Watchlists - Create Or Update

Referenz

Service:: Sentinel

API Version:: 2024-03-01

Erstellen oder aktualisieren Sie eine Watchlist und ihre Watchlist-Elemente (Massenerstellung, z. B. über text/csv-Inhaltstyp). Um eine Watchlist und ihre Elemente zu erstellen, sollten wir diesen Endpunkt mit den Eigenschaften rawContent und contentType aufrufen.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/watchlists/{watchlistAlias}?api-version=2024-03-01

URI-Parameter

Name	In	Erforderlich	Typ	Beschreibung
resourceGroupName	path	True	string	Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet.
subscriptionId	path	True	string	Hierbei handelt es sich um die ID des Zielabonnements.
watchlistAlias	path	True	string	Der Watchlistalias
workspaceName	path	True	string	Den Namen des Arbeitsbereichs Regex pattern: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version.

Anforderungstext

Name	Erforderlich	Typ	Beschreibung
properties.displayName	True	string	Der Anzeigename der Watchlist
properties.itemsSearchKey	True	string	Der Suchschlüssel wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie beispielsweise eine Spalte mit IP-Adressen, um das angegebene SearchKey-Feld zu sein, und verwenden Sie dieses Feld dann als Schlüsselfeld, wenn Sie nach IP-Adresse andere Ereignisdaten hinzufügen.
properties.provider	True	string	Der Anbieter der Watchlist
etag		string	Etag der Azure-Ressource
properties.contentType		string	Der Inhaltstyp des Rohinhalts. Vorerst ist nur text/csv gültig.
properties.created		string	Der Zeitpunkt, zu dem die Watchlist erstellt wurde
properties.createdBy		UserInfo	Beschreibt einen Benutzer, der die Watchlist erstellt hat.
properties.defaultDuration		string	Die Standarddauer einer Watchlist (im ISO 8601-Dauerformat)
properties.description		string	Eine Beschreibung der Watchlist
properties.isDeleted		boolean	Ein Flag, das angibt, ob die Watchlist gelöscht wurde oder nicht
properties.labels		string[]	Liste der Bezeichnungen, die für diese Watchlist relevant sind
properties.numberOfLinesToSkip		integer	Die Anzahl der Zeilen in einem CSV-Inhalt, der vor dem Header übersprungen werden soll
properties.rawContent		string	Der Rohinhalt, der die zu erstellenden Watchlistelemente darstellt. Beispiel : Diese Zeile wird übersprungen header1,header2 value1,value2
properties.source		string	Die Quelle der Watchlist. Akzeptiert nur "Lokale Datei" und "Remotespeicher". Und es muss in der Anforderung enthalten sein.
properties.tenantId		string	Die tenantId, zu der die Watchlist gehört
properties.updated		string	Der Zeitpunkt, zu dem die Watchlist zuletzt aktualisiert wurde
properties.updatedBy		UserInfo	Beschreibt einen Benutzer, der die Watchlist aktualisiert hat.
properties.uploadStatus		string	Die status des Watchlist-Uploads: Neu, InProgress oder Complete. Hinweis: Wenn ein Watchlist-Upload status InProgress ist, kann die Watchlist nicht gelöscht werden.
properties.watchlistAlias		string	Der Alias der Watchlist
properties.watchlistId		string	Die ID (guid) der Watchlist
properties.watchlistType		string	Der Typ der Watchlist

Antworten

Name	Typ	Beschreibung
200 OK	Watchlist	OK
201 Created	Watchlist	Erstellt
Other Status Codes	CloudError	Fehlerantwort mit Beschreibung des Grunds für den Fehler.

Sicherheit

azure_auth

Azure Active Directory-OAuth2-Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name	Beschreibung
user_impersonation	Identitätswechsel Ihres Benutzerkontos

Beispiele

Create or update a watchlist and bulk creates watchlist items.

Create or update a watchlist.

Create or update a watchlist and bulk creates watchlist items.

Sample Request

HTTP

PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset?api-version=2024-03-01

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "displayName": "High Value Assets Watchlist",
    "source": "Local file",
    "provider": "Microsoft",
    "description": "Watchlist from CSV content",
    "numberOfLinesToSkip": 1,
    "rawContent": "This line will be skipped\nheader1,header2\nvalue1,value2",
    "itemsSearchKey": "header1",
    "contentType": "text/csv"
  }
}

Sample Response

Status code:: 200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
  "name": "highValueAsset",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/Watchlists",
  "properties": {
    "watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
    "displayName": "High Value Assets Watchlist",
    "provider": "Microsoft",
    "source": "Local file",
    "created": "2020-09-28T00:26:54.7746089+00:00",
    "updated": "2020-09-28T00:26:57+00:00",
    "createdBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john@contoso.com",
      "name": "john doe"
    },
    "updatedBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john@contoso.com",
      "name": "john doe"
    },
    "description": "Watchlist from CSV content",
    "watchlistType": "watchlist",
    "watchlistAlias": "highValueAsset",
    "itemsSearchKey": "header1",
    "isDeleted": false,
    "tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
  }
}

Status code:: 201

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
  "name": "highValueAsset",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/Watchlists",
  "properties": {
    "watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
    "displayName": "High Value Assets Watchlist",
    "provider": "Microsoft",
    "source": "Local file",
    "created": "2020-09-28T00:26:54.7746089+00:00",
    "updated": "2020-09-28T00:26:57+00:00",
    "createdBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john@contoso.com",
      "name": "john doe"
    },
    "updatedBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john@contoso.com",
      "name": "john doe"
    },
    "description": "Watchlist from CSV content",
    "watchlistType": "watchlist",
    "watchlistAlias": "highValueAsset",
    "itemsSearchKey": "header1",
    "isDeleted": false,
    "tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
  }
}

Create or update a watchlist.

Sample Request

HTTP

PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset?api-version=2024-03-01

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "displayName": "High Value Assets Watchlist",
    "source": "Local file",
    "provider": "Microsoft",
    "description": "Watchlist from CSV content",
    "itemsSearchKey": "header1"
  }
}

Sample Response

Status code:: 200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
  "name": "highValueAsset",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/Watchlists",
  "properties": {
    "watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
    "displayName": "High Value Assets Watchlist",
    "provider": "Microsoft",
    "source": "Local file",
    "created": "2020-09-28T00:26:54.7746089+00:00",
    "updated": "2020-09-28T00:26:57+00:00",
    "createdBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john@contoso.com",
      "name": "john doe"
    },
    "updatedBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john@contoso.com",
      "name": "john doe"
    },
    "description": "Watchlist from CSV content",
    "watchlistType": "watchlist",
    "watchlistAlias": "highValueAsset",
    "itemsSearchKey": "header1",
    "isDeleted": false,
    "tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
  }
}

Status code:: 201

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
  "name": "highValueAsset",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/Watchlists",
  "properties": {
    "watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
    "displayName": "High Value Assets Watchlist",
    "provider": "Microsoft",
    "source": "Local file",
    "created": "2020-09-28T00:26:54.7746089+00:00",
    "updated": "2020-09-28T00:26:57+00:00",
    "createdBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john@contoso.com",
      "name": "john doe"
    },
    "updatedBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john@contoso.com",
      "name": "john doe"
    },
    "description": "Watchlist from CSV content",
    "watchlistType": "watchlist",
    "watchlistAlias": "highValueAsset",
    "itemsSearchKey": "header1",
    "isDeleted": false,
    "tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
  }
}

Definitionen

Name	Beschreibung
CloudError	Fehlerantwortstruktur.
CloudErrorBody	Fehlerdetails.
createdByType	Der Identitätstyp, der die Ressource erstellt hat.
systemData	Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.
UserInfo	Benutzerinformationen, die eine Aktion ausgeführt haben
Watchlist	Stellt eine Watchlist in Azure Security Insights dar.

CloudError

Fehlerantwortstruktur.

Name	Typ	Beschreibung
error	CloudErrorBody	Fehlerdaten

CloudErrorBody

Fehlerdetails.

Name	Typ	Beschreibung
code	string	Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden.
message	string	Eine Meldung, die den Fehler beschreibt, der für die Anzeige in einer Benutzeroberfläche geeignet sein soll.

createdByType

Der Identitätstyp, der die Ressource erstellt hat.

