Incidents - List Alerts
Obtient toutes les alertes pour un incident.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/alerts?api-version=2024-03-01Paramètres URI
| Nom | Dans | Obligatoire | Type | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
ID de l'incident |
|
resource
|
path | True |
string |
Nom du groupe de ressources. Le nom ne respecte pas la casse. |
|
subscription
|
path | True |
string uuid |
ID de l’abonnement cible. La valeur doit être un UUID. |
|
workspace
|
path | True |
string |
Nom de l’espace de travail. Modèle d’expression régulière: |
|
api-version
|
query | True |
string |
Version de l’API à utiliser pour cette opération. |
Réponses
| Nom | Type | Description |
|---|---|---|
| 200 OK |
Ok |
|
| Other Status Codes |
Réponse d’erreur décrivant la raison de l’échec de l’opération. |
Sécurité
azure_auth
Flux OAuth2 Azure Active Directory
Type:
oauth2
Flux:
implicit
URL d’autorisation:
https://login.microsoftonline.com/common/oauth2/authorize
Étendues
| Nom | Description |
|---|---|
| user_impersonation | Emprunter l’identité de votre compte d’utilisateur |
Exemples
Get all incident alerts.
Exemple de requête
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/alerts?api-version=2024-03-01
Exemple de réponse
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"name": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "SecurityAlert",
"properties": {
"systemAlertId": "baa8a239-6fde-4ab7-a093-d09f7b75c58c",
"tactics": [],
"alertDisplayName": "myAlert",
"confidenceLevel": "Unknown",
"severity": "Low",
"vendorName": "Microsoft",
"productName": "Azure Security Center",
"alertType": "myAlert",
"processingEndTime": "2020-07-20T18:21:53.6158361Z",
"status": "New",
"endTimeUtc": "2020-07-20T18:21:53.6158361Z",
"startTimeUtc": "2020-07-20T18:21:53.6158361Z",
"timeGenerated": "2020-07-20T18:21:53.6158361Z",
"resourceIdentifiers": [
{
"type": "LogAnalytics",
"workspaceId": "c8c99641-985d-4e4e-8e91-fb3466cd0e5b",
"subscriptionId": "bd794837-4d29-4647-9105-6339bfdb4e6a",
"resourceGroup": "myRG"
}
],
"additionalData": {
"AlertMessageEnqueueTime": "2020-07-20T18:21:57.304Z"
},
"friendlyName": "myAlert"
}
}
]
}Définitions
| Nom | Description |
|---|---|
|
Alert |
La gravité de l’alerte |
|
Alert |
Le cycle de vie status de l’alerte. |
|
Attack |
Gravité des alertes créées par cette règle d’alerte. |
|
Cloud |
Structure de réponse d’erreur. |
|
Cloud |
Détails de l’erreur. |
|
Confidence |
Niveau de confiance de cette alerte. |
|
Confidence |
Les raisons de la confiance |
|
Confidence |
Le calcul du score de confiance status, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou définitif. |
|
created |
Type d’identité qui a créé la ressource. |
|
Entity |
Type de l’entité agrégée. |
|
Incident |
Liste des alertes d’incident. |
|
Kill |
Contient le mappage des phases d’intention d’alerte pour cette alerte. |
|
Security |
Représente une entité d’alerte de sécurité. |
|
system |
Métadonnées relatives à la création et à la dernière modification de la ressource. |
AlertSeverity
La gravité de l’alerte
| Nom | Type | Description |
|---|---|---|
| High |
string |
Niveau de gravité Élevé |
| Informational |
string |
Gravité des informations |
| Low |
string |
Gravité faible |
| Medium |
string |
Niveau de gravité Moyen |
AlertStatus
Le cycle de vie status de l’alerte.
| Nom | Type | Description |
|---|---|---|
| Dismissed |
string |
Alerte ignorée comme faux positif |
| InProgress |
string |
L’alerte est en cours de traitement |
| New |
string |
Nouvelle alerte |
| Resolved |
string |
Alerte fermée après la gestion |
| Unknown |
string |
Valeur inconnue |
AttackTactic
Gravité des alertes créées par cette règle d’alerte.
| Nom | Type | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Structure de réponse d’erreur.
| Nom | Type | Description |
|---|---|---|
| error |
Données d’erreur |
CloudErrorBody
Détails de l’erreur.
