Alerts - List Subscription Level By Region
특정 위치에 저장된 구독과 연결된 모든 경고를 나열합니다.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Security/locations/{ascLocation}/alerts?api-version=2022-01-01
URI 매개 변수
Name | In(다음 안에) | 필수 | 형식 | Description |
---|---|---|---|---|
asc
|
path | True |
string |
ASC가 구독의 데이터를 저장하는 위치입니다. 위치 가져오기에서 검색할 수 있습니다. |
subscription
|
path | True |
string |
Azure 구독 ID regex 패턴: |
api-version
|
query | True |
string |
작업에 대한 API 버전 |
응답
Name | 형식 | Description |
---|---|---|
200 OK |
그래 |
|
Other Status Codes |
작업이 실패한 이유를 설명하는 오류 응답입니다. |
보안
azure_auth
Azure Active Directory OAuth2 Flow
형식:
oauth2
Flow:
implicit
권한 부여 URL:
https://login.microsoftonline.com/common/oauth2/authorize
범위
Name | Description |
---|---|
user_impersonation | 사용자 계정 가장 |
예제
Get security alerts on a subscription from a security data location
샘플 요청
GET https://management.azure.com/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/providers/Microsoft.Security/locations/westeurope/alerts?api-version=2022-01-01
샘플 응답
{
"value": [
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Security/locations/westeurope/alerts/2518770965529163669_F144EE95-A3E5-42DA-A279-967D115809AA",
"name": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_EICAR",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName",
"alertDisplayName": "Azure Security Center test alert (not a threat)",
"description": "This is a test alert generated by Azure Security Center. No further action is needed.",
"severity": "High",
"intent": "Execution",
"startTimeUtc": "2020-02-22T00:00:00.0000000Z",
"endTimeUtc": "2020-02-22T00:00:00.0000000Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"No further action is needed."
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2020-02-23T13:47:58.0000000Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2020-02-23T13:47:58.9205584Z",
"entities": [
{
"address": "192.0.2.1",
"location": {
"countryCode": "gb",
"state": "wokingham",
"city": "sonning",
"longitude": -0.909,
"latitude": 51.468,
"asn": 6584
},
"type": "ip"
}
],
"isIncident": true,
"correlationKey": "kso0LFWxzCll5tqrk5hmrBJ+MY1BX806W6q6+0s9Lk=",
"extendedProperties": {
"Property1": "Property1 information"
},
"compromisedEntity": "vm1",
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
}
},
{
"id": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg2/providers/Microsoft.Security/locations/westeurope/alerts/2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"name": "2518765996949954086_2325cf9e-42a2-4f72-ae7f-9b863cba2d22",
"type": "Microsoft.Security/Locations/alerts",
"properties": {
"version": "2022-01-01",
"alertType": "VM_SuspiciousScreenSaver",
"systemAlertId": "2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a",
"productComponentName": "testName2",
"alertDisplayName": "Suspicious Screensaver process executed",
"description": "The process ‘c:\\users\\contosoUser\\scrsave.scr’ was observed executing from an uncommon location. Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory.",
"severity": "Medium",
"intent": "Execution",
"startTimeUtc": "2019-05-07T13:51:45.0045913Z",
"endTimeUtc": "2019-05-07T13:51:45.0045913Z",
"resourceIdentifiers": [
{
"azureResourceId": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroups/myRg1/providers/Microsoft.Compute/virtualMachines/vm1",
"type": "AzureResource"
},
{
"workspaceId": "f419f624-acad-4d89-b86d-f62fa387f019",
"workspaceSubscriptionId": "20ff7fc3-e762-44dd-bd96-b71116dcdc23",
"workspaceResourceGroup": "myRg1",
"agentId": "75724a01-f021-4aa8-9ec2-329792373e6e",
"type": "LogAnalytics"
}
],
"remediationSteps": [
"1. Run Process Explorer and try to identify unknown running processes (see https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx)",
