Alerts - Get Resource Group Level

Référence

Service:: Defender for Cloud

API Version:: 2022-01-01

Obtenir une alerte associée à un groupe de ressources ou à une ressource dans un groupe de ressources

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

Paramètres URI

Nom	Dans	Obligatoire	Type	Description
alertName	path	True	string	Nom de l’objet d’alerte
ascLocation	path	True	string	Emplacement où ASC stocke les données de l’abonnement. peut être récupéré à partir de Get locations
resourceGroupName	path	True	string	Nom du groupe de ressources dans l’abonnement de l’utilisateur. Le nom ne respecte pas la casse. Regex pattern: `^[-\w\._]+$`
subscriptionId	path	True	string	ID d’abonnement Azure Regex pattern: `^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$`
api-version	query	True	string	Version de l’API pour l’opération

Réponses

Nom	Type	Description
200 OK	Alert	Ok
Other Status Codes	CloudError	Réponse d’erreur décrivant la raison de l’échec de l’opération.

Sécurité

azure_auth

Flux OAuth2 Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Nom	Description
user_impersonation	Emprunter l’identité de votre compte d’utilisateur

Exemples

Get security alert on a resource group from a security data location

Sample Request

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a?api-version=2022-01-01


/**
 * Samples for Alerts GetResourceGroupLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertResourceGroupLocation_example.json
     */
    /**
     * Sample code: Get security alert on a resource group from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnAResourceGroupFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getResourceGroupLevelWithResponse("myRg1", "westeurope",
            "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
func ExampleAlertsClient_GetResourceGroupLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetResourceGroupLevel(ctx, "myRg1", "westeurope", "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"supportingEvidenceList": []any{
	// 							map[string]any{
	// 								"type": "nestedList",
	// 								"evidenceElements":[]any{
	// 									map[string]any{
	// 										"type": "evidenceElement",
	// 										"innerElements": nil,
	// 										"text":map[string]any{
	// 											"arguments":map[string]any{
	// 												"domainName":map[string]any{
	// 													"type": "string",
	// 													"value": "domainName",
	// 												},
	// 												"sensitiveEnumerationTypes":map[string]any{
	// 													"type": "string[]",
	// 													"value":[]any{
	// 														"UseDesKey",
	// 													},
	// 												},
	// 											},
	// 											"fallback": "Actor enumerated UseDesKey on domain1.test.local",
	// 											"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
	// 										},
	// 									},
	// 								},
	// 							},
	// 							map[string]any{
	// 								"type": "tabularEvidences",
	// 								"columns":[]any{
	// 									"Date",
	// 									"Activity",
	// 									"User",
	// 									"TestedText",
	// 									"TestedValue",
	// 								},
	// 								"rows":[]any{
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser2",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser3",
	// 										"true",
	// 										true,
	// 									},
	// 								},
	// 								"title": "Investigate activity test",
	// 							},
	// 						},
	// 					},
	// 					Type: to.Ptr("supportingEvidenceList"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated a resource group or a resource in a resource group
 *
 * @summary Get an alert that is associated a resource group or a resource in a resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
 */
async function getSecurityAlertOnAResourceGroupFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const ascLocation = "westeurope";
  const alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getResourceGroupLevel(
    resourceGroupName,
    ascLocation,
    alertName,
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
// this example is just showing the usage of "Alerts_GetResourceGroupLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://zcusa.951200.xyz/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupSecurityAlertResource created on azure
// for more information of creating ResourceGroupSecurityAlertResource, please refer to the document of ResourceGroupSecurityAlertResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
AzureLocation ascLocation = new AzureLocation("westeurope");
string alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
ResourceIdentifier resourceGroupSecurityAlertResourceId = ResourceGroupSecurityAlertResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, ascLocation, alertName);
ResourceGroupSecurityAlertResource resourceGroupSecurityAlert = client.GetResourceGroupSecurityAlertResource(resourceGroupSecurityAlertResourceId);

// invoke the operation
ResourceGroupSecurityAlertResource result = await resourceGroupSecurityAlert.GetAsync();

