

Informational
  • string

信息

Low
  • string

Medium
  • string

alertStatus

警报的生命周期状态。

Name Type Description
Active
  • string

未指定值的警报被分配为"活动"

Dismissed
  • string

警报被消除为误报

Resolved
  • string

处理后关闭的警报

AzureResourceIdentifier

Azure 资源标识符。

Name Type Description
azureResourceId
  • string

收到警报的云资源的 ARM 资源标识符

type string:
  • AzureResource

每个警报可以有多个不同类型的标识符,此字段指定标识符类型。

CloudError

所有 API 的常见Azure 资源管理器,用于返回失败操作的错误详细信息。 (也遵循 OData 错误响应格式.) 。

Name Type Description
error.additionalInfo

错误其他信息。

error.code
  • string

错误代码。

error.details

错误详细信息。

error.message
  • string

错误消息。

error.target
  • string

错误目标。

CloudErrorBody

错误详细信息。

Name Type Description
additionalInfo

错误其他信息。

code
  • string

错误代码。

details

错误详细信息。

message
  • string

错误消息。

target
  • string

错误目标。

ErrorAdditionalInfo

资源管理错误其他信息。

Name Type Description
info
  • object

其他信息。

type
  • string

其他信息类型。

intent

警报背后的终止链相关意向。 有关支持的值的列表,以及Azure 安全中心终止链意向的说明。

Name Type Description
Collection
  • string

收集包含的方法让攻击者能在外泄之前标识和收集目标网络中的信息,例如敏感文件。

CommandAndControl
  • string

命令和控制策略表示攻击者如何在目标网络中与其控制的系统通信。

CredentialAccess
  • string

凭据访问指能够访问或控制企业环境中使用的系统、域或服务凭据的方法。

DefenseEvasion
  • string

防御规避策略包含攻击者可用于避开检测或其他防御措施的方法。

Discovery
  • string

发现策略包含允许攻击者了解系统和内部网络的方法。

Execution
  • string

执行策略表示允许在本地系统或远程系统上执行受攻击者控制的代码的方法。

Exfiltration
  • string

外泄策略指允许或有助于攻击者从目标网络中删除文件和信息的方法和特性。

Exploitation
  • string

漏洞利用是攻击者试图获取被攻击资源位置的阶段。 此阶段与计算主机和资源(如用户帐户、证书等)相关。

Impact
  • string

影响事件主要尝试直接降低系统、服务或网络的可用性或完整性;包括为了影响业务或操作过程而进行的数据操作活动。

InitialAccess
  • string

InitialAccess 是攻击者管理获取被攻击资源位置的阶段。

LateralMovement
  • string

横向移动包含的方法让攻击者能够访问并控制网络上的远程系统,但不一定包括在远程系统上执行工具。

Persistence
  • string

持久性指为了让威胁参与者在系统上持久存在而对该系统进行的任何访问、操作或配置更改。

PreAttack
  • string

预攻击可能是对某个资源的访问尝试,而不考虑恶意意图,也可能是在利用之前访问目标系统以收集信息的失败尝试。 此步骤通常被检测为来自网络外部的尝试,以扫描目标系统并找到一种方法。 有关预攻击阶段的更多详细信息,请参阅 MITRE pre-Att&ck 矩阵 。

PrivilegeEscalation
  • string

特权提升指允许攻击者在系统或网络上获得更高级别权限的操作的结果。

Probing
  • string

探测可以是尝试访问特定资源而不考虑恶意意图,或者尝试在利用之前获取目标系统以收集信息的失败尝试。

Unknown
  • string

Unknown

LogAnalyticsIdentifier

表示 Log Analytics 工作区范围标识符。

Name Type Description
agentId
  • string

(可选) LogAnalytics 代理 ID 报告此警报所基于的事件。

type string:
  • LogAnalytics

每个警报可以有多个不同类型的标识符,此字段指定标识符类型。

workspaceId
  • string

存储此警报的 LogAnalytics 工作区 ID。

workspaceResourceGroup
  • string

存储此警报的 LogAnalytics 工作区的 Azure 资源组

workspaceSubscriptionId
  • string

存储此警报的 LogAnalytics 工作区的 Azure 订阅 ID。