Compartir a través de

Entities Get Timeline - list

Servicio:
Sentinel
Versión de la API:
2025-04-01-preview

Escala de tiempo de una entidad.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{entityId}/getTimeline?api-version=2025-04-01-preview

Parámetros de identificador URI

Nombre En Requerido Tipo Description
entityId
 path True

string

id. de entidad
resourceGroupName
 path True

string

minLength: 1
maxLength: 90

Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas.
subscriptionId
 path True

string (uuid)

Identificador de la suscripción de destino. El valor debe ser un UUID.
workspaceName
 path True

string

minLength: 1
maxLength: 90
pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

Nombre del área de trabajo.
api-version
 query True

string

minLength: 1

Versión de la API que se va a usar para esta operación.

Cuerpo de la solicitud

Nombre Requerido Tipo Description
endTime True

string (date-time)

Fecha de la escala de tiempo de finalización, por lo que los resultados devueltos son anteriores a esta fecha.
startTime True

string (date-time)

La fecha de la escala de tiempo de inicio, por lo que los resultados devueltos son posteriores a esta fecha.
kinds

EntityTimelineKind[]

Matriz de tipos de elemento de escala de tiempo.
numberOfBucket

integer (int32)

Número de cubos para la agregación de consultas de escala de tiempo.

Respuestas

Nombre Tipo Description
200 OK

EntityTimelineResponse

De acuerdo
Other Status Codes

CloudError

Respuesta de error que describe por qué se produjo un error en la operación.

Seguridad

azure_auth

Flujo de OAuth2 de Azure Active Directory

Tipo: oauth2
Flujo: implicit
Dirección URL de autorización: https://login.microsoftonline.com/common/oauth2/authorize

Ámbitos

Nombre Description
user_impersonation suplantar la cuenta de usuario

Ejemplos

Entity timeline

Solicitud de ejemplo

POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1/getTimeline?api-version=2025-04-01-preview

{
  "numberOfBucket": 4,
  "startTime": "2021-09-01T00:00:00.000Z",
  "endTime": "2021-10-01T00:00:00.000Z"
}

Respuesta de muestra

status code:
200 
{
  "value": [
    {
      "kind": "SecurityAlert",
      "description": "The alert description",
      "azureResourceId": "4467341f-fb73-4f99-a9b3-29473532cf5a_bf7c3a2f-b743-6410-3ff0-ec64b5995d50",
      "productName": "Azure Sentinel",
      "displayName": "Alert display name",
      "severity": "Medium",
      "endTimeUtc": "2021-09-01T23:31:28.02Z",
      "startTimeUtc": "2021-09-01T23:32:28.01Z",
      "timeGenerated": "2021-09-01T23:37:25.8136594Z",
      "alertType": "4467341f-fb73-4f99-a9b3-29473532cf5a_c93bf33e-055e-4972-9e7d-f84fe3fb61ae",
      "Intent": "Discovery"
    },
    {
      "kind": "Activity",
      "queryId": "e0459780-ac9d-4b72-8bd4-fecf6b46a0a1",
      "bucketStartTimeUTC": "2021-09-01T21:31:28.02Z",
      "bucketEndTimeUTC": "2021-09-01T23:31:28.02Z",
      "firstActivityTimeUTC": "2021-09-01T21:35:28.02Z",
      "lastActivityTimeUTC": "2021-09-01T21:35:28.02Z",
      "content": "he user has deleted the account 3 time(s)",
      "title": "The user has deleted an account"
    },
    {
      "kind": "Anomaly",
      "azureResourceId": "4467341f-fb73-4f99-a9b3-29473532cf5a_d56430ef-f421-2c9c-0b7d-d082285843c6",
      "description": "Anomalous private to public port scanning activity with high destination port count along with low port ratio. The ratios are normalized by multiplying them by 10,000 to get them to a more usable value between 0.0 and 1.0.",
      "productName": "Azure Sentinel",
      "displayName": "(Preview) Anomalous scanning activity",
      "endTimeUtc": "2021-09-01T23:31:28.02Z",
      "startTimeUtc": "2021-09-01T23:32:28.01Z",
      "timeGenerated": "2021-09-01T23:37:25.8136594Z",
      "vendor": "Microsoft",
      "intent": "Discovery",
      "techniques": [
        "T1046"
      ],
      "reasons": [
        "High destination port count",
        "Low port ratio"
      ]
    }
  ],
  "metaData": {
    "totalCount": 6,
    "aggregations": [
      {
        "count": 4,
        "kind": "Activity"
      },
      {
        "count": 2,
        "kind": "SecurityAlert"
      },
      {
        "count": 1,
        "kind": "Anomaly"
      }
    ],
    "errors": [
      {
        "kind": "Activity",
        "queryId": "11067f9f-d6a7-4488-887f-0ba564268879",
        "errorMessage": "syntax error"
      },
      {
        "kind": "SecurityAlert",
        "errorMessage": "internal server error"
      }
    ]
  }
}