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
SecurityAlertData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:: 200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "supportingEvidenceList": [
        {
          "evidenceElements": [
            {
              "text": {
                "arguments": {
                  "sensitiveEnumerationTypes": {
                    "type": "string[]",
                    "value": [
                      "UseDesKey"
                    ]
                  },
                  "domainName": {
                    "type": "string",
                    "value": "domainName"
                  }
                },
                "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                "fallback": "Actor enumerated UseDesKey on domain1.test.local"
              },
              "type": "evidenceElement",
              "innerElements": null
            }
          ],
          "type": "nestedList"
        },
        {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      ],
      "type": "supportingEvidenceList"
    }
  }
}

Définitions

Nom	Description
Alert	Alerte de sécurité
AlertEntity	Modification du jeu de propriétés en fonction du type d’entité.
alertSeverity	Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	Cycle de vie status de l’alerte.
AzureResourceIdentifier	Identificateur de ressource Azure.
CloudError	Réponse d’erreur courante pour toutes les API Azure Resource Manager pour retourner les détails de l’erreur concernant les opérations ayant échoué. (Cela suit également le format de réponse d’erreur OData.).
CloudErrorBody	Détail de l’erreur.
ErrorAdditionalInfo	Informations supplémentaires sur l’erreur de gestion des ressources.
intent	Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.
LogAnalyticsIdentifier	Représente un identificateur d’étendue d’espace de travail Log Analytics.
SupportingEvidence	Modification du jeu de propriétés en fonction du type supportingEvidence.

Alert

Alerte de sécurité

Nom	Type	Description
id	string	ID de ressource
name	string	Nom de la ressource
properties.alertDisplayName	string	Nom complet de l’alerte.
properties.alertType	string	Identificateur unique pour la logique de détection (toutes les instances d’alerte de la même logique de détection auront le même type d’alerte).
properties.alertUri	string	Lien direct vers la page d’alerte dans le portail Azure.
properties.compromisedEntity	string	Nom complet de la ressource la plus pertinente par rapport à cette alerte.
properties.correlationKey	string	Clé pour la corrélation des alertes associées. Alertes avec la même clé de corrélation considérée comme liée.
properties.description	string	Description de l’activité suspecte détectée.
properties.endTimeUtc	string	Heure UTC du dernier événement ou activité inclus dans l’alerte au format ISO8601.
properties.entities	AlertEntity[]	Liste des entités liées à l’alerte.
properties.extendedLinks	object[]	Liens liés à l’alerte
properties.extendedProperties	object	Propriétés personnalisées pour l’alerte.
properties.intent	intent	Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.
properties.isIncident	boolean	Ce champ détermine si l’alerte est un incident (regroupement composé de plusieurs alertes) ou une alerte unique.
properties.processingEndTimeUtc	string	Heure de fin de traitement UTC de l’alerte au format ISO8601.
properties.productComponentName	string	Nom de Azure Security Center niveau tarifaire qui alimente cette alerte. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	Nom du produit qui a publié cette alerte (Microsoft Sentinel, Microsoft Defender pour Identity, Microsoft Defender pour point de terminaison, Microsoft Defender pour Office, Microsoft Defender for Cloud Apps, etc.).
properties.remediationSteps	string[]	Éléments d’action manuelle à mettre à jour pour corriger l’alerte.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Identificateurs de ressource qui peuvent être utilisés pour diriger l’alerte vers le groupe d’exposition de produit approprié (locataire, espace de travail, abonnement, etc.). Il peut y avoir plusieurs identificateurs de type différent par alerte.
properties.severity	alertSeverity	Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	Heure UTC du premier événement ou activité inclus dans l’alerte au format ISO8601.
properties.status	alertStatus	Cycle de vie status de l’alerte.
properties.subTechniques	string[]	Tuer les sous-techniques liées à la chaîne derrière l’alerte.
properties.supportingEvidence	SupportingEvidence	Modification du jeu de propriétés en fonction du type supportingEvidence.
properties.systemAlertId	string	Identificateur unique de l’alerte.
properties.techniques	string[]	tuer les techniques liées à la chaîne derrière l’alerte.
properties.timeGeneratedUtc	string	Heure UTC à laquelle l’alerte a été générée au format ISO8601.
properties.vendorName	string	Nom du fournisseur qui a déclenché l’alerte.
properties.version	string	Version du schéma.
type	string	Type de ressource

AlertEntity

Modification du jeu de propriétés en fonction du type d’entité.

Nom	Type	Description
type	string	Type d’entité

alertSeverity

Niveau de risque de la menace détectée. En savoir plus : https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Nom	Type	Description
High	string	Élevé
Informational	string	Informationnel
Low	string	Faible
Medium	string	Moyenne

alertStatus

Cycle de vie status de l’alerte.