Name	Typ	Beschreibung
Application	string
Key	string
ManagedIdentity	string
User	string

systemData

Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.

Name	Typ	Beschreibung
createdAt	string	Der Zeitstempel der Ressourcenerstellung (UTC).
createdBy	string	Die Identität, die die Ressource erstellt hat.
createdByType	createdByType	Der Identitätstyp, der die Ressource erstellt hat.
lastModifiedAt	string	Der Zeitstempel der letzten Änderung der Ressource (UTC)
lastModifiedBy	string	Die Identität, die die Ressource zuletzt geändert hat.
lastModifiedByType	createdByType	Der Identitätstyp, der die Ressource zuletzt geändert hat.

UserInfo

Benutzerinformationen, die eine Aktion ausgeführt haben

Name	Typ	Beschreibung
email	string	Die E-Mail-Adresse des Benutzers.
name	string	Der Name des Benutzers.
objectId	string	Die Objekt-ID des Benutzers.

Watchlist

Stellt eine Watchlist in Azure Security Insights dar.

Name	Typ	Beschreibung
etag	string	Etag der Azure-Ressource
id	string	Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
name	string	Der Name der Ressource
properties.contentType	string	Der Inhaltstyp des Rohinhalts. Vorerst ist nur text/csv gültig.
properties.created	string	Der Zeitpunkt, zu dem die Watchlist erstellt wurde
properties.createdBy	UserInfo	Beschreibt einen Benutzer, der die Watchlist erstellt hat.
properties.defaultDuration	string	Die Standarddauer einer Watchlist (im ISO 8601-Dauerformat)
properties.description	string	Eine Beschreibung der Watchlist
properties.displayName	string	Der Anzeigename der Watchlist
properties.isDeleted	boolean	Ein Flag, das angibt, ob die Watchlist gelöscht wurde oder nicht
properties.itemsSearchKey	string	Der Suchschlüssel wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie beispielsweise eine Spalte mit IP-Adressen, um das angegebene SearchKey-Feld zu sein, und verwenden Sie dieses Feld dann als Schlüsselfeld, wenn Sie nach IP-Adresse andere Ereignisdaten hinzufügen.
properties.labels	string[]	Liste der Bezeichnungen, die für diese Watchlist relevant sind
properties.numberOfLinesToSkip	integer	Die Anzahl der Zeilen in einem CSV-Inhalt, der vor dem Header übersprungen werden soll
properties.provider	string	Der Anbieter der Watchlist
properties.rawContent	string	Der Rohinhalt, der die zu erstellenden Watchlistelemente darstellt. Beispiel : Diese Zeile wird übersprungen header1,header2 value1,value2
properties.source	string	Die Quelle der Watchlist. Akzeptiert nur "Lokale Datei" und "Remotespeicher". Und es muss in der Anforderung enthalten sein.
properties.tenantId	string	Die tenantId, zu der die Watchlist gehört
properties.updated	string	Der Zeitpunkt, zu dem die Watchlist zuletzt aktualisiert wurde
properties.updatedBy	UserInfo	Beschreibt einen Benutzer, der die Watchlist aktualisiert hat.
properties.uploadStatus	string	Die status des Watchlist-Uploads: Neu, InProgress oder Complete. Hinweis: Wenn ein Watchlist-Upload status InProgress ist, kann die Watchlist nicht gelöscht werden.
properties.watchlistAlias	string	Der Alias der Watchlist
properties.watchlistId	string	Die ID (guid) der Watchlist
properties.watchlistType	string	Der Typ der Watchlist
systemData	systemData	Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen.
type	string	Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts"

Watchlists - Create Or Update

URI-Parameter

Anforderungstext

Antworten

Sicherheit

azure_auth

Scopes

Beispiele

Create or update a watchlist and bulk creates watchlist items.

Sample Request

Sample Response

Create or update a watchlist.

Sample Request

Sample Response

Definitionen

CloudError

CloudErrorBody

createdByType

systemData

UserInfo

Watchlist

Zusätzliche Ressourcen