Alerts - Get Resource Group Level

참조

서비스:: Defender for Cloud

API 버전:: 2022-01-01

리소스 그룹의 리소스 그룹 또는 리소스와 연결된 경고 가져오기

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/locations/{ascLocation}/alerts/{alertName}?api-version=2022-01-01

URI 매개 변수

Name	In(다음 안에)	필수	형식	Description
alertName	path	True	string	경고 개체의 이름
ascLocation	path	True	string	ASC가 구독의 데이터를 저장하는 위치입니다. 위치 가져오기에서 검색할 수 있습니다.
resourceGroupName	path	True	string	사용자의 구독 내에 있는 리소스 그룹의 이름입니다. 이름은 대/소문자를 구분하지 않습니다. regex 패턴: `^[-\w\._]+$`
subscriptionId	path	True	string	Azure 구독 ID regex 패턴: `^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$`
api-version	query	True	string	작업에 대한 API 버전

응답

Name	형식	Description
200 OK	Alert	그래
Other Status Codes	CloudError	작업이 실패한 이유를 설명하는 오류 응답입니다.

보안

azure_auth

Azure Active Directory OAuth2 Flow

형식: oauth2
Flow: implicit
권한 부여 URL: https://login.microsoftonline.com/common/oauth2/authorize

범위

Name	Description
user_impersonation	사용자 계정 가장

예제

Get security alert on a resource group from a security data location

샘플 요청

GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a?api-version=2022-01-01


/**
 * Samples for Alerts GetResourceGroupLevel.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/
     * GetAlertResourceGroupLocation_example.json
     */
    /**
     * Sample code: Get security alert on a resource group from a security data location.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void getSecurityAlertOnAResourceGroupFromASecurityDataLocation(
        com.azure.resourcemanager.security.SecurityManager manager) {
        manager.alerts().getResourceGroupLevelWithResponse("myRg1", "westeurope",
            "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
func ExampleAlertsClient_GetResourceGroupLevel() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAlertsClient().GetResourceGroupLevel(ctx, "myRg1", "westeurope", "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a", nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Alert = armsecurity.Alert{
	// 	Name: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 	Type: to.Ptr("Microsoft.Security/Locations/alerts"),
	// 	ID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA"),
	// 	Properties: &armsecurity.AlertProperties{
	// 		Description: to.Ptr("This is a test alert generated by Azure Security Center. No further action is needed."),
	// 		AlertDisplayName: to.Ptr("Azure Security Center test alert (not a threat)"),
	// 		AlertType: to.Ptr("VM_EICAR"),
	// 		AlertURI: to.Ptr("https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope"),
	// 		CompromisedEntity: to.Ptr("vm1"),
	// 		CorrelationKey: to.Ptr("kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk="),
	// 		EndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 		Entities: []*armsecurity.AlertEntity{
	// 			{
	// 				AdditionalProperties: map[string]any{
	// 					"address": "192.0.2.1",
	// 					"location": map[string]any{
	// 						"asn": float64(6584),
	// 						"city": "sonning",
	// 						"countryCode": "gb",
	// 						"latitude": float64(51.468),
	// 						"longitude": float64(-0.909),
	// 						"state": "wokingham",
	// 					},
	// 				},
	// 				Type: to.Ptr("ip"),
	// 		}},
	// 		ExtendedLinks: []map[string]*string{
	// 			map[string]*string{
	// 				"Category": to.Ptr("threat_reports"),
	// 				"Href": to.Ptr("https://contoso.com/reports/DisplayReport"),
	// 				"Label": to.Ptr("Report: RDP Brute Forcing"),
	// 				"Type": to.Ptr("webLink"),
	// 		}},
	// 		ExtendedProperties: map[string]*string{
	// 			"Property1": to.Ptr("Property1 information"),
	// 		},
	// 		Intent: to.Ptr(armsecurity.IntentExecution),
	// 		IsIncident: to.Ptr(true),
	// 		ProcessingEndTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.920Z"); return t}()),
	// 		ProductComponentName: to.Ptr("testName"),
	// 		ProductName: to.Ptr("Azure Security Center"),
	// 		RemediationSteps: []*string{
	// 			to.Ptr("No further action is needed.")},
	// 			ResourceIdentifiers: []armsecurity.ResourceIdentifierClassification{
	// 				&armsecurity.AzureResourceIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeAzureResource),
	// 					AzureResourceID: to.Ptr("/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1"),
	// 				},
	// 				&armsecurity.LogAnalyticsIdentifier{
	// 					Type: to.Ptr(armsecurity.ResourceIdentifierTypeLogAnalytics),
	// 					AgentID: to.Ptr("75724a01-f021-4aa8-9ec2-329792373e6e"),