"2. Make sure the machine is completely updated and has an updated anti-malware application installed",
"3. Run a full anti-malware scan and verify that the threat was removed",
"4. Install and run Microsoft’s Malicious Software Removal Tool (see https://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx)",
"5. Run Microsoft’s Autoruns utility and try to identify unknown applications that are configured to run at login (see https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)",
"6. Escalate the alert to the information security team"
],
"vendorName": "Microsoft",
"status": "Active",
"extendedLinks": [
{
"Category": "threat_reports",
"Label": "Report: RDP Brute Forcing",
"Href": "https://contoso.com/reports/DisplayReport",
"Type": "webLink"
}
],
"alertUri": "https://portal.azure.com/#blade/Microsoft_Azure_Security/AlertBlade/alertId/2518298467986649999_4d25bfef-2d77-4a08-adc0-3e35715cc92a/subscriptionId/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourceGroup/myRg1/referencedFrom/alertDeepLink/location/westeurope",
"timeGeneratedUtc": "2019-05-07T13:51:48.3810457Z",
"productName": "Azure Security Center",
"processingEndTimeUtc": "2019-05-07T13:51:48.9810457Z",
"entities": [
{
"dnsDomain": "",
"ntDomain": "",
"hostName": "vm2",
"netBiosName": "vm2",
"azureID": "/subscriptions/20ff7fc3-e762-44dd-bd96-b71116dcdc23/resourcegroups/myRg2/providers/microsoft.compute/virtualmachines/vm2",
"omsAgentID": "45b44640-3b94-4892-a28c-4a5cae27065a",
"operatingSystem": "Unknown",
"type": "host",
"OsVersion": null
},
{
"name": "contosoUser",
"ntDomain": "vm2",
"logonId": "0x61450d87",
"sid": "S-1-5-21-2144575486-8928446540-5163864319-500",
"type": "account"
},
{
"directory": "c:\\windows\\system32",
"name": "cmd.exe",
"type": "file"
},
{
"processId": "0x3c44",
"type": "process"
},
{
"directory": "c:\\users\\contosoUser",
"name": "scrsave.scr",
"type": "file"
},
{
"processId": "0x4aec",
"commandLine": "c:\\users\\contosoUser\\scrsave.scr",
"creationTimeUtc": "2018-05-07T13:51:45.0045913Z",
"type": "process"
}
],
"isIncident": true,
"correlationKey": "4hno6LF0xzCl5tqrk4nrBW+MY1BX816W6q6+0srk4",
"compromisedEntity": "vm2",
"extendedProperties": {
"domainName": "vm2",
"userName": "vm2\\contosoUser",
"processName": "c:\\users\\contosoUser\\scrsave.scr",
"command line": "c:\\users\\contosoUser\\scrsave.scr",
"parent process": "cmd.exe",
"process id": "0x4aec",
"account logon id": "0x61450d87",
"user SID": "S-1-5-21-2144575486-8928446540-5163864319-500",
"parent process id": "0x3c44",
"resourceType": "Virtual Machine"
},
"techniques": [
"T1059",
"T1053",
"T1072"
],
"subTechniques": [
"T1059.001",
"T1059.006",
"T1053.002"
],
"supportingEvidence": {
"supportingEvidenceList": [
{
"evidenceElements": [
{
"text": {
"arguments": {
"sensitiveEnumerationTypes": {
"type": "string[]",
"value": [
"UseDesKey"
]
},
"domainName": {
"type": "string",
"value": "domainName"
}
},
"localizationKey": "AATP_ALERTS_LDAP_SENSITIVE_ATTRIBUTE_RECONNAISSANCE_SECURITY_ALERT_EVIDENCE_ENUMERATION_DETAIL_A7C00BD7",
"fallback": "Actor enumerated UseDesKey on domain1.test.local"
},
"type": "evidenceElement",
"innerElements": null
}
],
"type": "nestedList"
},
{
"type": "tabularEvidences",
"title": "Investigate activity test",
"columns": [
"Date",
"Activity",
"User",
"TestedText",
"TestedValue"
],
"rows": [
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser2",
"false",
false
],
[
"2022-01-17T07:03:52.034Z",
"Log on",
"testUser3",
"true",
true
]
]
}
],
"type": "supportingEvidenceList"
}
}
}
]
}
정의
Name | Description |
---|---|
Alert |
보안 경고 |
Alert |
엔터티 형식에 따라 속성 집합을 변경합니다. |
Alert |
보안 경고 목록 |
alert |
검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
alert |