Definiciones

Nombre Description
ActivityTimelineItem

Representa el elemento de escala de tiempo de actividad.
AlertSeverity

Gravedad de la alerta.
AnomalyTimelineItem

Representa el elemento de escala de tiempo de anomalías.
BookmarkTimelineItem

Representa el elemento de escala de tiempo del marcador.
CloudError

Estructura de respuesta de error.
CloudErrorBody

Detalles del error.
EntityTimelineKind

El tipo de consulta de entidad
EntityTimelineParameters

Los parámetros necesarios para ejecutar la operación de escala de tiempo en la entidad especificada.
EntityTimelineResponse

Respuesta de la operación de resultado de la escala de tiempo de la entidad.
KillChainIntent

Intención de la alerta.
SecurityAlertTimelineItem

Representa el elemento de escala de tiempo de alerta de seguridad.
TimelineAggregation

información de agregación de escala de tiempo por tipo
TimelineError

Errores de consulta de escala de tiempo.
TimelineResultsMetadata

Metadatos de resultados de expansión.
UserInfo

Información del usuario que realizó alguna acción

ActivityTimelineItem

Object

Representa el elemento de escala de tiempo de actividad.

Nombre Tipo Description
bucketEndTimeUTC

string (date-time)

Hora de finalización del cubo de agrupación.
bucketStartTimeUTC

string (date-time)

Hora de inicio del cubo de agrupación.
content

string

Contenido de la escala de tiempo de actividad.
firstActivityTimeUTC

string (date-time)

Hora de la primera actividad en el cubo de agrupación.
kind string:

Activity

Tipo de consulta de entidad.
lastActivityTimeUTC

string (date-time)

Hora de la última actividad en el cubo de agrupación.
queryId

string

Identificador de consulta de actividad.
title

string

Título de la escala de tiempo de actividad.

AlertSeverity

Enumeración

Gravedad de la alerta.

Valor Description
High

Gravedad alta
Medium

Gravedad media
Low

Gravedad baja
Informational

Gravedad informativa

AnomalyTimelineItem

Object

Representa el elemento de escala de tiempo de anomalías.

Nombre Tipo Description
azureResourceId

string

Identificador de recurso de Azure de anomalías.
description

string

Descripción de anomalías.
displayName

string

Nombre de anomalía.
endTimeUtc

string (date-time)

Hora de finalización de anomalías.
intent

string

Intención de la anomalía.
kind string:

Anomaly

Tipo de consulta de entidad.
productName

string

Nombre del producto de anomalías.
reasons

string[]

Las razones por las que se produce la anomalía.
startTimeUtc

string (date-time)

Hora de inicio de anomalías.
techniques

string[]

Las técnicas de la anomalía.
timeGenerated

string (date-time)

Hora generada por anomalías.
vendor

string

Nombre del proveedor de anomalías.

BookmarkTimelineItem

Object

Representa el elemento de escala de tiempo del marcador.

Nombre Tipo Description
azureResourceId

string

Identificador de recurso de Azure marcador.
createdBy

UserInfo

Describe un usuario que creó el marcador.
displayName

string

Nombre para mostrar del marcador.
endTimeUtc

string (date-time)

Hora de finalización del marcador.
eventTime

string (date-time)

Hora del evento de marcador.
kind string:

Bookmark

Tipo de consulta de entidad.
labels

string[]

Lista de etiquetas relevantes para este marcador
notes

string

Notas del marcador
startTimeUtc

string (date-time)

Hora de inicio del marcador.

CloudError

Object

Estructura de respuesta de error.

Nombre Tipo Description
error

CloudErrorBody

Datos de error

CloudErrorBody

Object

Detalles del error.

Nombre Tipo Description
code

string

Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación.
message

string

Mensaje que describe el error, diseñado para ser adecuado para mostrarse en una interfaz de usuario.

EntityTimelineKind

Enumeración

El tipo de consulta de entidad

Valor Description
Activity

actividad
Bookmark

marcadores
SecurityAlert

alertas de seguridad
Anomaly

anomalía

EntityTimelineParameters

Object

Los parámetros necesarios para ejecutar la operación de escala de tiempo en la entidad especificada.

Nombre Tipo Description
endTime

string (date-time)

Fecha de la escala de tiempo de finalización, por lo que los resultados devueltos son anteriores a esta fecha.
kinds

EntityTimelineKind[]

Matriz de tipos de elemento de escala de tiempo.
numberOfBucket

integer (int32)

Número de cubos para la agregación de consultas de escala de tiempo.
startTime

string (date-time)

La fecha de la escala de tiempo de inicio, por lo que los resultados devueltos son posteriores a esta fecha.

EntityTimelineResponse

Object

Respuesta de la operación de resultado de la escala de tiempo de la entidad.

Nombre Tipo Description
metaData

TimelineResultsMetadata

Metadatos de los resultados de la operación de escala de tiempo.
value EntityTimelineItem[]:

Valores de resultado de la escala de tiempo.

KillChainIntent

Enumeración

Intención de la alerta.

