Alerts - Get Subscription Level

Riferimento

Servizio:: Defender for Cloud

Versione API:: 2022-01-01

Ottenere un avviso associato a una sottoscrizione

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

Parametri dell'URI

Nome	In	Necessario	Tipo	Descrizione
alertName	path	True	string	Nome dell'oggetto avviso
ascLocation	path	True	string	Percorso in cui il Centro sicurezza di Azure archivia i dati della sottoscrizione. può essere recuperato da Recupera posizioni
subscriptionId	path	True	string	ID sottoscrizione di Azure Criterio di espressione regolare: `^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$`
api-version	query	True	string	Versione dell'API per l'operazione

Risposte

Nome	Tipo	Descrizione
200 OK	Alert	OK
Other Status Codes	CloudError	Risposta di errore che descrive il motivo per cui l'operazione non è riuscita.

Sicurezza

azure_auth

Flusso OAuth2 di Azure Active Directory

Tipo: oauth2
Flow: implicit
URL di autorizzazione: https://login.microsoftonline.com/common/oauth2/authorize

Ambiti

Nome	Descrizione
user_impersonation	rappresentare l'account utente

Esempio

Get security alert on a subscription from a security data location

Esempio di richiesta

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA?api-version=2022-01-01


/**
 * Samples for Alerts GetSubscriptionLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertSubscriptionLocation_example.json
     */
    /**
     * Sample code: Get security alert on a subscription from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnASubscriptionFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getSubscriptionLevelWithResponse("westeurope",
            "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
func ExampleAlertsClient_GetSubscriptionLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetSubscriptionLevel(ctx, "westeurope", "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"columns": []any{
	// 							"Date",
	// 							"Activity",
	// 							"User",
	// 							"TestedText",
	// 							"TestedValue",
	// 						},
	// 						"rows": []any{
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser2",
	// 								"false",
	// 								false,
	// 							},
	// 							[]any{
	// 								"2022-01-17T07:03:52.034Z",
	// 								"Log on",
	// 								"testUser3",
	// 								"true",
	// 								true,
	// 							},
	// 						},
	// 						"title": "Investigate activity test",
	// 					},
	// 					Type: to.Ptr("tabularEvidences"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated with a subscription
 *
 * @summary Get an alert that is associated with a subscription
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
 */
async function getSecurityAlertOnASubscriptionFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const ascLocation = "westeurope";
  const alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getSubscriptionLevel(ascLocation, alertName);
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;
using Azure.ResourceManager.SecurityCenter.Models;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertSubscriptionLocation_example.json
// this example is just showing the usage of "Alerts_GetSubscriptionLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this SecurityCenterLocationResource created on azure
// for more information of creating SecurityCenterLocationResource, please refer to the document of SecurityCenterLocationResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
AzureLocation ascLocation = new AzureLocation("westeurope");
ResourceIdentifier securityCenterLocationResourceId = SecurityCenterLocationResource.CreateResourceIdentifier(subscriptionId, ascLocation);
SecurityCenterLocationResource securityCenterLocation = client.GetSecurityCenterLocationResource(securityCenterLocationResourceId);

// get the collection of this SubscriptionSecurityAlertResource
SubscriptionSecurityAlertCollection collection = securityCenterLocation.GetSubscriptionSecurityAlerts();

// invoke the operation
string alertName = "2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA";
NullableResponse<SubscriptionSecurityAlertResource> response = await collection.GetIfExistsAsync(alertName);
SubscriptionSecurityAlertResource result = response.HasValue ? response.Value : null;

if (result == null)
{
    Console.WriteLine($"Succeeded with null as result");
}
else
{
    // the variable result is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityAlertData resourceData = result.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Risposta di esempio

