Incidents - Create Or Update
Vytvoří nebo aktualizuje incident.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01Parametry identifikátoru URI
| Name | V | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
ID incidentu |
|
resource
|
path | True |
string |
Název skupiny prostředků. V názvu se rozlišují malá a velká písmena. |
|
subscription
|
path | True |
string uuid |
ID cílového předplatného. Hodnota musí být UUID. |
|
workspace
|
path | True |
string |
Název pracovního prostoru. Regex pattern: |
|
api-version
|
query | True |
string |
Verze rozhraní API, která se má použít pro tuto operaci. |
Text požadavku
| Name | Vyžadováno | Typ | Description |
|---|---|---|---|
| properties.severity | True |
Závažnost incidentu |
|
| properties.status | True |
Stav incidentu |
|
| properties.title | True |
string |
Název incidentu |
| etag |
string |
Značka Etag prostředku Azure |
|
| properties.classification |
Důvod uzavření incidentu |
||
| properties.classificationComment |
string |
Popisuje důvod uzavření incidentu. |
|
| properties.classificationReason |
Klasifikační důvod uzavření incidentu |
||
| properties.description |
string |
Popis incidentu |
|
| properties.firstActivityTimeUtc |
string |
Čas první aktivity v incidentu |
|
| properties.labels |
Seznam popisků relevantních pro tento incident |
||
| properties.lastActivityTimeUtc |
string |
Čas poslední aktivity v incidentu |
|
| properties.owner |
Popisuje uživatele, kterému je incident přiřazen. |
Odpovědi
| Name | Typ | Description |
|---|---|---|
| 200 OK |
OK, operace se úspěšně dokončila. |
|
| 201 Created |
Vytvořeno |
|
| Other Status Codes |
Chybová odpověď popisující, proč operace selhala. |
Zabezpečení
azure_auth
Tok Azure Active Directory OAuth2
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Name | Description |
|---|---|
| user_impersonation | zosobnění uživatelského účtu |
Příklady
Creates or updates an incident.
Sample Request
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}Definice
| Name | Description |
|---|---|
|
Attack |
Závažnost výstrah vytvořených tímto pravidlem upozornění |
|
Cloud |
Struktura odpovědí na chyby. |
|
Cloud |
Podrobnosti o chybě. |
|
created |
Typ identity, která prostředek vytvořila. |
| Incident |
Představuje incident v Azure Security Insights. |
|
Incident |
Incident s dalšími datovými vlastnostmi. |
|
Incident |
Důvod uzavření incidentu |
|
Incident |
Klasifikační důvod uzavření incidentu |
|
Incident |
Představuje popisek incidentu. |
|
Incident |
Typ popisku |
|
Incident |
Informace o uživateli, ke kterému je incident přiřazený |
|
Incident |
Závažnost incidentu |
|
Incident |
Stav incidentu |
|
Owner |
Typ vlastníka, ke kterému je incident přiřazen. |
|
system |
Metadata týkající se vytvoření a poslední změny prostředku. |
AttackTactic
Závažnost výstrah vytvořených tímto pravidlem upozornění
| Name | Typ | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Struktura odpovědí na chyby.
| Name | Typ | Description |
|---|---|---|
| error |
Data o chybách |
CloudErrorBody
Podrobnosti o chybě.
| Name | Typ | Description |
|---|---|---|
| code |
string |
Identifikátor chyby. Kódy jsou neutrální a mají být využívány programově. |
| message |
string |
Zpráva popisující chybu, která má být vhodná k zobrazení v uživatelském rozhraní. |
createdByType
Typ identity, která prostředek vytvořila.
| Name | Typ | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
Incident
Představuje incident v Azure Security Insights.
| Name | Typ | Description |
|---|---|---|
| etag |
string |
Značka Etag prostředku Azure |
| id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
| name |
string |
Název prostředku |
| properties.additionalData |
Další data o incidentu |
|
| properties.classification |
Důvod uzavření incidentu |
|
| properties.classificationComment |
string |
Popisuje důvod uzavření incidentu. |
| properties.classificationReason |
Klasifikační důvod uzavření incidentu |
|
| properties.createdTimeUtc |
string |
Čas vytvoření incidentu |
| properties.description |
string |
Popis incidentu |
| properties.firstActivityTimeUtc |
string |
Čas první aktivity v incidentu |
| properties.incidentNumber |
integer |
Pořadové číslo |
| properties.incidentUrl |
string |
Adresa URL s přímým odkazem na incident v Azure Portal |
| properties.labels |
Seznam popisků relevantních pro tento incident |
|
| properties.lastActivityTimeUtc |
string |
Čas poslední aktivity v incidentu |
| properties.lastModifiedTimeUtc |
string |
Čas poslední aktualizace incidentu |
| properties.owner |
Popisuje uživatele, kterému je incident přiřazen. |
|
| properties.providerIncidentId |
string |
ID incidentu přiřazené poskytovatelem incidentu |
| properties.providerName |
string |
Název zdrojového poskytovatele, který incident vygeneroval |
| properties.relatedAnalyticRuleIds |
string[] |
Seznam ID prostředků analytických pravidel souvisejících s incidentem |
| properties.severity |
Závažnost incidentu |
|
| properties.status |
Stav incidentu |
|
| properties.title |
string |
Název incidentu |
| systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
| type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
IncidentAdditionalData
Incident s dalšími datovými vlastnostmi.
