Incidents - List Bookmarks
Ruft alle Lesezeichen für einen Incident ab.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/bookmarks?api-version=2024-03-01
URI-Parameter
Name | In | Erforderlich | Typ | Beschreibung |
---|---|---|---|---|
incident
|
path | True |
string |
Incident-ID |
resource
|
path | True |
string |
Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet. |
subscription
|
path | True |
string uuid |
Hierbei handelt es sich um die ID des Zielabonnements. Der Wert muss eine UUID sein. |
workspace
|
path | True |
string |
Den Namen des Arbeitsbereichs Regex pattern: |
api-version
|
query | True |
string |
Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version. |
Antworten
Name | Typ | Beschreibung |
---|---|---|
200 OK |
OK |
|
Other Status Codes |
Fehlerantwort mit Beschreibung des Grunds für den Fehler. |
Sicherheit
azure_auth
Azure Active Directory-OAuth2-Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Name | Beschreibung |
---|---|
user_impersonation | Identitätswechsel Ihres Benutzerkontos |
Beispiele
Get all incident bookmarks.
Sample Request
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/bookmarks?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/afbd324f-6c48-459c-8710-8d1e1cd03812",
"name": "afbd324f-6c48-459c-8710-8d1e1cd03812",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Bookmark",
"properties": {
"displayName": "SecurityEvent - 868f40f4698d",
"created": "2020-06-17T15:34:01.4265524+00:00",
"updated": "2020-06-17T15:34:01.4265524+00:00",
"createdBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"updatedBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"eventTime": "2020-06-17T15:34:01.4265524+00:00",
"labels": [],
"query": "SecurityEvent\r\n| take 1\n",
"queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
"additionalData": {
"ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
"EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
},
"friendlyName": "SecurityEvent - 868f40f4698d"
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/bbbd324f-6c48-459c-8710-8d1e1cd03812",
"name": "bbbd324f-6c48-459c-8710-8d1e1cd03812",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Bookmark",
"properties": {
"displayName": "SecurityEvent - 868f40f4698d",
"created": "2020-06-17T15:34:01.4265524+00:00",
"updated": "2020-06-17T15:34:01.4265524+00:00",
"createdBy": {
"objectId": "303ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"updatedBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"eventTime": "2020-06-17T15:34:01.4265524+00:00",
"labels": [],
"query": "SecurityEvent\r\n| take 1\n",
"queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
"additionalData": {
"ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
"EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
},
"friendlyName": "SecurityEvent - 868f40f4698d"
}
}
]
}
Definitionen
Name | Beschreibung |
---|---|
Cloud |
Fehlerantwortstruktur. |
Cloud |
Fehlerdetails. |
created |
Der Identitätstyp, der die Ressource erstellt hat. |
Entity |
Die Art der aggregierten Entität. |
Hunting |
Stellt eine Hunting-Lesezeichenentität dar. |
Incident |
Liste der Incidentlesezeichen. |
Incident |
Beschreibt verwandte Incidentinformationen für das Lesezeichen. |
Incident |
Der Schweregrad des Vorfalls |
system |
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen. |
User |
Benutzerinformationen, die eine Aktion ausgeführt haben |
CloudError
Fehlerantwortstruktur.
Name | Typ | Beschreibung |
---|---|---|
error |
Fehlerdaten |
CloudErrorBody
Fehlerdetails.
Name | Typ | Beschreibung |
---|---|---|
code |
string |
Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden. |
message |
string |
Eine Meldung, die den Fehler beschreibt, die für die Anzeige in einer Benutzeroberfläche geeignet sein soll. |
createdByType
Der Identitätstyp, der die Ressource erstellt hat.
Name | Typ | Beschreibung |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityKindEnum
Die Art der aggregierten Entität.