	// 					WorkspaceID: to.Ptr("f419f624-acad-4d89-b86d-f62fa387f019"),
	// 					WorkspaceResourceGroup: to.Ptr("myRg1"),
	// 					WorkspaceSubscriptionID: to.Ptr("20ff7fc3-e762-44dd-bd96-b71116dcdc23"),
	// 			}},
	// 			Severity: to.Ptr(armsecurity.AlertSeverityHigh),
	// 			StartTimeUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-22T00:00:00.000Z"); return t}()),
	// 			Status: to.Ptr(armsecurity.AlertStatusActive),
	// 			SubTechniques: []*string{
	// 				to.Ptr("T1059.001"),
	// 				to.Ptr("T1059.006"),
	// 				to.Ptr("T1053.002")},
	// 				SupportingEvidence: &armsecurity.AlertPropertiesSupportingEvidence{
	// 					AdditionalProperties: map[string]any{
	// 						"supportingEvidenceList": []any{
	// 							map[string]any{
	// 								"type": "nestedList",
	// 								"evidenceElements":[]any{
	// 									map[string]any{
	// 										"type": "evidenceElement",
	// 										"innerElements": nil,
	// 										"text":map[string]any{
	// 											"arguments":map[string]any{
	// 												"domainName":map[string]any{
	// 													"type": "string",
	// 													"value": "domainName",
	// 												},
	// 												"sensitiveEnumerationTypes":map[string]any{
	// 													"type": "string[]",
	// 													"value":[]any{
	// 														"UseDesKey",
	// 													},
	// 												},
	// 											},
	// 											"fallback": "Actor enumerated UseDesKey on domain1.test.local",
	// 											"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
	// 										},
	// 									},
	// 								},
	// 							},
	// 							map[string]any{
	// 								"type": "tabularEvidences",
	// 								"columns":[]any{
	// 									"Date",
	// 									"Activity",
	// 									"User",
	// 									"TestedText",
	// 									"TestedValue",
	// 								},
	// 								"rows":[]any{
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser2",
	// 										"false",
	// 										false,
	// 									},
	// 									[]any{
	// 										"2022-01-17T07:03:52.034Z",
	// 										"Log on",
	// 										"testUser3",
	// 										"true",
	// 										true,
	// 									},
	// 								},
	// 								"title": "Investigate activity test",
	// 							},
	// 						},
	// 					},
	// 					Type: to.Ptr("supportingEvidenceList"),
	// 				},
	// 				SystemAlertID: to.Ptr("2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a"),
	// 				Techniques: []*string{
	// 					to.Ptr("T1059"),
	// 					to.Ptr("T1053"),
	// 					to.Ptr("T1072")},
	// 					TimeGeneratedUTC: to.Ptr(func() time.Time { t, _ := time.Parse(time.RFC3339Nano, "2020-02-23T13:47:58.000Z"); return t}()),
	// 					VendorName: to.Ptr("Microsoft"),
	// 					Version: to.Ptr("2022-01-01"),
	// 				},
	// 			}
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Get an alert that is associated a resource group or a resource in a resource group
 *
 * @summary Get an alert that is associated a resource group or a resource in a resource group
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
 */
async function getSecurityAlertOnAResourceGroupFromASecurityDataLocation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "myRg1";
  const ascLocation = "westeurope";
  const alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.alerts.getResourceGroupLevel(
    resourceGroupName,
    ascLocation,
    alertName,
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.SecurityCenter;

// Generated from example definition: specification/security/resource-manager/Microsoft.Security/stable/2022-01-01/examples/Alerts/GetAlertResourceGroupLocation_example.json
// this example is just showing the usage of "Alerts_GetResourceGroupLevel" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this ResourceGroupSecurityAlertResource created on azure
// for more information of creating ResourceGroupSecurityAlertResource, please refer to the document of ResourceGroupSecurityAlertResource
string subscriptionId = "20ff7fc3-e762-44dd-bd96-b71116dcdc23";
string resourceGroupName = "myRg1";
AzureLocation ascLocation = new AzureLocation("westeurope");
string alertName = "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a";
ResourceIdentifier resourceGroupSecurityAlertResourceId = ResourceGroupSecurityAlertResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, ascLocation, alertName);
ResourceGroupSecurityAlertResource resourceGroupSecurityAlert = client.GetResourceGroupSecurityAlertResource(resourceGroupSecurityAlertResourceId);

// invoke the operation
ResourceGroupSecurityAlertResource result = await resourceGroupSecurityAlert.GetAsync();

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
SecurityAlertData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

샘플 응답

상태 코드:: 200

{
  "id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
  "name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
  "type": "Microsoft.Security/Locations/alerts",
  "properties": {
    "version": "2022-01-01",
    "alertType": "VM_EICAR",
    "systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
    "productComponentName": "testName",
    "alertDisplayName": "Azure Security Center test alert (not a threat)",
    "description": "This is a test alert generated by Azure Security Center. No further action is needed.",
    "severity": "High",
    "intent": "Execution",
    "startTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "endTimeUtc": "2020-02-22T00:00:00.0000000Z",
    "resourceIdentifiers": [
      {
        "azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
        "type": "AzureResource"
      },
      {
        "workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
        "workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
        "workspaceResourceGroup": "myRg1",
        "agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
        "type": "LogAnalytics"
      }
    ],
    "remediationSteps": [
      "No further action is needed."
    ],
    "vendorName": "Microsoft",
    "status": "Active",
    "extendedLinks": [
      {
        "Category": "threat_reports",
        "Label": "Report: RDP Brute Forcing",
        "Href": "https://contoso.com/reports/DisplayReport",
        "Type": "webLink"
      }
    ],
    "alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
    "timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
    "productName": "Azure Security Center",
    "processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
    "entities": [
      {
        "address": "192.0.2.1",
        "location": {
          "countryCode": "gb",
          "state": "wokingham",
          "city": "sonning",
          "longitude": -0.909,
          "latitude": 51.468,
          "asn": 6584
        },
        "type": "ip"
      }
    ],
    "isIncident": true,
    "correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
    "extendedProperties": {
      "Property1": "Property1 information"
    },
    "compromisedEntity": "vm1",
    "techniques": [
      "T1059",
      "T1053",
      "T1072"
    ],
    "subTechniques": [
      "T1059.001",
      "T1059.006",
      "T1053.002"
    ],
    "supportingEvidence": {
      "supportingEvidenceList": [
        {
          "evidenceElements": [
            {
              "text": {
                "arguments": {
                  "sensitiveEnumerationTypes": {
                    "type": "string[]",
                    "value": [
                      "UseDesKey"
                    ]
                  },
                  "domainName": {
                    "type": "string",
                    "value": "domainName"
                  }
                },
                "localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
                "fallback": "Actor enumerated UseDesKey on domain1.test.local"
              },
              "type": "evidenceElement",
              "innerElements": null
            }
          ],
          "type": "nestedList"
        },
        {
          "type": "tabularEvidences",
          "title": "Investigate activity test",
          "columns": [
            "Date",
            "Activity",
            "User",
            "TestedText",
            "TestedValue"
          ],
          "rows": [
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser2",
              "false",
              false
            ],
            [
              "2022-01-17T07:03:52.034Z",
              "Log on",
              "testUser3",
              "true",
              true
            ]
          ]
        }
      ],
      "type": "supportingEvidenceList"
    }
  }
}

정의

Name	Description
Alert	보안 경고
AlertEntity	엔터티 형식에 따라 속성 집합을 변경합니다.
alertSeverity	검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
alertStatus	경고의 수명 주기 상태입니다.
AzureResourceIdentifier	Azure 리소스 식별자입니다.
CloudError	실패한 작업에 대한 오류 세부 정보를 반환하는 모든 Azure Resource Manager API에 대한 일반적인 오류 응답입니다. 또한 OData 오류 응답 형식을 따릅니다.
CloudErrorBody	오류 세부 정보입니다.
ErrorAdditionalInfo	리소스 관리 오류 추가 정보입니다.
intent	경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다.
LogAnalyticsIdentifier	Log Analytics 작업 영역 범위 식별자를 나타냅니다.
SupportingEvidence	supportingEvidence 형식에 따라 속성 집합을 변경합니다.