| Nom | Type | Description |
|---|---|---|
| code |
string |
Identificateur de l'erreur. Les codes sont invariants et sont destinés à être consommés par programmation. |
| message |
string |
Message décrivant l’erreur, destiné à être adapté à l’affichage dans une interface utilisateur. |
ConfidenceLevel
Niveau de confiance de cette alerte.
| Nom | Type | Description |
|---|---|---|
| High |
string |
Confiance élevée que l’alerte est vraiment positive malveillante |
| Low |
string |
Faible confiance, ce qui signifie que nous avons quelques doutes, cela est en effet malveillant ou fait partie d’une attaque |
| Unknown |
string |
Confiance inconnue, est la valeur par défaut |
ConfidenceReasons
Les raisons de la confiance
| Nom | Type | Description |
|---|---|---|
| reason |
string |
Description de la raison |
| reasonType |
string |
Type (catégorie) de la raison |
ConfidenceScoreStatus
Le calcul du score de confiance status, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou définitif.
| Nom | Type | Description |
|---|---|---|
| Final |
string |
Le score final a été calculé et disponible |
| InProcess |
string |
Aucun score n’a encore été défini et le calcul est en cours |
| NotApplicable |
string |
Le score ne sera pas calculé pour cette alerte, car il n’est pas pris en charge par l’analyste virtuel |
| NotFinal |
string |
Le score est calculé et affiché dans le cadre de l’alerte, mais peut être à nouveau mis à jour ultérieurement après le traitement de données supplémentaires |
createdByType
Type d’identité qui a créé la ressource.
| Nom | Type | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityKindEnum
Type de l’entité agrégée.
| Nom | Type | Description |
|---|---|---|
| Account |
string |
L’entité représente le compte dans le système. |
| AzureResource |
string |
L’entité représente la ressource Azure dans le système. |
| Bookmark |
string |
L’entité représente un signet dans le système. |
| CloudApplication |
string |
L’entité représente l’application cloud dans le système. |
| DnsResolution |
string |
L’entité représente la résolution DNS dans le système. |
| File |
string |
L’entité représente le fichier dans le système. |
| FileHash |
string |
L’entité représente le hachage de fichier dans le système. |
| Host |
string |
L’entité représente l’hôte dans le système. |
| IoTDevice |
string |
L’entité représente l’appareil IoT dans le système. |
| Ip |
string |
L’entité représente ip dans le système. |
| MailCluster |
string |
L’entité représente le cluster de messagerie dans le système. |
| MailMessage |
string |
L’entité représente un message électronique dans le système. |
| Mailbox |
string |
L’entité représente la boîte aux lettres dans le système. |
| Malware |
string |
L’entité représente un programme malveillant dans le système. |
| Process |
string |
L’entité représente le processus dans le système. |
| RegistryKey |
string |
L’entité représente la clé de Registre dans le système. |
| RegistryValue |
string |
L’entité représente la valeur du Registre dans le système. |
| SecurityAlert |
string |
L’entité représente l’alerte de sécurité dans le système. |
| SecurityGroup |
string |
L’entité représente le groupe de sécurité dans le système. |
| SubmissionMail |
string |
L’entité représente le courrier d’envoi dans le système. |
| Url |
string |
L’entité représente l’URL dans le système. |
IncidentAlertList
Liste des alertes d’incident.
| Nom | Type | Description |
|---|---|---|
| value |
Tableau d’alertes d’incident. |
KillChainIntent
Contient le mappage des phases d’intention d’alerte pour cette alerte.
