Incidents - List
Získá všechny incidenty.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}
Parametry identifikátoru URI
Name | V | Vyžadováno | Typ | Description |
---|---|---|---|---|
resource
|
path | True |
string |
Název skupiny prostředků. V názvu se rozlišují malá a velká písmena. |
subscription
|
path | True |
string uuid |
ID cílového předplatného. Hodnota musí být UUID. |
workspace
|
path | True |
string |
Název pracovního prostoru. Vzor regulárního výrazu: |
api-version
|
query | True |
string |
Verze rozhraní API, která se má použít pro tuto operaci. |
$filter
|
query |
string |
Filtruje výsledky na základě logické podmínky. Nepovinný parametr. |
|
$orderby
|
query |
string |
Seřadí výsledky. Nepovinný parametr. |
|
$skip
|
query |
string |
Skiptoken se používá pouze v případě, že předchozí operace vrátila částečný výsledek. Pokud předchozí odpověď obsahuje nextLink element, hodnota nextLink elementu bude obsahovat parametr skiptoken, který určuje počáteční bod, který se má použít pro následná volání. Nepovinný parametr. |
|
$top
|
query |
integer int32 |
Vrátí pouze prvních n výsledků. Nepovinný parametr. |
Odpovědi
Name | Typ | Description |
---|---|---|
200 OK |
OK, operace se úspěšně dokončila. |
|
Other Status Codes |
Chybová odpověď popisující, proč operace selhala. |
Zabezpečení
azure_auth
Tok Azure Active Directory OAuth2
Typ:
oauth2
Tok:
implicit
URL autorizace:
https://login.microsoftonline.com/common/oauth2/authorize
Rozsahy
Name | Description |
---|---|
user_impersonation | zosobnění uživatelského účtu |
Příklady
Get all incidents.
Ukázkový požadavek
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1
Ukázková odpověď
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}
Definice
Name | Description |
---|---|
Attack |
Závažnost výstrah vytvořených tímto pravidlem upozornění |
Cloud |
Struktura odpovědí na chyby. |
Cloud |
Podrobnosti o chybě. |
created |
Typ identity, která prostředek vytvořila. |
Incident |
Představuje incident v Azure Security Insights. |
Incident |
Incident s dalšími datovými vlastnostmi. |
Incident |
Důvod uzavření incidentu |
Incident |
Klasifikační důvod uzavření incidentu |
Incident |
Představuje popisek incidentu. |
Incident |
Typ popisku |
Incident |
Uveďte seznam všech incidentů. |
Incident |
Informace o uživateli, ke kterému je incident přiřazený |
Incident |
Závažnost incidentu |
Incident |
Stav incidentu |
Owner |
Typ vlastníka, ke kterému je incident přiřazen. |
system |
Metadata týkající se vytvoření a poslední změny prostředku. |
AttackTactic
Závažnost výstrah vytvořených tímto pravidlem upozornění
Name | Typ | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Struktura odpovědí na chyby.
Name | Typ | Description |
---|---|---|
error |
Data o chybách |
CloudErrorBody
Podrobnosti o chybě.
Name | Typ | Description |
---|---|---|
code |
string |
Identifikátor chyby. Kódy jsou neutrální a mají být využívány programově. |
message |
string |
Zpráva popisující chybu, která má být vhodná k zobrazení v uživatelském rozhraní. |
createdByType
Typ identity, která prostředek vytvořila.
Name | Typ | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Představuje incident v Azure Security Insights.
Name | Typ | Description |
---|---|---|
etag |
string |
Značka Etag prostředku Azure |
id |
string |
Plně kvalifikované ID prostředku Příklad : /subscriptions/{id_předplatného}/resourceGroups/{název_skupiny_prostředků}/providers/{resourceProviderNamespace}/{typ_prostředku}/{název_prostředku} |
name |
string |
Název prostředku |
properties.additionalData |
Další data o incidentu |
|
properties.classification |
Důvod uzavření incidentu |
|
properties.classificationComment |
string |
Popisuje důvod uzavření incidentu. |
properties.classificationReason |
Klasifikační důvod uzavření incidentu |
|
properties.createdTimeUtc |
string |
Čas vytvoření incidentu |
properties.description |
string |
Popis incidentu |
properties.firstActivityTimeUtc |
string |
Čas první aktivity v incidentu |
properties.incidentNumber |
integer |
Pořadové číslo |
properties.incidentUrl |
string |
Adresa URL s přímým odkazem na incident v Azure Portal |
properties.labels |
Seznam popisků relevantních pro tento incident |
|
properties.lastActivityTimeUtc |
string |
Čas poslední aktivity v incidentu |
properties.lastModifiedTimeUtc |
string |
Čas poslední aktualizace incidentu |
properties.owner |
Popisuje uživatele, kterému je incident přiřazen. |
|
properties.providerIncidentId |
string |
ID incidentu přiřazené poskytovatelem incidentu |
properties.providerName |
string |
Název zdrojového poskytovatele, který incident vygeneroval |
properties.relatedAnalyticRuleIds |
string[] |
Seznam ID prostředků analytických pravidel souvisejících s incidentem |
properties.severity |
Závažnost incidentu |
|
properties.status |
Stav incidentu |
|
properties.title |
string |
Název incidentu |
systemData |
Azure Resource Manager metadata obsahující informace createdBy a modifiedBy. |
|
type |
string |
Typ prostředku. Například Microsoft.Compute/virtualMachines nebo Microsoft.Storage/storageAccounts |
IncidentAdditionalData
Incident s dalšími datovými vlastnostmi.
