Watchlists - Create Or Update
Erstellen oder aktualisieren Sie eine Watchlist und ihre Watchlist-Elemente (Massenerstellung, z. B. über text/csv-Inhaltstyp). Um eine Watchlist und ihre Elemente zu erstellen, sollten wir diesen Endpunkt mit den Eigenschaften rawContent und contentType aufrufen.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/watchlists/{watchlistAlias}?api-version=2024-03-01
URI-Parameter
Name | In | Erforderlich | Typ | Beschreibung |
---|---|---|---|---|
resource
|
path | True |
string |
Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet. |
subscription
|
path | True |
string |
Hierbei handelt es sich um die ID des Zielabonnements. |
watchlist
|
path | True |
string |
Der Watchlistalias |
workspace
|
path | True |
string |
Den Namen des Arbeitsbereichs Regex pattern: |
api-version
|
query | True |
string |
Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version. |
Anforderungstext
Name | Erforderlich | Typ | Beschreibung |
---|---|---|---|
properties.displayName | True |
string |
Der Anzeigename der Watchlist |
properties.itemsSearchKey | True |
string |
Der Suchschlüssel wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie beispielsweise eine Spalte mit IP-Adressen, um das angegebene SearchKey-Feld zu sein, und verwenden Sie dieses Feld dann als Schlüsselfeld, wenn Sie nach IP-Adresse andere Ereignisdaten hinzufügen. |
properties.provider | True |
string |
Der Anbieter der Watchlist |
etag |
string |
Etag der Azure-Ressource |
|
properties.contentType |
string |
Der Inhaltstyp des Rohinhalts. Vorerst ist nur text/csv gültig. |
|
properties.created |
string |
Der Zeitpunkt, zu dem die Watchlist erstellt wurde |
|
properties.createdBy |
Beschreibt einen Benutzer, der die Watchlist erstellt hat. |
||
properties.defaultDuration |
string |
Die Standarddauer einer Watchlist (im ISO 8601-Dauerformat) |
|
properties.description |
string |
Eine Beschreibung der Watchlist |
|
properties.isDeleted |
boolean |
Ein Flag, das angibt, ob die Watchlist gelöscht wurde oder nicht |
|
properties.labels |
string[] |
Liste der Bezeichnungen, die für diese Watchlist relevant sind |
|
properties.numberOfLinesToSkip |
integer |
Die Anzahl der Zeilen in einem CSV-Inhalt, der vor dem Header übersprungen werden soll |
|
properties.rawContent |
string |
Der Rohinhalt, der die zu erstellenden Watchlistelemente darstellt. Beispiel : Diese Zeile wird übersprungen header1,header2 value1,value2 |
|
properties.source |
string |
Die Quelle der Watchlist. Akzeptiert nur "Lokale Datei" und "Remotespeicher". Und es muss in der Anforderung enthalten sein. |
|
properties.tenantId |
string |
Die tenantId, zu der die Watchlist gehört |
|
properties.updated |
string |
Der Zeitpunkt, zu dem die Watchlist zuletzt aktualisiert wurde |
|
properties.updatedBy |
Beschreibt einen Benutzer, der die Watchlist aktualisiert hat. |
||
properties.uploadStatus |
string |
Die status des Watchlist-Uploads: Neu, InProgress oder Complete. Hinweis: Wenn ein Watchlist-Upload status InProgress ist, kann die Watchlist nicht gelöscht werden. |
|
properties.watchlistAlias |
string |
Der Alias der Watchlist |
|
properties.watchlistId |
string |
Die ID (guid) der Watchlist |
|
properties.watchlistType |
string |
Der Typ der Watchlist |
Antworten
Name | Typ | Beschreibung |
---|---|---|
200 OK |
OK |
|
201 Created |
Erstellt |
|
Other Status Codes |
Fehlerantwort mit Beschreibung des Grunds für den Fehler. |
Sicherheit
azure_auth
Azure Active Directory-OAuth2-Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Name | Beschreibung |
---|---|
user_impersonation | Identitätswechsel Ihres Benutzerkontos |
Beispiele
Create or update a watchlist and bulk creates watchlist items. |
Create or update a watchlist. |
Create or update a watchlist and bulk creates watchlist items.