Codice di stato:: 200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "type": "tabularEvidences",
      "title": "Investigate activity test",
      "columns": [
        "Date",
        "Activity",
        "User",
        "TestedText",
        "TestedValue"
      ],
      "rows": [
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser2",
          "false",
          false
        ],
        [
          "2022-01-17T07:03:52.034Z",
          "Log on",
          "testUser3",
          "true",
          true
        ]
      ]
    }
  }
}

Definizioni

Nome	Descrizione
Alert	Avviso di sicurezza
AlertEntity	Modifica del set di proprietà a seconda del tipo di entità.
alertSeverity	Livello di rischio della minaccia rilevata. Altre informazioni: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	Stato del ciclo di vita dell'avviso.
AzureResourceIdentifier	Identificatore di risorsa di Azure.
CloudError	Risposta di errore comune per tutte le API di Azure Resource Manager per restituire i dettagli dell'errore per le operazioni non riuscite. Questo segue anche il formato di risposta di errore OData.
CloudErrorBody	Dettagli dell'errore.
ErrorAdditionalInfo	Informazioni aggiuntive sull'errore di gestione delle risorse.
intent	Finalità correlata alla kill chain dietro l'avviso. Per un elenco di valori supportati e spiegazioni delle finalità della catena di terminazioni supportate del Centro sicurezza di Azure.
LogAnalyticsIdentifier	Rappresenta un identificatore di ambito dell'area di lavoro Log Analytics.
SupportingEvidence	Modifica del set di proprietà in base al tipo di supportoEvidence.

Alert

Avviso di sicurezza

Nome	Tipo	Descrizione
id	string	ID risorsa
name	string	Nome risorsa
properties.alertDisplayName	string	Nome visualizzato dell'avviso.
properties.alertType	string	Identificatore univoco per la logica di rilevamento (tutte le istanze di avviso della stessa logica di rilevamento avranno lo stesso alertType).
properties.alertUri	string	Collegamento diretto alla pagina di avviso nel portale di Azure.
properties.compromisedEntity	string	Nome visualizzato della risorsa più correlata a questo avviso.
properties.correlationKey	string	Chiave per la correlazione degli avvisi correlati. Avvisi con la stessa chiave di correlazione considerata correlata.
properties.description	string	Descrizione dell'attività sospetta rilevata.
properties.endTimeUtc	string	Ora UTC dell'ultimo evento o dell'attività inclusa nell'avviso in formato ISO8601.
properties.entities	AlertEntity[]	Elenco di entità correlate all'avviso.
properties.extendedLinks	object[]	Collegamenti correlati all'avviso
properties.extendedProperties	object	Proprietà personalizzate per l'avviso.
properties.intent	intent	Finalità correlata alla kill chain dietro l'avviso. Per un elenco di valori supportati e spiegazioni delle finalità della catena di terminazioni supportate del Centro sicurezza di Azure.
properties.isIncident	boolean	Questo campo determina se l'avviso è un evento imprevisto (un raggruppamento composto di diversi avvisi) o un singolo avviso.
properties.processingEndTimeUtc	string	Ora di fine dell'elaborazione UTC dell'avviso nel formato ISO8601.
properties.productComponentName	string	Nome del piano tariffario del Centro sicurezza di Azure che alimenta questo avviso. Altre informazioni: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	Nome del prodotto che ha pubblicato questo avviso (Microsoft Sentinel, Microsoft Defender per identità, Microsoft Defender per endpoint, Microsoft Defender per Office, Microsoft Defender for Cloud Apps e così via).
properties.remediationSteps	string[]	Elementi di azione manuali da intraprendere per correggere l'avviso.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	Identificatori di risorsa che possono essere usati per indirizzare l'avviso al gruppo di esposizione del prodotto corretto (tenant, area di lavoro, sottoscrizione e così via). Possono essere presenti più identificatori di tipo diverso per ogni avviso.
properties.severity	alertSeverity	Livello di rischio della minaccia rilevata. Altre informazioni: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	Ora UTC del primo evento o dell'attività inclusa nell'avviso in formato ISO8601.
properties.status	alertStatus	Stato del ciclo di vita dell'avviso.
properties.subTechniques	string[]	Tecniche secondarie correlate alla catena di kill dietro l'avviso.
properties.supportingEvidence	SupportingEvidence	Modifica del set di proprietà in base al tipo di supportoEvidence.
properties.systemAlertId	string	Identificatore univoco per l'avviso.
properties.techniques	string[]	tecniche correlate alla kill chain dietro l'avviso.
properties.timeGeneratedUtc	string	Ora UTC in cui l'avviso è stato generato nel formato ISO8601.
properties.vendorName	string	Nome del fornitore che genera l'avviso.
properties.version	string	Versione dello schema.
type	string	Tipo di risorsa