Name | Typ | Description |
---|---|---|
alertProductNames |
string[] |
Seznam názvů produktů výstrah v incidentu |
alertsCount |
integer |
Počet výstrah v incidentu |
bookmarksCount |
integer |
Počet záložek v incidentu |
commentsCount |
integer |
Počet komentářů k incidentu |
providerIncidentUrl |
string |
Adresa URL incidentu poskytovatele incidentu na portálu Microsoft 365 Defender |
tactics |
Taktika spojená s incidentem |
IncidentClassification
Důvod uzavření incidentu
Name | Typ | Description |
---|---|---|
BenignPositive |
string |
Incident byl neškodně pozitivní |
FalsePositive |
string |
Incident byl falešně pozitivní |
TruePositive |
string |
Incident byl pravdivě pozitivní |
Undetermined |
string |
Klasifikace incidentu byla neurčitá. |
IncidentClassificationReason
Klasifikační důvod uzavření incidentu
Name | Typ | Description |
---|---|---|
InaccurateData |
string |
Důvodem klasifikace byla nepřesná data. |
IncorrectAlertLogic |
string |
Důvodem klasifikace byla nesprávná logika upozornění. |
SuspiciousActivity |
string |
Důvodem klasifikace byla podezřelá aktivita. |
SuspiciousButExpected |
string |
Důvod klasifikace byl podezřelý, ale očekávaný |
IncidentLabel
Představuje popisek incidentu.
Name | Typ | Description |
---|---|---|
labelName |
string |
Název popisku |
labelType |
Typ popisku |
IncidentLabelType
Typ popisku
Name | Typ | Description |
---|---|---|
AutoAssigned |
string |
Popisek automaticky vytvořený systémem |
User |
string |
Popisek vytvořený ručně uživatelem |
IncidentList
Uveďte seznam všech incidentů.
Name | Typ | Description |
---|---|---|
nextLink |
string |
Adresa URL pro načtení další sady incidentů |
value |
Incident[] |
Pole incidentů. |
IncidentOwnerInfo
Informace o uživateli, ke kterému je incident přiřazený
Name | Typ | Description |
---|---|---|
assignedTo |
string |
Jméno uživatele, kterému je incident přiřazen. |
string |
E-mail uživatele, kterému je incident přiřazen. |
|
objectId |
string |
ID objektu uživatele, kterému je incident přiřazen. |
ownerType |
Typ vlastníka, ke kterému je incident přiřazen. |
|
userPrincipalName |
string |
Hlavní název uživatele, kterému je incident přiřazen. |
IncidentSeverity
Závažnost incidentu
Name | Typ | Description |
---|---|---|
High |
string |
Vysoká závažnost |
Informational |
string |
Informační závažnost |
Low |
string |
Nízká závažnost |
Medium |
string |
Střední závažnost |
IncidentStatus
Stav incidentu
Name | Typ | Description |
---|---|---|
Active |
string |
Aktivní incident, který se zpracovává |
Closed |
string |
Neaktivní incident |
New |
string |
Aktivní incident, který se momentálně nezvládá |
OwnerType
Typ vlastníka, ke kterému je incident přiřazen.
Name | Typ | Description |
---|---|---|
Group |
string |
Typ vlastníka incidentu je skupina AAD. |
Unknown |
string |
Typ vlastníka incidentu je neznámý. |
User |
string |
Typ vlastníka incidentu je uživatel AAD. |
systemData
Metadata týkající se vytvoření a poslední změny prostředku.
Name | Typ | Description |
---|---|---|
createdAt |
string |
Časové razítko vytvoření prostředku (UTC) |
createdBy |
string |
Identita, která vytvořila prostředek. |
createdByType |
Typ identity, která prostředek vytvořila. |
|
lastModifiedAt |
string |
Časové razítko poslední změny prostředku (UTC) |
lastModifiedBy |
string |
Identita, která naposledy změnila prostředek. |
lastModifiedByType |
Typ identity, která naposledy změnila prostředek. |