Sample Request
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"displayName": "High Value Assets Watchlist",
"source": "Local file",
"provider": "Microsoft",
"description": "Watchlist from CSV content",
"numberOfLinesToSkip": 1,
"rawContent": "This line will be skipped\nheader1,header2\nvalue1,value2",
"itemsSearchKey": "header1",
"contentType": "text/csv"
}
}
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
"name": "highValueAsset",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/Watchlists",
"properties": {
"watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
"displayName": "High Value Assets Watchlist",
"provider": "Microsoft",
"source": "Local file",
"created": "2020-09-28T00:26:54.7746089+00:00",
"updated": "2020-09-28T00:26:57+00:00",
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john@contoso.com",
"name": "john doe"
},
"updatedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john@contoso.com",
"name": "john doe"
},
"description": "Watchlist from CSV content",
"watchlistType": "watchlist",
"watchlistAlias": "highValueAsset",
"itemsSearchKey": "header1",
"isDeleted": false,
"tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
}
}
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
"name": "highValueAsset",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/Watchlists",
"properties": {
"watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
"displayName": "High Value Assets Watchlist",
"provider": "Microsoft",
"source": "Local file",
"created": "2020-09-28T00:26:54.7746089+00:00",
"updated": "2020-09-28T00:26:57+00:00",
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john@contoso.com",
"name": "john doe"
},
"updatedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john@contoso.com",
"name": "john doe"
},
"description": "Watchlist from CSV content",
"watchlistType": "watchlist",
"watchlistAlias": "highValueAsset",
"itemsSearchKey": "header1",
"isDeleted": false,
"tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
}
}
Create or update a watchlist.
Sample Request
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"displayName": "High Value Assets Watchlist",
"source": "Local file",
"provider": "Microsoft",
"description": "Watchlist from CSV content",
"itemsSearchKey": "header1"
}
}
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
"name": "highValueAsset",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/Watchlists",
"properties": {
"watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
"displayName": "High Value Assets Watchlist",
"provider": "Microsoft",
"source": "Local file",
"created": "2020-09-28T00:26:54.7746089+00:00",
"updated": "2020-09-28T00:26:57+00:00",
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john@contoso.com",
"name": "john doe"
},
"updatedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john@contoso.com",
"name": "john doe"
},
"description": "Watchlist from CSV content",
"watchlistType": "watchlist",
"watchlistAlias": "highValueAsset",
"itemsSearchKey": "header1",
"isDeleted": false,
"tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
}
}
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
"name": "highValueAsset",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/Watchlists",
"properties": {
"watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
"displayName": "High Value Assets Watchlist",
"provider": "Microsoft",
"source": "Local file",
"created": "2020-09-28T00:26:54.7746089+00:00",
"updated": "2020-09-28T00:26:57+00:00",
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john@contoso.com",
"name": "john doe"
},
"updatedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john@contoso.com",
"name": "john doe"
},
"description": "Watchlist from CSV content",
"watchlistType": "watchlist",
"watchlistAlias": "highValueAsset",
"itemsSearchKey": "header1",
"isDeleted": false,
"tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
}
}
Definitionen
Name | Beschreibung |
---|---|
Cloud |
Fehlerantwortstruktur. |
Cloud |
Fehlerdetails. |
created |
Der Identitätstyp, der die Ressource erstellt hat. |
system |
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen. |
User |
Benutzerinformationen, die eine Aktion ausgeführt haben |
Watchlist |
Stellt eine Watchlist in Azure Security Insights dar. |
CloudError
Fehlerantwortstruktur.
Name | Typ | Beschreibung |
---|---|---|
error |
Fehlerdaten |
CloudErrorBody
Fehlerdetails.