| Name | Typ | Description |
|---|---|---|
| alertProductNames |
string[] |
Seznam názvů produktů výstrah v incidentu |
| alertsCount |
integer |
Počet výstrah v incidentu |
| bookmarksCount |
integer |
Počet záložek v incidentu |
| commentsCount |
integer |
Počet komentářů k incidentu |
| providerIncidentUrl |
string |
Adresa URL incidentu poskytovatele incidentu na portálu Microsoft 365 Defender |
| tactics |
Taktika spojená s incidentem |
IncidentClassification
Důvod uzavření incidentu
| Name | Typ | Description |
|---|---|---|
| BenignPositive |
string |
Incident byl neškodně pozitivní |
| FalsePositive |
string |
Incident byl falešně pozitivní |
| TruePositive |
string |
Incident byl pravdivě pozitivní |
| Undetermined |
string |
Klasifikace incidentu byla neurčitá. |
IncidentClassificationReason
Klasifikační důvod uzavření incidentu
| Name | Typ | Description |
|---|---|---|
| InaccurateData |
string |
Důvodem klasifikace byla nepřesná data. |
| IncorrectAlertLogic |
string |
Důvodem klasifikace byla nesprávná logika upozornění. |
| SuspiciousActivity |
string |
Důvodem klasifikace byla podezřelá aktivita. |
| SuspiciousButExpected |
string |
Důvod klasifikace byl podezřelý, ale očekávaný |
IncidentLabel
Představuje popisek incidentu.
| Name | Typ | Description |
|---|---|---|
| labelName |
string |
Název popisku |
| labelType |
Typ popisku |
IncidentLabelType
Typ popisku
| Name | Typ | Description |
|---|---|---|
| AutoAssigned |
string |
Popisek automaticky vytvořený systémem |
| User |
string |
Popisek vytvořený ručně uživatelem |
IncidentOwnerInfo
Informace o uživateli, ke kterému je incident přiřazený
| Name | Typ | Description |
|---|---|---|
| assignedTo |
string |
Jméno uživatele, kterému je incident přiřazen. |
|
string |
E-mail uživatele, kterému je incident přiřazen. |
|
| objectId |
string |
ID objektu uživatele, kterému je incident přiřazen. |
| ownerType |
Typ vlastníka, ke kterému je incident přiřazen. |
|
| userPrincipalName |
string |
Hlavní název uživatele, kterému je incident přiřazen. |
IncidentSeverity
Závažnost incidentu
| Name | Typ | Description |
|---|---|---|
| High |
string |
Vysoká závažnost |
| Informational |
string |
Informační závažnost |
| Low |
string |
Nízká závažnost |
| Medium |
string |
Střední závažnost |
IncidentStatus
Stav incidentu
| Name | Typ | Description |
|---|---|---|
| Active |
string |
Aktivní incident, který se zpracovává |
| Closed |
string |
Neaktivní incident |
| New |
string |
Aktivní incident, který se momentálně nezvládá |
OwnerType
Typ vlastníka, ke kterému je incident přiřazen.
| Name | Typ | Description |
|---|---|---|
| Group |
string |
Typ vlastníka incidentu je skupina AAD. |
| Unknown |
string |
Typ vlastníka incidentu je neznámý. |
| User |
string |
Typ vlastníka incidentu je uživatel AAD. |
systemData
Metadata týkající se vytvoření a poslední změny prostředku.
| Name | Typ | Description |
|---|---|---|
| createdAt |
string |
Časové razítko vytvoření prostředku (UTC) |
| createdBy |
string |
Identita, která vytvořila prostředek. |
| createdByType |
Typ identity, která prostředek vytvořila. |
|
| lastModifiedAt |
string |
Časové razítko poslední změny prostředku (UTC) |
| lastModifiedBy |
string |
Identita, která naposledy změnila prostředek. |
| lastModifiedByType |
Typ identity, která naposledy změnila prostředek. |