Incidents - List Bookmarks
Ruft alle Lesezeichen für einen Incident ab.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/bookmarks?api-version=2024-03-01URI-Parameter
| Name | In | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
incident
|
path | True |
string |
Incident-ID |
|
resource
|
path | True |
string |
Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet. |
|
subscription
|
path | True |
string uuid |
Hierbei handelt es sich um die ID des Zielabonnements. Der Wert muss eine UUID sein. |
|
workspace
|
path | True |
string |
Den Namen des Arbeitsbereichs Regex pattern: |
|
api-version
|
query | True |
string |
Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version. |
Antworten
| Name | Typ | Beschreibung |
|---|---|---|
| 200 OK |
OK |
|
| Other Status Codes |
Fehlerantwort mit Beschreibung des Grunds für den Fehler. |
Sicherheit
azure_auth
Azure Active Directory-OAuth2-Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Name | Beschreibung |
|---|---|
| user_impersonation | Identitätswechsel Ihres Benutzerkontos |
Beispiele
Get all incident bookmarks.
Sample Request
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/bookmarks?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/afbd324f-6c48-459c-8710-8d1e1cd03812",
"name": "afbd324f-6c48-459c-8710-8d1e1cd03812",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Bookmark",
"properties": {
"displayName": "SecurityEvent - 868f40f4698d",
"created": "2020-06-17T15:34:01.4265524+00:00",
"updated": "2020-06-17T15:34:01.4265524+00:00",
"createdBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"updatedBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"eventTime": "2020-06-17T15:34:01.4265524+00:00",
"labels": [],
"query": "SecurityEvent\r\n| take 1\n",
"queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
"additionalData": {
"ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
"EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
},
"friendlyName": "SecurityEvent - 868f40f4698d"
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/bbbd324f-6c48-459c-8710-8d1e1cd03812",
"name": "bbbd324f-6c48-459c-8710-8d1e1cd03812",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Bookmark",
"properties": {
"displayName": "SecurityEvent - 868f40f4698d",
"created": "2020-06-17T15:34:01.4265524+00:00",
"updated": "2020-06-17T15:34:01.4265524+00:00",
"createdBy": {
"objectId": "303ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"updatedBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"eventTime": "2020-06-17T15:34:01.4265524+00:00",
"labels": [],
"query": "SecurityEvent\r\n| take 1\n",
"queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
"additionalData": {
"ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
"EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
},
"friendlyName": "SecurityEvent - 868f40f4698d"
}
}
]
}Definitionen
| Name | Beschreibung |
|---|---|
|
Cloud |
Fehlerantwortstruktur. |
|
Cloud |
Fehlerdetails. |
|
created |
Der Identitätstyp, der die Ressource erstellt hat. |
|
Entity |
Die Art der aggregierten Entität. |
|
Hunting |
Stellt eine Hunting-Lesezeichenentität dar. |
|
Incident |
Liste der Incidentlesezeichen. |
|
Incident |
Beschreibt verwandte Incidentinformationen für das Lesezeichen. |
|
Incident |
Der Schweregrad des Vorfalls |
|
system |
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen. |
|
User |
Benutzerinformationen, die eine Aktion ausgeführt haben |
CloudError
Fehlerantwortstruktur.
| Name | Typ | Beschreibung |
|---|---|---|
| error |
Fehlerdaten |
CloudErrorBody
Fehlerdetails.
| Name | Typ | Beschreibung |
|---|---|---|
| code |
string |
Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden. |
| message |
string |
Eine Meldung, die den Fehler beschreibt, die für die Anzeige in einer Benutzeroberfläche geeignet sein soll. |
createdByType
Der Identitätstyp, der die Ressource erstellt hat.
| Name | Typ | Beschreibung |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityKindEnum
Die Art der aggregierten Entität.