Alert

보안 경고

Name	형식	Description
id	string	리소스 ID
name	string	리소스 이름
properties.alertDisplayName	string	경고의 표시 이름입니다.
properties.alertType	string	검색 논리에 대한 고유 식별자입니다(동일한 검색 논리의 모든 경고 인스턴스에는 동일한 alertType이 포함됨).
properties.alertUri	string	Azure Portal의 경고 페이지에 대한 직접 링크입니다.
properties.compromisedEntity	string	이 경고와 가장 관련된 리소스의 표시 이름입니다.
properties.correlationKey	string	관련 경고를 코어레이팅하기 위한 키입니다. 관련된 것으로 간주되는 상관 관계 키가 동일한 경고입니다.
properties.description	string	검색된 의심스러운 활동에 대한 설명입니다.
properties.endTimeUtc	string	경고에 포함된 마지막 이벤트 또는 활동의 UTC 시간(ISO8601 형식)입니다.
properties.entities	AlertEntity[]	경고와 관련된 엔터티 목록입니다.
properties.extendedLinks	object[]	경고와 관련된 링크
properties.extendedProperties	object	경고에 대한 사용자 지정 속성입니다.
properties.intent	intent	경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다.
properties.isIncident	boolean	이 필드는 경고가 인시던트(여러 경고의 복합 그룹화) 또는 단일 경고인지를 결정합니다.
properties.processingEndTimeUtc	string	경고의 UTC 처리 종료 시간(ISO8601 형식)입니다.
properties.productComponentName	string	이 경고를 구동하는 Azure Security Center 가격 책정 계층의 이름입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing
properties.productName	string	이 경고를 게시한 제품의 이름입니다(Microsoft Sentinel, Microsoft Defender for Identity, 엔드포인트용 Microsoft Defender, Office용 Microsoft Defender, 클라우드 앱용 Microsoft Defender 등).
properties.remediationSteps	string[]	경고를 수정하기 위해 수행할 수동 작업 항목입니다.
properties.resourceIdentifiers	ResourceIdentifier[]: AzureResourceIdentifier[] LogAnalyticsIdentifier[]	경고를 올바른 제품 노출 그룹(테넌트, 작업 영역, 구독 등)으로 전송하는 데 사용할 수 있는 리소스 식별자입니다. 경고당 서로 다른 유형의 여러 식별자가 있을 수 있습니다.
properties.severity	alertSeverity	검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
properties.startTimeUtc	string	경고에 포함된 첫 번째 이벤트 또는 활동의 UTC 시간(ISO8601 형식)입니다.
properties.status	alertStatus	경고의 수명 주기 상태입니다.
properties.subTechniques	string[]	경고 뒤에 체인 관련 하위 기술을 종료합니다.
properties.supportingEvidence	SupportingEvidence	supportingEvidence 형식에 따라 속성 집합을 변경합니다.
properties.systemAlertId	string	경고의 고유 식별자입니다.
properties.techniques	string[]	경고 뒤에 체인 관련 기술을 종료합니다.
properties.timeGeneratedUtc	string	경고가 ISO8601 형식으로 생성된 UTC 시간입니다.
properties.vendorName	string	경고를 발생시키는 공급업체의 이름입니다.
properties.version	string	스키마 버전입니다.
type	string	리소스 종류

AlertEntity

엔터티 형식에 따라 속성 집합을 변경합니다.

Name	형식	Description
type	string	엔터티 형식

alertSeverity

검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.

Name	형식	Description
High	string	높다
Informational	string	정보
Low	string	낮다
Medium	string	보통

alertStatus

경고의 수명 주기 상태입니다.

Name	형식	Description
Active	string	값을 지정하지 않는 경고에 '활성' 상태가 할당됩니다.
Dismissed	string	경고가 가양성으로 해제됨
InProgress	string	처리 상태에 있는 경고
Resolved	string	처리 후 경고가 닫혔습니다.

AzureResourceIdentifier

Azure 리소스 식별자입니다.

Name	형식	Description
azureResourceId	string	경고를 받는 클라우드 리소스에 대한 ARM 리소스 식별자
type	string: AzureResource	경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다.

CloudError

실패한 작업에 대한 오류 세부 정보를 반환하는 모든 Azure Resource Manager API에 대한 일반적인 오류 응답입니다. 또한 OData 오류 응답 형식을 따릅니다.

Name	형식	Description
error.additionalInfo	ErrorAdditionalInfo[]	오류 추가 정보입니다.
error.code	string	오류 코드입니다.
error.details	CloudErrorBody[]	오류 세부 정보입니다.
error.message	string	오류 메시지입니다.
error.target	string	오류 대상입니다.