| Nom | Type | Description |
|---|---|---|
| Collection |
string |
La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer. |
| CommandAndControl |
string |
La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible. |
| CredentialAccess |
string |
L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement. |
| DefenseEvasion |
string |
L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses. Parfois, ces actions sont les mêmes que ou des variantes de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulière. |
| Discovery |
string |
La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission. |
| Execution |
string |
La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau. |
| Exfiltration |
string |
L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer. |
| Exploitation |
string |
L’exploitation est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape s’applique non seulement aux hôtes de calcul, mais également aux ressources telles que les comptes d’utilisateur, les certificats, etc. Les adversaires seront souvent en mesure de contrôler la ressource après cette étape. |
| Impact |
string |
L’objectif principal de l’intention d’impact est de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau ; notamment la manipulation des données pour avoir un impact sur un processus métier ou opérationnel. Cela fait souvent référence à des techniques telles que les rançongiciels, la défacement, la manipulation des données et d’autres. |
| LateralMovement |
string |
Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des outils supplémentaires tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers des systèmes supplémentaires, l’accès à des informations ou fichiers spécifiques, l’accès à des informations d’identification supplémentaires, ou dans le but de causer un effet. |
| Persistence |
string |
La persistance est toute modification d’accès, d’action ou de configuration à un système qui donne à un adversaire une présence persistante sur ce système. Les adversaires doivent souvent maintenir l’accès aux systèmes par le biais d’interruptions telles que des redémarrages du système, la perte d’informations d’identification ou d’autres défaillances qui nécessiteraient un outil d’accès à distance pour redémarrer ou une autre porte dérobée pour qu’ils retrouvent l’accès. |
| PrivilegeEscalation |
string |
L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateurs ayant des autorisations pour accéder à certains systèmes ou exécuter des fonctions spécifiques nécessaires pour permettre aux adversaires d’atteindre leurs objectifs peuvent également être considérés comme une élévation de privilèges. |
| Probing |
string |
Le sondage peut être une tentative d’accès à une ressource donnée, quelle que soit une intention malveillante ou une tentative d’accès a échoué à un système cible pour recueillir des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative provenant de l’extérieur du réseau pour tenter d’analyser le système cible et de trouver un moyen d’y parvenir. |
| Unknown |
string |
Valeur par défaut. |
SecurityAlert
Représente une entité d’alerte de sécurité.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind | string: |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Sac de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.alertDisplayName |
string |
Nom complet de l’alerte. |
| properties.alertLink |
string |
Lien uri de l’alerte. |
| properties.alertType |
string |
Nom de type de l’alerte. |
| properties.compromisedEntity |
string |
Nom d’affichage de l’entité main signalée. |
| properties.confidenceLevel |
Niveau de confiance de cette alerte. |
|
| properties.confidenceReasons |
Les raisons de la confiance |
|
| properties.confidenceScore |
number |
Score de confiance de l’alerte. |
| properties.confidenceScoreStatus |
Le calcul du score de confiance status, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou définitif. |
|
| properties.description |
string |
Description de l’alerte. |
| properties.endTimeUtc |
string |
Heure de fin de l’impact de l’alerte (heure du dernier événement ayant contribué à l’alerte). |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible de l’élément de graphique instance. Cette propriété est facultative et peut être générée par le système. |
| properties.intent |
Contient le mappage des phases d’intention d’alerte pour cette alerte. |
|
| properties.processingEndTime |
string |
Heure à laquelle l’alerte a été mise à disposition pour la consommation. |
| properties.productComponentName |
string |
Nom d’un composant à l’intérieur du produit qui a généré l’alerte. |
| properties.productName |
string |
Nom du produit qui a publié cette alerte. |
| properties.productVersion |
string |
Version du produit générant l’alerte. |
| properties.providerAlertId |
string |
Identificateur de l’alerte à l’intérieur du produit qui a généré l’alerte. |
| properties.remediationSteps |
string[] |
Éléments d’action manuelle à mettre à jour pour corriger l’alerte. |
| properties.resourceIdentifiers |
object[] |
Liste des identificateurs de ressource de l’alerte. |
| properties.severity |
La gravité de l’alerte |
|
| properties.startTimeUtc |
string |
Heure de début de l’impact de l’alerte (heure du premier événement contribuant à l’alerte). |
| properties.status |
Le cycle de vie status de l’alerte. |
|
| properties.systemAlertId |
string |
Contient l’identificateur de produit de l’alerte pour le produit. |
| properties.tactics |
Tactiques de l’alerte |
|
| properties.timeGenerated |
string |
Heure à laquelle l’alerte a été générée. |
| properties.vendorName |
string |
Nom du fournisseur qui déclenche l’alerte. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
systemData
Métadonnées relatives à la création et à la dernière modification de la ressource.
| Nom | Type | Description |
|---|---|---|
| createdAt |
string |
Horodatage de la création de ressources (UTC). |
| createdBy |
string |
Identité qui a créé la ressource. |
| createdByType |
Type d’identité qui a créé la ressource. |
|
| lastModifiedAt |
string |
Horodatage de la dernière modification de la ressource (UTC) |
| lastModifiedBy |
string |
Identité qui a modifié la dernière ressource. |
| lastModifiedByType |
Type d’identité qui a modifié la dernière ressource. |