Nom	Type	Description
Active	string	Une alerte qui ne spécifie pas de valeur se voit attribuer le status « Active »
Dismissed	string	Alerte ignorée comme faux positif
InProgress	string	Une alerte à l’état de gestion
Resolved	string	Alerte fermée après gestion

AzureResourceIdentifier

Identificateur de ressource Azure.

Nom	Type	Description
azureResourceId	string	Identificateur de ressource ARM pour la ressource cloud en cours d’alerte sur
type	string: AzureResource	Il peut y avoir plusieurs identificateurs de type différent par alerte. Ce champ spécifie le type d’identificateur.

CloudError

Réponse d’erreur courante pour toutes les API Azure Resource Manager pour retourner les détails de l’erreur concernant les opérations ayant échoué. (Cela suit également le format de réponse d’erreur OData.).

Nom	Type	Description
error.additionalInfo	ErrorAdditionalInfo[]	Informations supplémentaires sur l’erreur.
error.code	string	Code d'erreur.
error.details	CloudErrorBody[]	Détails de l’erreur.
error.message	string	Message d’erreur.
error.target	string	Cible d’erreur.

CloudErrorBody

Détail de l’erreur.

Nom	Type	Description
additionalInfo	ErrorAdditionalInfo[]	Informations supplémentaires sur l’erreur.
code	string	Code d'erreur.
details	CloudErrorBody[]	Détails de l’erreur.
message	string	Message d’erreur.
target	string	Cible d’erreur.

ErrorAdditionalInfo

Informations supplémentaires sur l’erreur de gestion des ressources.

Nom	Type	Description
info	object	Informations supplémentaires
type	string	Type d’informations supplémentaires.

intent

Intention de la chaîne de destruction derrière l’alerte. Pour obtenir la liste des valeurs prises en charge et des explications des intentions de chaîne de destruction prises en charge par Azure Security Center.

Nom	Type	Description
Collection	string	La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration.
CommandAndControl	string	La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
CredentialAccess	string	L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise.
DefenseEvasion	string	L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses.
Discovery	string	La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne.
Execution	string	La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant.
Exfiltration	string	L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible.
Exploitation	string	L’exploitation est l’étape dans laquelle une personne malveillante parvient à accéder à la ressource attaquée. Cette étape concerne notamment les hôtes de calcul et les ressources telles que les comptes d’utilisateurs, les certificats, etc.
Impact	string	Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel.
InitialAccess	string	InitialAccess est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée.
LateralMovement	string	Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants.
Persistence	string	La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système.
PreAttack	string	La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. Cette étape est généralement détectée comme une tentative, provenant de l’extérieur du réseau, d’analyser le système cible et de trouver un chemin. Vous pouvez lire plus d’informations sur la phase PreAttack dans la matrice MITRE Pre-Att&ck.
PrivilegeEscalation	string	L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau.
Probing	string	La détection peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter.
Unknown	string	Unknown

LogAnalyticsIdentifier

Représente un identificateur d’étendue d’espace de travail Log Analytics.

Nom	Type	Description
agentId	string	(facultatif) ID de l’agent LogAnalytics signalant l’événement sur lequel cette alerte est basée.
type	string: LogAnalytics	Il peut y avoir plusieurs identificateurs de type différent par alerte. Ce champ spécifie le type d’identificateur.
workspaceId	string	ID de l’espace de travail LogAnalytics qui stocke cette alerte.
workspaceResourceGroup	string	Groupe de ressources Azure pour l’espace de travail LogAnalytics qui stocke cette alerte
workspaceSubscriptionId	string	ID d’abonnement Azure pour l’espace de travail LogAnalytics qui stocke cette alerte.

SupportingEvidence

Modification du jeu de propriétés en fonction du type supportingEvidence.

Nom	Type	Description
type	string	Type de l’élément supportingEvidence

Partager via

Alerts - Get Resource Group Level

Paramètres URI

Réponses

Sécurité

azure_auth

Scopes

Exemples

Get security alert on a resource group from a security data location

Sample Request

Sample Response

Définitions

Alert

AlertEntity

alertSeverity

alertStatus

AzureResourceIdentifier

CloudError

CloudErrorBody

ErrorAdditionalInfo

intent

LogAnalyticsIdentifier

SupportingEvidence

Ressources supplémentaires