CloudErrorBody

오류 세부 정보입니다.

Name	형식	Description
additionalInfo	ErrorAdditionalInfo[]	오류 추가 정보입니다.
code	string	오류 코드입니다.
details	CloudErrorBody[]	오류 세부 정보입니다.
message	string	오류 메시지입니다.
target	string	오류 대상입니다.

ErrorAdditionalInfo

리소스 관리 오류 추가 정보입니다.

Name	형식	Description
info	object	추가 정보입니다.
type	string	추가 정보 유형입니다.

intent

경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다.

Name	형식	Description
Collection	string	컬렉션은 반출 전에 대상 네트워크에서 중요한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다.
CommandAndControl	string	명령 및 제어 전술은 악의적 사용자가 대상 네트워크 내에서 제어하는 시스템과 통신하는 방법을 나타냅니다.
CredentialAccess	string	자격 증명 액세스는 엔터프라이즈 환경 내에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 제어하는 기술을 나타냅니다.
DefenseEvasion	string	방어 회피는 악의적 사용자가 탐지를 회피하거나 다른 방어를 피하기 위해 사용할 수 있는 기술로 구성됩니다.
Discovery	string	검색은 악의적 사용자가 시스템 및 내부 네트워크에 대한 지식을 얻을 수 있도록 하는 기술로 구성됩니다.
Execution	string	실행 전술은 로컬 또는 원격 시스템에서 악의적으로 제어되는 코드를 실행하는 기술을 나타냅니다.
Exfiltration	string	반출은 악의적 사용자가 대상 네트워크에서 파일 및 정보를 제거하는 데 도움이 되는 기술 및 특성을 나타냅니다.
Exploitation	string	악용은 공격자가 공격받은 리소스에 대한 발판을 마련하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등과 같은 컴퓨팅 호스트 및 리소스와 관련이 있습니다.
Impact	string	영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이려고 합니다. 비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작을 포함합니다.
InitialAccess	string	InitialAccess는 공격자가 공격받은 리소스에 대한 발판을 마련하는 단계입니다.
LateralMovement	string	횡적 이동은 악의적 사용자가 네트워크의 원격 시스템에 액세스하고 제어할 수 있도록 하는 기술로 구성되며, 반드시 원격 시스템에서 도구를 실행할 필요는 없습니다.
Persistence	string	지속성은 위협 행위자에게 해당 시스템에 지속적인 존재를 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다.
PreAttack	string	사전 공격(PreAttack)은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하는 데 실패한 시도일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 시작되어 대상 시스템을 검사하고 방법을 찾으려는 시도로 검색됩니다. PreAttack 단계에 대한 자세한 내용은 MITRE Pre-Att&ck 행렬읽을 수 있습니다.
PrivilegeEscalation	string	권한 상승은 악의적 사용자가 시스템 또는 네트워크에 대해 더 높은 수준의 권한을 얻을 수 있도록 하는 작업의 결과입니다.
Probing	string	검색은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하지 못한 시도일 수 있습니다.
Unknown	string	알려지지 않은

LogAnalyticsIdentifier

Log Analytics 작업 영역 범위 식별자를 나타냅니다.

Name	형식	Description
agentId	string	(선택 사항) 이 경고가 기반으로 하는 이벤트를 보고하는 LogAnalytics 에이전트 ID입니다.
type	string: LogAnalytics	경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다.
workspaceId	string	이 경고를 저장하는 LogAnalytics 작업 영역 ID입니다.
workspaceResourceGroup	string	이 경고를 저장하는 LogAnalytics 작업 영역에 대한 Azure 리소스 그룹
workspaceSubscriptionId	string	이 경고를 저장하는 LogAnalytics 작업 영역의 Azure 구독 ID입니다.

SupportingEvidence

supportingEvidence 형식에 따라 속성 집합을 변경합니다.

Name	형식	Description
type	string	supportingEvidence의 형식

다음을 통해 공유

Alerts - Get Resource Group Level

URI 매개 변수

응답

보안

azure_auth

범위

예제

Get security alert on a resource group from a security data location

샘플 요청

샘플 응답

정의

Alert

AlertEntity

alertSeverity

alertStatus

AzureResourceIdentifier

CloudError

CloudErrorBody

ErrorAdditionalInfo

intent

LogAnalyticsIdentifier

SupportingEvidence

추가 리소스