경고의 수명 주기 상태입니다. |
Azure |
Azure 리소스 식별자입니다. |
Cloud |
실패한 작업에 대한 오류 세부 정보를 반환하는 모든 Azure Resource Manager API에 대한 일반적인 오류 응답입니다. 또한 OData 오류 응답 형식을 따릅니다. |
Cloud |
오류 세부 정보입니다. |
Error |
리소스 관리 오류 추가 정보입니다. |
intent |
경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다. |
Log |
Log Analytics 작업 영역 범위 식별자를 나타냅니다. |
Supporting |
supportingEvidence 형식에 따라 속성 집합을 변경합니다. |
Alert
보안 경고
Name | 형식 | Description |
---|---|---|
id |
string |
리소스 ID |
name |
string |
리소스 이름 |
properties.alertDisplayName |
string |
경고의 표시 이름입니다. |
properties.alertType |
string |
검색 논리에 대한 고유 식별자입니다(동일한 검색 논리의 모든 경고 인스턴스에는 동일한 alertType이 포함됨). |
properties.alertUri |
string |
Azure Portal의 경고 페이지에 대한 직접 링크입니다. |
properties.compromisedEntity |
string |
이 경고와 가장 관련된 리소스의 표시 이름입니다. |
properties.correlationKey |
string |
관련 경고를 코어레이팅하기 위한 키입니다. 관련된 것으로 간주되는 상관 관계 키가 동일한 경고입니다. |
properties.description |
string |
검색된 의심스러운 활동에 대한 설명입니다. |
properties.endTimeUtc |
string |
경고에 포함된 마지막 이벤트 또는 활동의 UTC 시간(ISO8601 형식)입니다. |
properties.entities |
경고와 관련된 엔터티 목록입니다. |
|
properties.extendedLinks |
object[] |
경고와 관련된 링크 |
properties.extendedProperties |
object |
경고에 대한 사용자 지정 속성입니다. |
properties.intent |
경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다. |
|
properties.isIncident |
boolean |
이 필드는 경고가 인시던트(여러 경고의 복합 그룹화) 또는 단일 경고인지를 결정합니다. |
properties.processingEndTimeUtc |
string |
경고의 UTC 처리 종료 시간(ISO8601 형식)입니다. |
properties.productComponentName |
string |
이 경고를 구동하는 Azure Security Center 가격 책정 계층의 이름입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-pricing |
properties.productName |
string |
이 경고를 게시한 제품의 이름입니다(Microsoft Sentinel, Microsoft Defender for Identity, 엔드포인트용 Microsoft Defender, Office용 Microsoft Defender, 클라우드 앱용 Microsoft Defender 등). |
properties.remediationSteps |
string[] |
경고를 수정하기 위해 수행할 수동 작업 항목입니다. |
properties.resourceIdentifiers | ResourceIdentifier[]: |
경고를 올바른 제품 노출 그룹(테넌트, 작업 영역, 구독 등)으로 전송하는 데 사용할 수 있는 리소스 식별자입니다. 경고당 서로 다른 유형의 여러 식별자가 있을 수 있습니다. |
properties.severity |
검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified. |
|
properties.startTimeUtc |
string |
경고에 포함된 첫 번째 이벤트 또는 활동의 UTC 시간(ISO8601 형식)입니다. |
properties.status |
경고의 수명 주기 상태입니다. |
|
properties.subTechniques |
string[] |
경고 뒤에 체인 관련 하위 기술을 종료합니다. |
properties.supportingEvidence |
supportingEvidence 형식에 따라 속성 집합을 변경합니다. |
|
properties.systemAlertId |
string |
경고의 고유 식별자입니다. |
properties.techniques |
string[] |
경고 뒤에 체인 관련 기술을 종료합니다. |
properties.timeGeneratedUtc |
string |
경고가 ISO8601 형식으로 생성된 UTC 시간입니다. |
properties.vendorName |
string |
경고를 발생시키는 공급업체의 이름입니다. |
properties.version |
string |
스키마 버전입니다. |
type |
string |
리소스 종류 |
AlertEntity
엔터티 형식에 따라 속성 집합을 변경합니다.
Name | 형식 | Description |
---|---|---|
type |
string |
엔터티 형식 |
AlertList
보안 경고 목록
Name | 형식 | Description |
---|---|---|
nextLink |
string |
다음 페이지를 가져올 URI입니다. |
value |
Alert[] |
는 보안 경고 속성을 설명합니다. |
alertSeverity
검색된 위협의 위험 수준입니다. 자세한 정보: https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-overview#how-are-alerts-classified.
Name | 형식 | Description |
---|---|---|
High |
string |
높다 |
Informational |
string |
정보 |
Low |
string |
낮다 |
Medium |
string |
보통 |
alertStatus
경고의 수명 주기 상태입니다.
Name | 형식 | Description |
---|---|---|
Active |
string |
값을 지정하지 않는 경고에 '활성' 상태가 할당됩니다. |
Dismissed |
string |
경고가 가양성으로 해제됨 |
InProgress |
string |
처리 상태에 있는 경고 |
Resolved |
string |
처리 후 경고가 닫혔습니다. |
AzureResourceIdentifier
Azure 리소스 식별자입니다.
Name | 형식 | Description |
---|---|---|
azureResourceId |
string |
경고를 받는 클라우드 리소스에 대한 ARM 리소스 식별자 |
type |
string:
Azure |
경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다. |
CloudError
실패한 작업에 대한 오류 세부 정보를 반환하는 모든 Azure Resource Manager API에 대한 일반적인 오류 응답입니다. 또한 OData 오류 응답 형식을 따릅니다.