AlertEntity

Modifica del set di proprietà a seconda del tipo di entità.

Nome	Tipo	Descrizione
type	string	Tipo di entità

alertSeverity

Livello di rischio della minaccia rilevata. Altre informazioni: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Nome	Tipo	Descrizione
High	string	Alto
Informational	string	Informativo
Low	string	Basso
Medium	string	Medio

alertStatus

Stato del ciclo di vita dell'avviso.

Nome	Tipo	Descrizione
Active	string	A un avviso che non specifica un valore viene assegnato lo stato 'Active'
Dismissed	string	Avviso ignorato come falso positivo
InProgress	string	Un avviso che si trova nello stato di gestione
Resolved	string	Avviso chiuso dopo la gestione

AzureResourceIdentifier

Identificatore di risorsa di Azure.

Nome	Tipo	Descrizione
azureResourceId	string	Identificatore di risorsa ARM per la risorsa cloud in cui viene visualizzato un avviso
type	string: AzureResource	Possono essere presenti più identificatori di tipo diverso per ogni avviso. Questo campo specifica il tipo di identificatore.

CloudError

Risposta di errore comune per tutte le API di Azure Resource Manager per restituire i dettagli dell'errore per le operazioni non riuscite. Questo segue anche il formato di risposta di errore OData.

Nome	Tipo	Descrizione
error.additionalInfo	ErrorAdditionalInfo[]	Informazioni aggiuntive sull'errore.
error.code	string	Codice di errore.
error.details	CloudErrorBody[]	Dettagli dell'errore.
error.message	string	Messaggio di errore.
error.target	string	Destinazione dell'errore.

CloudErrorBody

Dettagli dell'errore.

Nome	Tipo	Descrizione
additionalInfo	ErrorAdditionalInfo[]	Informazioni aggiuntive sull'errore.
code	string	Codice di errore.
details	CloudErrorBody[]	Dettagli dell'errore.
message	string	Messaggio di errore.
target	string	Destinazione dell'errore.

ErrorAdditionalInfo

Informazioni aggiuntive sull'errore di gestione delle risorse.

Nome	Tipo	Descrizione
info	object	Informazioni aggiuntive.
type	string	Tipo di informazioni aggiuntive.

intent

Finalità correlata alla kill chain dietro l'avviso. Per un elenco di valori supportati e spiegazioni delle finalità della catena di terminazioni supportate del Centro sicurezza di Azure.