Name | Typ | Beschreibung |
---|---|---|
code |
string |
Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden. |
message |
string |
Eine Meldung, die den Fehler beschreibt, der für die Anzeige in einer Benutzeroberfläche geeignet sein soll. |
createdByType
Der Identitätstyp, der die Ressource erstellt hat.
Name | Typ | Beschreibung |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
systemData
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.
Name | Typ | Beschreibung |
---|---|---|
createdAt |
string |
Der Zeitstempel der Ressourcenerstellung (UTC). |
createdBy |
string |
Die Identität, die die Ressource erstellt hat. |
createdByType |
Der Identitätstyp, der die Ressource erstellt hat. |
|
lastModifiedAt |
string |
Der Zeitstempel der letzten Änderung der Ressource (UTC) |
lastModifiedBy |
string |
Die Identität, die die Ressource zuletzt geändert hat. |
lastModifiedByType |
Der Identitätstyp, der die Ressource zuletzt geändert hat. |
UserInfo
Benutzerinformationen, die eine Aktion ausgeführt haben
Name | Typ | Beschreibung |
---|---|---|
string |
Die E-Mail-Adresse des Benutzers. |
|
name |
string |
Der Name des Benutzers. |
objectId |
string |
Die Objekt-ID des Benutzers. |
Watchlist
Stellt eine Watchlist in Azure Security Insights dar.
Name | Typ | Beschreibung |
---|---|---|
etag |
string |
Etag der Azure-Ressource |
id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
Der Name der Ressource |
properties.contentType |
string |
Der Inhaltstyp des Rohinhalts. Vorerst ist nur text/csv gültig. |
properties.created |
string |
Der Zeitpunkt, zu dem die Watchlist erstellt wurde |
properties.createdBy |
Beschreibt einen Benutzer, der die Watchlist erstellt hat. |
|
properties.defaultDuration |
string |
Die Standarddauer einer Watchlist (im ISO 8601-Dauerformat) |
properties.description |
string |
Eine Beschreibung der Watchlist |
properties.displayName |
string |
Der Anzeigename der Watchlist |
properties.isDeleted |
boolean |
Ein Flag, das angibt, ob die Watchlist gelöscht wurde oder nicht |
properties.itemsSearchKey |
string |
Der Suchschlüssel wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie beispielsweise eine Spalte mit IP-Adressen, um das angegebene SearchKey-Feld zu sein, und verwenden Sie dieses Feld dann als Schlüsselfeld, wenn Sie nach IP-Adresse andere Ereignisdaten hinzufügen. |
properties.labels |
string[] |
Liste der Bezeichnungen, die für diese Watchlist relevant sind |
properties.numberOfLinesToSkip |
integer |
Die Anzahl der Zeilen in einem CSV-Inhalt, der vor dem Header übersprungen werden soll |
properties.provider |
string |
Der Anbieter der Watchlist |
properties.rawContent |
string |
Der Rohinhalt, der die zu erstellenden Watchlistelemente darstellt. Beispiel : Diese Zeile wird übersprungen header1,header2 value1,value2 |
properties.source |
string |
Die Quelle der Watchlist. Akzeptiert nur "Lokale Datei" und "Remotespeicher". Und es muss in der Anforderung enthalten sein. |
properties.tenantId |
string |
Die tenantId, zu der die Watchlist gehört |
properties.updated |
string |
Der Zeitpunkt, zu dem die Watchlist zuletzt aktualisiert wurde |
properties.updatedBy |
Beschreibt einen Benutzer, der die Watchlist aktualisiert hat. |
|
properties.uploadStatus |
string |
Die status des Watchlist-Uploads: Neu, InProgress oder Complete. Hinweis: Wenn ein Watchlist-Upload status InProgress ist, kann die Watchlist nicht gelöscht werden. |
properties.watchlistAlias |
string |
Der Alias der Watchlist |
properties.watchlistId |
string |
Die ID (guid) der Watchlist |
properties.watchlistType |
string |
Der Typ der Watchlist |
systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |