Freigeben über


Incidents - List

Ruft alle Vorfälle ab.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}

URI-Parameter

Name In Erforderlich Typ Beschreibung
resourceGroupName
path True

string

Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet.

subscriptionId
path True

string

uuid

Hierbei handelt es sich um die ID des Zielabonnements. Der Wert muss eine UUID sein.

workspaceName
path True

string

Den Namen des Arbeitsbereichs

RegEx-Muster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version.

$filter
query

string

Filtert die Ergebnisse basierend auf einer booleschen Bedingung. Optional.

$orderby
query

string

Sortiert die Ergebnisse. Optional.

$skipToken
query

string

Skiptoken wird nur verwendet, wenn ein vorheriger Vorgang ein Teilergebnis zurückgegeben hat. Wenn eine vorherige Antwort ein nextLink-Element enthält, enthält der Wert des nextLink-Elements einen skiptoken-Parameter, der einen Startpunkt angibt, der für nachfolgende Aufrufe verwendet werden soll. Dies ist optional.

$top
query

integer

int32

Gibt nur die ersten n-Ergebnisse zurück. Optional.

Antworten

Name Typ Beschreibung
200 OK

IncidentList

OK, Vorgang erfolgreich abgeschlossen

Other Status Codes

CloudError

Fehlerantwort mit Beschreibung des Grunds für den Fehler.

Sicherheit

azure_auth

Azure Active Directory-OAuth2-Flow

Typ: oauth2
Ablauf: implicit
Autorisierungs-URL: https://login.microsoftonline.com/common/oauth2/authorize

Bereiche

Name Beschreibung
user_impersonation Identitätswechsel Ihres Benutzerkontos

Beispiele

Get all incidents.

Beispielanforderung

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1

Beispiel für eine Antwort

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "type": "Microsoft.SecurityInsights/incidents",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
        "createdTimeUtc": "2019-01-01T13:15:30Z",
        "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
        "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
        "description": "This is a demo incident",
        "title": "My incident",
        "owner": {
          "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
          "email": "john.doe@contoso.com",
          "userPrincipalName": "john@contoso.com",
          "assignedTo": "john doe"
        },
        "severity": "High",
        "classification": "FalsePositive",
        "classificationComment": "Not a malicious activity",
        "classificationReason": "IncorrectAlertLogic",
        "status": "Closed",
        "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
        "incidentNumber": 3177,
        "labels": [],
        "providerName": "Azure Sentinel",
        "providerIncidentId": "3177",
        "relatedAnalyticRuleIds": [
          "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
          "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
        ],
        "additionalData": {
          "alertsCount": 0,
          "bookmarksCount": 0,
          "commentsCount": 3,
          "alertProductNames": [],
          "tactics": [
            "Persistence"
          ]
        }
      }
    }
  ]
}

Definitionen

Name Beschreibung
AttackTactic

Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt werden.

CloudError

Fehlerantwortstruktur.

CloudErrorBody

Fehlerdetails.

createdByType

Der Identitätstyp, der die Ressource erstellt hat.

Incident

Stellt einen Incident in Azure Security Insights dar.

IncidentAdditionalData

Zusätzliche Dateneigenschaftsbehälter für Incidents.

IncidentClassification

Der Grund, warum der Vorfall geschlossen wurde

IncidentClassificationReason

Der Klassifizierungsgrund, aus dem der Vorfall geschlossen wurde, mit

IncidentLabel

Stellt eine Incidentbezeichnung dar.

IncidentLabelType

Der Typ der Bezeichnung

IncidentList

Listet alle Vorfälle auf.

IncidentOwnerInfo

Informationen zum Benutzer, dem ein Vorfall zugewiesen ist

IncidentSeverity

Der Schweregrad des Vorfalls

IncidentStatus

Die status des Vorfalls

OwnerType

Der Typ des Besitzers, dem der Vorfall zugewiesen ist.

systemData

Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.

AttackTactic

Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt werden.

Name Typ Beschreibung
Collection

string

CommandAndControl

string

CredentialAccess

string

DefenseEvasion

string

Discovery

string

Execution

string

Exfiltration

string

Impact

string

ImpairProcessControl

string

InhibitResponseFunction

string

InitialAccess

string

LateralMovement

string

Persistence

string

PreAttack

string

PrivilegeEscalation

string

Reconnaissance

string

ResourceDevelopment

string

CloudError

Fehlerantwortstruktur.

Name Typ Beschreibung
error

CloudErrorBody

Fehlerdaten

CloudErrorBody

Fehlerdetails.

Name Typ Beschreibung
code

string

Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden.

message

string

Eine Meldung, die den Fehler beschreibt, die für die Anzeige in einer Benutzeroberfläche geeignet sein soll.

createdByType

Der Identitätstyp, der die Ressource erstellt hat.

Name Typ Beschreibung
Application

string

Key

string

ManagedIdentity

string

User

string

Incident

Stellt einen Incident in Azure Security Insights dar.