Name | Typ | Beschreibung |
---|---|---|
Account |
string |
Die Entität stellt das Konto im System dar. |
AzureResource |
string |
Die Entität stellt die Azure-Ressource im System dar. |
Bookmark |
string |
Die Entität stellt ein Lesezeichen im System dar. |
CloudApplication |
string |
Die Entität stellt eine Cloudanwendung im System dar. |
DnsResolution |
string |
Die Entität stellt die DNS-Auflösung im System dar. |
File |
string |
Die Entität stellt die Datei im System dar. |
FileHash |
string |
Die Entität stellt den Dateihash im System dar. |
Host |
string |
Die Entität stellt den Host im System dar. |
IoTDevice |
string |
Die Entität stellt das IoT-Gerät im System dar. |
Ip |
string |
Die Entität stellt ip im System dar. |
MailCluster |
string |
Die Entität stellt den E-Mail-Cluster im System dar. |
MailMessage |
string |
Die Entität stellt eine E-Mail-Nachricht im System dar. |
Mailbox |
string |
Die Entität stellt das Postfach im System dar. |
Malware |
string |
Die Entität stellt Schadsoftware im System dar. |
Process |
string |
Die Entität stellt den Prozess im System dar. |
RegistryKey |
string |
Die Entität stellt den Registrierungsschlüssel im System dar. |
RegistryValue |
string |
Die Entität stellt den Registrierungswert im System dar. |
SecurityAlert |
string |
Die Entität stellt eine Sicherheitswarnung im System dar. |
SecurityGroup |
string |
Die Entität stellt die Sicherheitsgruppe im System dar. |
SubmissionMail |
string |
Die Entität stellt die Übermittlungs-E-Mail im System dar. |
Url |
string |
Die Entität stellt die URL im System dar. |
HuntingBookmark
Stellt eine Hunting-Lesezeichenentität dar.
Name | Typ | Beschreibung |
---|---|---|
id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Bookmark |
Die Art der Entität. |
name |
string |
Der Name der Ressource |
properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
properties.created |
string |
Der Zeitpunkt, zu dem das Lesezeichen erstellt wurde |
properties.createdBy |
Beschreibt einen Benutzer, der das Lesezeichen erstellt hat. |
|
properties.displayName |
string |
Der Anzeigename des Lesezeichens |
properties.eventTime |
string |
Die Uhrzeit des Ereignisses |
properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
properties.incidentInfo |
Beschreibt einen Vorfall, der sich auf ein Lesezeichen bezieht. |
|
properties.labels |
string[] |
Liste der Bezeichnungen, die für dieses Lesezeichen relevant sind |
properties.notes |
string |
Die Notizen des Lesezeichens |
properties.query |
string |
Die Abfrage des Lesezeichens. |
properties.queryResult |
string |
Das Abfrageergebnis des Lesezeichens. |
properties.updated |
string |
Zeitpunkt der letzten Aktualisierung des Lesezeichens |
properties.updatedBy |
Beschreibt einen Benutzer, der das Lesezeichen aktualisiert hat. |
|
systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
IncidentBookmarkList
Liste der Incidentlesezeichen.
Name | Typ | Beschreibung |
---|---|---|
value |
Array von Incident-Lesezeichen. |
IncidentInfo
Beschreibt verwandte Incidentinformationen für das Lesezeichen.
Name | Typ | Beschreibung |
---|---|---|
incidentId |
string |
Incident-ID |
relationName |
string |
Beziehungsname |
severity |
Der Schweregrad des Vorfalls |
|
title |
string |
Der Titel des Vorfalls |
IncidentSeverity
Der Schweregrad des Vorfalls
Name | Typ | Beschreibung |
---|---|---|
High |
string |
Hoher Schweregrad |
Informational |
string |
Informationsschweregrad |
Low |
string |
Niedriger Schweregrad |
Medium |
string |
Mittlerer Schweregrad |
systemData
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.
Name | Typ | Beschreibung |
---|---|---|
createdAt |
string |
Der Zeitstempel der Ressourcenerstellung (UTC). |
createdBy |
string |
Die Identität, die die Ressource erstellt hat. |
createdByType |
Der Identitätstyp, der die Ressource erstellt hat. |
|
lastModifiedAt |
string |
Der Zeitstempel der letzten Änderung der Ressource (UTC) |
lastModifiedBy |
string |
Die Identität, die die Ressource zuletzt geändert hat. |
lastModifiedByType |
Der Identitätstyp, der die Ressource zuletzt geändert hat. |
UserInfo
Benutzerinformationen, die eine Aktion ausgeführt haben
Name | Typ | Beschreibung |
---|---|---|
string |
Die E-Mail-Adresse des Benutzers. |
|
name |
string |
Der Name des Benutzers. |
objectId |
string |
Die Objekt-ID des Benutzers. |