Nome	Tipo	Descrizione
Collection	string	La raccolta è costituita da tecniche usate per identificare e raccogliere informazioni, ad esempio i file sensibili, da una rete di destinazione prima dell'esfiltrazione.
CommandAndControl	string	La tattica di comando e controllo rappresenta il modo in cui gli avversari comunicano con i sistemi sotto il loro controllo all'interno di una rete di destinazione.
CredentialAccess	string	L'accesso alle credenziali rappresenta tecniche che consentono di accedere o controllare le credenziali di sistema, dominio o servizio usate all'interno di un ambiente aziendale.
DefenseEvasion	string	L'evasione della difesa è costituita da tecniche che un avversario può usare per eludere il rilevamento o evitare altre difese.
Discovery	string	L'individuazione è costituita da tecniche che consentono all'antagonista di acquisire informazioni sul sistema e sulla rete interna.
Execution	string	La tattica di esecuzione rappresenta tecniche che comportano l'esecuzione di codice controllato da avversari in un sistema locale o remoto.
Exfiltration	string	L'esfiltrazione si riferisce a tecniche e attributi che determinano o facilitano la rimozione di file e informazioni da una rete di destinazione.
Exploitation	string	Lo sfruttamento è la fase in cui un utente malintenzionato riesce a ottenere un punto di appoggio sulla risorsa attaccata. Questa fase è rilevante per gli host di calcolo e le risorse, ad esempio account utente, certificati e così via.
Impact	string	Gli eventi di impatto tentano principalmente di ridurre direttamente la disponibilità o l'integrità di un sistema, di un servizio o di una rete; inclusa la manipolazione dei dati per influire su un processo aziendale o operativo.
InitialAccess	string	InitialAccess è la fase in cui un utente malintenzionato riesce a ottenere il piè di pagina sulla risorsa attaccata.
LateralMovement	string	Lo spostamento laterale è costituito da tecniche che consentono a un antagonista di accedere e controllare i sistemi remoti in una rete e, ma non necessariamente, includono l'esecuzione di strumenti nei sistemi remoti.
Persistence	string	La persistenza è qualsiasi modifica di accesso, azione o configurazione in un sistema che fornisce a un attore di minaccia una presenza permanente in tale sistema.
PreAttack	string	PreAttack potrebbe essere un tentativo di accedere a una determinata risorsa indipendentemente da una finalità dannosa o un tentativo non riuscito di ottenere l'accesso a un sistema di destinazione per raccogliere informazioni prima dello sfruttamento. Questo passaggio viene in genere rilevato come tentativo, proveniente dall'esterno della rete, di analizzare il sistema di destinazione e trovare un modo in. Altre informazioni sulla fase preattack possono essere lette in matrice MITRE Pre-Att&ck.
PrivilegeEscalation	string	L'escalation dei privilegi è il risultato di azioni che consentono a un antagonista di ottenere un livello superiore di autorizzazioni in un sistema o in una rete.
Probing	string	Il probe potrebbe essere un tentativo di accedere a una determinata risorsa indipendentemente da una finalità dannosa o un tentativo non riuscito di ottenere l'accesso a un sistema di destinazione per raccogliere informazioni prima dello sfruttamento.
Unknown	string	Sconosciuto

LogAnalyticsIdentifier

Rappresenta un identificatore di ambito dell'area di lavoro Log Analytics.

Nome	Tipo	Descrizione
agentId	string	(facoltativo) ID agente LogAnalytics che segnala l'evento su cui si basa l'avviso.
type	string: LogAnalytics	Possono essere presenti più identificatori di tipo diverso per ogni avviso. Questo campo specifica il tipo di identificatore.
workspaceId	string	ID dell'area di lavoro LogAnalytics in cui è archiviato l'avviso.
workspaceResourceGroup	string	Gruppo di risorse di Azure per l'area di lavoro LogAnalytics che archivia questo avviso
workspaceSubscriptionId	string	ID sottoscrizione di Azure per l'area di lavoro LogAnalytics che archivia questo avviso.

SupportingEvidence

Modifica del set di proprietà in base al tipo di supportoEvidence.

Nome	Tipo	Descrizione
type	string	Tipo di supportoEvidence

Condividi tramite

Alerts - Get Subscription Level

Parametri dell'URI

Risposte

Sicurezza

azure_auth

Ambiti

Esempio

Get security alert on a subscription from a security data location

Esempio di richiesta

Risposta di esempio

Definizioni

Alert

AlertEntity

alertSeverity

alertStatus

AzureResourceIdentifier

CloudError

CloudErrorBody

ErrorAdditionalInfo

intent

LogAnalyticsIdentifier

SupportingEvidence

Risorse aggiuntive