| Name | Typ | Beschreibung |
|---|---|---|
| Account |
string |
Die Entität stellt das Konto im System dar. |
| AzureResource |
string |
Die Entität stellt die Azure-Ressource im System dar. |
| Bookmark |
string |
Die Entität stellt ein Lesezeichen im System dar. |
| CloudApplication |
string |
Die Entität stellt eine Cloudanwendung im System dar. |
| DnsResolution |
string |
Die Entität stellt die DNS-Auflösung im System dar. |
| File |
string |
Die Entität stellt die Datei im System dar. |
| FileHash |
string |
Die Entität stellt den Dateihash im System dar. |
| Host |
string |
Die Entität stellt den Host im System dar. |
| IoTDevice |
string |
Die Entität stellt das IoT-Gerät im System dar. |
| Ip |
string |
Die Entität stellt ip im System dar. |
| MailCluster |
string |
Die Entität stellt den E-Mail-Cluster im System dar. |
| MailMessage |
string |
Die Entität stellt eine E-Mail-Nachricht im System dar. |
| Mailbox |
string |
Die Entität stellt das Postfach im System dar. |
| Malware |
string |
Die Entität stellt Schadsoftware im System dar. |
| Process |
string |
Die Entität stellt den Prozess im System dar. |
| RegistryKey |
string |
Die Entität stellt den Registrierungsschlüssel im System dar. |
| RegistryValue |
string |
Die Entität stellt den Registrierungswert im System dar. |
| SecurityAlert |
string |
Die Entität stellt eine Sicherheitswarnung im System dar. |
| SecurityGroup |
string |
Die Entität stellt die Sicherheitsgruppe im System dar. |
| SubmissionMail |
string |
Die Entität stellt die Übermittlungs-E-Mail im System dar. |
| Url |
string |
Die Entität stellt die URL im System dar. |
HuntingBookmark
Stellt eine Hunting-Lesezeichenentität dar.
| Name | Typ | Beschreibung |
|---|---|---|
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Bookmark |
Die Art der Entität. |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollen und dem Benutzer angezeigt werden. |
| properties.created |
string |
Der Zeitpunkt, zu dem das Lesezeichen erstellt wurde |
| properties.createdBy |
Beschreibt einen Benutzer, der das Lesezeichen erstellt hat. |
|
| properties.displayName |
string |
Der Anzeigename des Lesezeichens |
| properties.eventTime |
string |
Die Uhrzeit des Ereignisses |
| properties.friendlyName |
string |
Der Anzeigename des Graphelements, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
| properties.incidentInfo |
Beschreibt einen Vorfall, der sich auf ein Lesezeichen bezieht. |
|
| properties.labels |
string[] |
Liste der Bezeichnungen, die für dieses Lesezeichen relevant sind |
| properties.notes |
string |
Die Notizen des Lesezeichens |
| properties.query |
string |
Die Abfrage des Lesezeichens. |
| properties.queryResult |
string |
Das Abfrageergebnis des Lesezeichens. |
| properties.updated |
string |
Zeitpunkt der letzten Aktualisierung des Lesezeichens |
| properties.updatedBy |
Beschreibt einen Benutzer, der das Lesezeichen aktualisiert hat. |
|
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
IncidentBookmarkList
Liste der Incidentlesezeichen.
| Name | Typ | Beschreibung |
|---|---|---|
| value |
Array von Incident-Lesezeichen. |
IncidentInfo
Beschreibt verwandte Incidentinformationen für das Lesezeichen.
| Name | Typ | Beschreibung |
|---|---|---|
| incidentId |
string |
Incident-ID |
| relationName |
string |
Beziehungsname |
| severity |
Der Schweregrad des Vorfalls |
|
| title |
string |
Der Titel des Vorfalls |
IncidentSeverity
Der Schweregrad des Vorfalls
| Name | Typ | Beschreibung |
|---|---|---|
| High |
string |
Hoher Schweregrad |
| Informational |
string |
Informationsschweregrad |
| Low |
string |
Niedriger Schweregrad |
| Medium |
string |
Mittlerer Schweregrad |
systemData
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.
| Name | Typ | Beschreibung |
|---|---|---|
| createdAt |
string |
Der Zeitstempel der Ressourcenerstellung (UTC). |
| createdBy |
string |
Die Identität, die die Ressource erstellt hat. |
| createdByType |
Der Identitätstyp, der die Ressource erstellt hat. |
|
| lastModifiedAt |
string |
Der Zeitstempel der letzten Änderung der Ressource (UTC) |
| lastModifiedBy |
string |
Die Identität, die die Ressource zuletzt geändert hat. |
| lastModifiedByType |
Der Identitätstyp, der die Ressource zuletzt geändert hat. |
UserInfo
Benutzerinformationen, die eine Aktion ausgeführt haben
| Name | Typ | Beschreibung |
|---|---|---|
|
string |
Die E-Mail-Adresse des Benutzers. |
|
| name |
string |
Der Name des Benutzers. |
| objectId |
string |
Die Objekt-ID des Benutzers. |