Name Typ Beschreibung
etag

string

Etag der Azure-Ressource

id

string

Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

name

string

Der Name der Ressource

properties.additionalData

IncidentAdditionalData

Zusätzliche Daten zum Vorfall

properties.classification

IncidentClassification

Der Grund, warum der Vorfall geschlossen wurde

properties.classificationComment

string

Beschreibt den Grund, warum der Vorfall geschlossen wurde.

properties.classificationReason

IncidentClassificationReason

Der Klassifizierungsgrund, aus dem der Vorfall geschlossen wurde, mit

properties.createdTimeUtc

string

Der Zeitpunkt, zu dem der Vorfall erstellt wurde

properties.description

string

Beschreibung des Vorfalls

properties.firstActivityTimeUtc

string

Der Zeitpunkt der ersten Aktivität im Incident

properties.incidentNumber

integer

Eine sequenzielle Zahl

properties.incidentUrl

string

Die Deep-Link-URL zum Incident in Azure-Portal

properties.labels

IncidentLabel[]

Liste der Bezeichnungen, die für diesen Vorfall relevant sind

properties.lastActivityTimeUtc

string

Der Zeitpunkt der letzten Aktivität im Incident

properties.lastModifiedTimeUtc

string

Zeitpunkt der letzten Aktualisierung des Incidents

properties.owner

IncidentOwnerInfo

Beschreibt einen Benutzer, dem der Incident zugewiesen ist.

properties.providerIncidentId

string

Die vom Incidentanbieter zugewiesene Incident-ID

properties.providerName

string

Der Name des Quellanbieters, der den Incident generiert hat.

properties.relatedAnalyticRuleIds

string[]

Liste der Ressourcen-IDs von Analyseregeln im Zusammenhang mit dem Incident

properties.severity

IncidentSeverity

Der Schweregrad des Vorfalls

properties.status

IncidentStatus

Die status des Vorfalls

properties.title

string

Der Titel des Vorfalls

systemData

systemData

Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen.

type

string

Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

Zusätzliche Dateneigenschaftsbehälter für Incidents.

Name Typ Beschreibung
alertProductNames

string[]

Liste der Produktnamen von Warnungen im Incident

alertsCount

integer

Die Anzahl der Warnungen im Incident

bookmarksCount

integer

Die Anzahl der Lesezeichen im Incident

commentsCount

integer

Die Anzahl der Kommentare im Incident

providerIncidentUrl

string

Die Anbieter-Incident-URL zum Incident im Microsoft 365 Defender-Portal

tactics

AttackTactic[]

Die Taktiken im Zusammenhang mit dem Vorfall

IncidentClassification

Der Grund, warum der Vorfall geschlossen wurde

Name Typ Beschreibung
BenignPositive

string

Vorfall war gutartig positiv

FalsePositive

string

Der Vorfall war falsch positiv.

TruePositive

string

Der Vorfall war wahr positiv.

Undetermined

string

Die Incidentklassifizierung war nicht festgelegt.

IncidentClassificationReason

Der Klassifizierungsgrund, aus dem der Vorfall geschlossen wurde, mit

Name Typ Beschreibung
InaccurateData

string

Klassifikationsgrund waren ungenaue Daten

IncorrectAlertLogic

string

Der Klassifizierungsgrund war eine falsche Warnungslogik.

SuspiciousActivity

string

Klassifizierungsgrund war verdächtige Aktivität

SuspiciousButExpected

string

Klassifizierungsgrund war verdächtig, aber erwartet

IncidentLabel

Stellt eine Incidentbezeichnung dar.

Name Typ Beschreibung
labelName

string

Der Name der Bezeichnung

labelType

IncidentLabelType

Der Typ der Bezeichnung

IncidentLabelType

Der Typ der Bezeichnung

Name Typ Beschreibung
AutoAssigned

string

Vom System automatisch erstellte Bezeichnung

User

string

Von einem Benutzer manuell erstellte Bezeichnung

IncidentList

Listet alle Vorfälle auf.

Name Typ Beschreibung
nextLink

string

URL zum Abrufen der nächsten Gruppe von Incidents.

value

Incident[]

Array von Vorfällen.

IncidentOwnerInfo

Informationen zum Benutzer, dem ein Vorfall zugewiesen ist

Name Typ Beschreibung
assignedTo

string

Der Name des Benutzers, dem der Incident zugewiesen ist.

email

string

Die E-Mail des Benutzers, dem der Vorfall zugewiesen ist.

objectId

string

Die Objekt-ID des Benutzers, dem der Incident zugewiesen ist.

ownerType

OwnerType

Der Typ des Besitzers, dem der Vorfall zugewiesen ist.

userPrincipalName

string

Der Benutzerprinzipalname des Benutzers, dem der Incident zugewiesen ist.

IncidentSeverity

Der Schweregrad des Vorfalls

Name Typ Beschreibung
High

string

Hoher Schweregrad

Informational

string

Informationsschweregrad

Low

string

Niedriger Schweregrad

Medium

string

Mittlerer Schweregrad

IncidentStatus

Die status des Vorfalls

Name Typ Beschreibung
Active

string

Ein aktiver Vorfall, der behandelt wird

Closed

string

Ein nicht aktiver Vorfall

New

string

Ein aktiver Vorfall, der derzeit nicht behandelt wird

OwnerType

Der Typ des Besitzers, dem der Vorfall zugewiesen ist.

Name Typ Beschreibung
Group

string

Der Typ des Incidentbesitzers ist eine AAD-Gruppe.

Unknown

string

Der Typ des Incidentbesitzers ist unbekannt.

User

string

Der Typ des Incidentbesitzers ist ein AAD-Benutzer.

systemData

Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.

Name Typ Beschreibung
createdAt

string

Der Zeitstempel der Ressourcenerstellung (UTC).

createdBy

string

Die Identität, die die Ressource erstellt hat.

createdByType

createdByType

Der Identitätstyp, der die Ressource erstellt hat.

lastModifiedAt

string

Der Zeitstempel der letzten Änderung der Ressource (UTC)

lastModifiedBy

string

Die Identität, die die Ressource zuletzt geändert hat.

lastModifiedByType

createdByType

Der Identitätstyp, der die Ressource zuletzt geändert hat.