Valor Description
Unknown

Valor predeterminado.
Probing

El sondeo podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. Normalmente, este paso se detecta como un intento de origen desde fuera de la red en intento de examinar el sistema de destino y encontrar una manera de hacerlo.
Exploitation

La explotación es la fase en la que un atacante se encarga de mantener el pie de página en el recurso atacado. Esta fase es aplicable no solo para los hosts de proceso, sino también para recursos como cuentas de usuario, certificados, etc. Los adversarios a menudo podrán controlar el recurso después de esta fase.
Persistence

La persistencia es cualquier cambio de acceso, acción o configuración a un sistema que proporciona a un adversario una presencia persistente en ese sistema. Los adversarios a menudo necesitarán mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requerirían una herramienta de acceso remoto para reiniciar o alternar la puerta trasera para que recuperen el acceso.
PrivilegeEscalation

La elevación de privilegios es el resultado de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Algunas herramientas o acciones requieren un mayor nivel de privilegio para trabajar y es probable que sean necesarias en muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios logren su objetivo también pueden considerarse una escalación de privilegios.
DefenseEvasion

La evasión de defensa consiste en técnicas que un adversario puede usar para eludir la detección o evitar otras defensas. A veces, estas acciones son iguales o variaciones de técnicas en otras categorías que tienen la ventaja adicional de subvertir una defensa o mitigación determinada.
CredentialAccess

El acceso a credenciales representa técnicas que dan lugar a acceso o control sobre las credenciales de sistema, dominio o servicio que se usan en un entorno empresarial. Es probable que los adversarios intenten obtener credenciales legítimas de usuarios o cuentas de administrador (administradores del sistema local o usuarios de dominio con acceso de administrador) para usarlos en la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno.
Discovery

La detección consta de técnicas que permiten al adversario obtener conocimientos sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben navegar a sí mismos a lo que ahora tienen control de y de qué beneficios funciona de ese sistema dan a su objetivo actual o objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase posterior a la recopilación de información.
LateralMovement

El movimiento lateral consta de técnicas que permiten a un adversario acceder y controlar sistemas remotos en una red y podrían, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, incluida la ejecución remota de herramientas, la dinamización a sistemas adicionales, el acceso a información o archivos específicos, el acceso a credenciales adicionales o provocar un efecto.
Execution

La táctica de ejecución representa técnicas que dan lugar a la ejecución de código controlado por adversarios en un sistema local o remoto. Esta táctica se usa a menudo junto con el movimiento lateral para expandir el acceso a sistemas remotos en una red.
Collection

La colección consta de técnicas que se usan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la filtración. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario puede buscar información para filtrar.
Exfiltration

La filtración hace referencia a técnicas y atributos que dan como resultado o ayudan al adversario a quitar archivos e información de una red de destino. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario puede buscar información para filtrar.
CommandAndControl

La táctica de comando y control representa cómo los adversarios se comunican con los sistemas bajo su control dentro de una red de destino.
Impact

El objetivo principal de la intención de impacto es reducir directamente la disponibilidad o integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto a menudo se referiría a técnicas como el software de rescate, la desfase, la manipulación de datos y otros.

SecurityAlertTimelineItem

Object

Representa el elemento de escala de tiempo de alerta de seguridad.

Nombre Tipo Description
alertType

string

Nombre del tipo de alerta.
azureResourceId

string

Identificador de recurso de Azure de alerta.
description

string

Descripción de la alerta.
displayName

string

Nombre de la alerta.
endTimeUtc

string (date-time)

Hora de finalización de la alerta.
intent

KillChainIntent

Intención de la alerta.
kind string:

SecurityAlert

Tipo de consulta de entidad.
productName

string

Nombre del producto de alerta.
severity

AlertSeverity

Gravedad de la alerta.
startTimeUtc

string (date-time)

Hora de inicio de la alerta.
techniques

string[]

Técnicas de la alerta.
timeGenerated

string (date-time)

Hora generada por la alerta.

TimelineAggregation

Object

información de agregación de escala de tiempo por tipo

Nombre Tipo Description
count

integer (int32)

el total de elementos encontrados para un tipo
kind

EntityTimelineKind

el tipo de consulta

TimelineError

Object

Errores de consulta de escala de tiempo.

Nombre Tipo Description
errorMessage

string

el mensaje de error
kind

EntityTimelineKind

el tipo de consulta
queryId

string

el identificador de consulta

TimelineResultsMetadata

Object

Metadatos de resultados de expansión.

Nombre Tipo Description
aggregations

TimelineAggregation[]

agregación de escala de tiempo por tipo
errors

TimelineError[]

información sobre las consultas de error
totalCount

integer (int32)

el total de elementos encontrados para la solicitud de escala de tiempo

UserInfo

Object

Información del usuario que realizó alguna acción

Nombre Tipo Description
email

string

El correo electrónico del usuario.
name

string

Nombre del usuario.
objectId

string (uuid)

Identificador de objeto del usuario.