Name | 형식 | Description |
---|---|---|
error.additionalInfo |
오류 추가 정보입니다. |
|
error.code |
string |
오류 코드입니다. |
error.details |
오류 세부 정보입니다. |
|
error.message |
string |
오류 메시지입니다. |
error.target |
string |
오류 대상입니다. |
CloudErrorBody
오류 세부 정보입니다.
Name | 형식 | Description |
---|---|---|
additionalInfo |
오류 추가 정보입니다. |
|
code |
string |
오류 코드입니다. |
details |
오류 세부 정보입니다. |
|
message |
string |
오류 메시지입니다. |
target |
string |
오류 대상입니다. |
ErrorAdditionalInfo
리소스 관리 오류 추가 정보입니다.
Name | 형식 | Description |
---|---|---|
info |
object |
추가 정보입니다. |
type |
string |
추가 정보 유형입니다. |
intent
경고 뒤에 있는 킬 체인 관련 의도입니다. 지원되는 값 목록 및 Azure Security Center의 지원되는 킬 체인 의도에 대한 설명입니다.
Name | 형식 | Description |
---|---|---|
Collection |
string |
컬렉션은 반출 전에 대상 네트워크에서 중요한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. |
CommandAndControl |
string |
명령 및 제어 전술은 악의적 사용자가 대상 네트워크 내에서 제어하는 시스템과 통신하는 방법을 나타냅니다. |
CredentialAccess |
string |
자격 증명 액세스는 엔터프라이즈 환경 내에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 제어하는 기술을 나타냅니다. |
DefenseEvasion |
string |
방어 회피는 악의적 사용자가 탐지를 회피하거나 다른 방어를 피하기 위해 사용할 수 있는 기술로 구성됩니다. |
Discovery |
string |
검색은 악의적 사용자가 시스템 및 내부 네트워크에 대한 지식을 얻을 수 있도록 하는 기술로 구성됩니다. |
Execution |
string |
실행 전술은 로컬 또는 원격 시스템에서 악의적으로 제어되는 코드를 실행하는 기술을 나타냅니다. |
Exfiltration |
string |
반출은 악의적 사용자가 대상 네트워크에서 파일 및 정보를 제거하는 데 도움이 되는 기술 및 특성을 나타냅니다. |
Exploitation |
string |
악용은 공격자가 공격받은 리소스에 대한 발판을 마련하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등과 같은 컴퓨팅 호스트 및 리소스와 관련이 있습니다. |
Impact |
string |
영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이려고 합니다. 비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작을 포함합니다. |
InitialAccess |
string |
InitialAccess는 공격자가 공격받은 리소스에 대한 발판을 마련하는 단계입니다. |
LateralMovement |
string |
횡적 이동은 악의적 사용자가 네트워크의 원격 시스템에 액세스하고 제어할 수 있도록 하는 기술로 구성되며, 반드시 원격 시스템에서 도구를 실행할 필요는 없습니다. |
Persistence |
string |
지속성은 위협 행위자에게 해당 시스템에 지속적인 존재를 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. |
PreAttack |
string |
사전 공격(PreAttack)은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하는 데 실패한 시도일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 시작되어 대상 시스템을 검사하고 방법을 찾으려는 시도로 검색됩니다. PreAttack 단계에 대한 자세한 내용은 MITRE Pre-Att&ck 행렬읽을 수 있습니다. |
PrivilegeEscalation |
string |
권한 상승은 악의적 사용자가 시스템 또는 네트워크에 대해 더 높은 수준의 권한을 얻을 수 있도록 하는 작업의 결과입니다. |
Probing |
string |
검색은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하지 못한 시도일 수 있습니다. |
Unknown |
string |
알려지지 않은 |
LogAnalyticsIdentifier
Log Analytics 작업 영역 범위 식별자를 나타냅니다.
Name | 형식 | Description |
---|---|---|
agentId |
string |
(선택 사항) 이 경고가 기반으로 하는 이벤트를 보고하는 LogAnalytics 에이전트 ID입니다. |
type |
string:
Log |
경고당 서로 다른 유형의 식별자가 여러 개 있을 수 있습니다. 이 필드는 식별자 유형을 지정합니다. |
workspaceId |
string |
이 경고를 저장하는 LogAnalytics 작업 영역 ID입니다. |
workspaceResourceGroup |
string |
이 경고를 저장하는 LogAnalytics 작업 영역에 대한 Azure 리소스 그룹 |
workspaceSubscriptionId |
string |
이 경고를 저장하는 LogAnalytics 작업 영역의 Azure 구독 ID입니다. |
SupportingEvidence
supportingEvidence 형식에 따라 속성 집합을 변경합니다.
Name | 형식 | Description |
---|---|---|
type |
string |
supportingEvidence의 형식 |