Incidents - Get
Obtiene un incidente determinado.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01
Parámetros de identificador URI
Nombre | En | Requerido | Tipo | Description |
---|---|---|---|---|
incident
|
path | True |
string |
Identificador de incidente |
resource
|
path | True |
string |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
subscription
|
path | True |
string uuid |
Identificador de la suscripción de destino. El valor debe ser un UUID. |
workspace
|
path | True |
string |
El nombre del área de trabajo. Patrón de Regex: |
api-version
|
query | True |
string |
Versión de API que se usará para la operación. |
Respuestas
Nombre | Tipo | Description |
---|---|---|
200 OK |
Correcto, operación completada correctamente |
|
Other Status Codes |
Respuesta de error que describe el motivo del error de la operación. |
Seguridad
azure_auth
Flujo OAuth2 de Azure Active Directory
Tipo:
oauth2
Flujo:
implicit
Dirección URL de autorización:
https://login.microsoftonline.com/common/oauth2/authorize
Ámbitos
Nombre | Description |
---|---|
user_impersonation | suplantación de su cuenta de usuario |
Ejemplos
Get an incident.
Solicitud de ejemplo
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
Respuesta de muestra
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "InaccurateData",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"InitialAccess",
"Persistence"
]
}
}
}
Definiciones
Nombre | Description |
---|---|
Attack |
Gravedad de las alertas creadas por esta regla de alertas. |
Cloud |
Estructura de respuesta de error. |
Cloud |
Detalles del error. |
created |
Tipo de identidad que creó el recurso. |
Incident |
Representa un incidente en Azure Security Insights. |
Incident |
Contenedor de propiedades de datos adicionales del incidente. |
Incident |
Motivo por el que se cerró el incidente |
Incident |
Motivo de clasificación por el que se cerró el incidente |
Incident |
Representa una etiqueta de incidente |
Incident |
Tipo de la etiqueta |
Incident |
Información sobre el usuario a la que se asigna un incidente |
Incident |
Gravedad del incidente |
Incident |
El estado del incidente |
Owner |
Tipo del propietario al que se asigna el incidente. |
system |
Metadatos relacionados con la creación y la última modificación del recurso. |
AttackTactic
Gravedad de las alertas creadas por esta regla de alertas.
Nombre | Tipo | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Estructura de respuesta de error.
Nombre | Tipo | Description |
---|---|---|
error |
Datos inválidos |
CloudErrorBody
Detalles del error.
Nombre | Tipo | Description |
---|---|---|
code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
message |
string |
Mensaje que describe el error, diseñado para ser adecuado para mostrarse en una interfaz de usuario. |
createdByType
Tipo de identidad que creó el recurso.
Nombre | Tipo | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Representa un incidente en Azure Security Insights.
Nombre | Tipo | Description |
---|---|---|
etag |
string |
Etag del recurso de Azure |
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
Nombre del recurso. |
properties.additionalData |
Datos adicionales sobre el incidente |
|
properties.classification |
Motivo por el que se cerró el incidente |
|
properties.classificationComment |
string |
Describe el motivo por el que se cerró el incidente. |
properties.classificationReason |
Motivo de clasificación por el que se cerró el incidente |
|
properties.createdTimeUtc |
string |
Hora en que se creó el incidente |
properties.description |
string |
Descripción del incidente |
properties.firstActivityTimeUtc |
string |
Hora de la primera actividad del incidente |
properties.incidentNumber |
integer |
Un número secuencial |
properties.incidentUrl |
string |
Dirección URL del vínculo profundo al incidente en Azure Portal |
properties.labels |
Lista de etiquetas relevantes para este incidente |
|
properties.lastActivityTimeUtc |
string |
Hora de la última actividad del incidente |
properties.lastModifiedTimeUtc |
string |
La última vez que se actualizó el incidente |
properties.owner |
Describe un usuario al que se asigna el incidente. |
|
properties.providerIncidentId |
string |
El identificador de incidente asignado por el proveedor de incidentes |
properties.providerName |
string |
Nombre del proveedor de origen que generó el incidente. |
properties.relatedAnalyticRuleIds |
string[] |
Lista de identificadores de recursos de reglas analíticas relacionadas con el incidente |
properties.severity |
Gravedad del incidente |
|
properties.status |
El estado del incidente |
|
properties.title |
string |
Título del incidente |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Contenedor de propiedades de datos adicionales del incidente.
Nombre | Tipo | Description |
---|---|---|
alertProductNames |
string[] |
Lista de nombres de producto de alertas en el incidente |
alertsCount |
integer |
El número de alertas del incidente |
bookmarksCount |
integer |
Número de marcadores del incidente |
commentsCount |
integer |
Número de comentarios en el incidente |
providerIncidentUrl |
string |
Dirección URL del incidente del proveedor al incidente en el portal de Microsoft 365 Defender |
tactics |
Tácticas asociadas al incidente |
IncidentClassification
Motivo por el que se cerró el incidente
Nombre | Tipo | Description |
---|---|---|
BenignPositive |
string |
El incidente fue positivo benigno |
FalsePositive |
string |
El incidente era falso positivo |
TruePositive |
string |
El incidente fue verdadero positivo |
Undetermined |
string |
La clasificación de incidentes no estaba definida |
IncidentClassificationReason
Motivo de clasificación por el que se cerró el incidente
Nombre | Tipo | Description |
---|---|---|
InaccurateData |
string |
La razón de clasificación era datos inexactos |
IncorrectAlertLogic |
string |
El motivo de clasificación era una lógica de alerta incorrecta |
SuspiciousActivity |
string |
El motivo de clasificación era una actividad sospechosa |
SuspiciousButExpected |
string |
La razón de clasificación era sospechosa, pero se esperaba |
IncidentLabel
Representa una etiqueta de incidente
Nombre | Tipo | Description |
---|---|---|
labelName |
string |
Nombre de la etiqueta |
labelType |
Tipo de la etiqueta |
IncidentLabelType
Tipo de la etiqueta
Nombre | Tipo | Description |
---|---|---|
AutoAssigned |
string |
Etiqueta creada automáticamente por el sistema |
User |
string |
Etiqueta creada manualmente por un usuario |
IncidentOwnerInfo
Información sobre el usuario a la que se asigna un incidente
Nombre | Tipo | Description |
---|---|---|
assignedTo |
string |
Nombre del usuario al que se asigna el incidente. |
string |
Correo electrónico del usuario al que se asigna el incidente. |
|
objectId |
string |
Identificador de objeto del usuario al que se asigna el incidente. |
ownerType |
Tipo del propietario al que se asigna el incidente. |
|
userPrincipalName |
string |
Nombre principal de usuario del usuario al que se asigna el incidente. |
IncidentSeverity
Gravedad del incidente
Nombre | Tipo | Description |
---|---|---|
High |
string |
Gravedad alta |
Informational |
string |
Gravedad informativa |
Low |
string |
Low severity |
Medium |
string |
Gravedad media |
IncidentStatus
El estado del incidente
Nombre | Tipo | Description |
---|---|---|
Active |
string |
Un incidente activo que se está controlando |
Closed |
string |
Un incidente no activo |
New |
string |
Un incidente activo que no se está controlando actualmente |
OwnerType
Tipo del propietario al que se asigna el incidente.
Nombre | Tipo | Description |
---|---|---|
Group |
string |
El tipo de propietario del incidente es un grupo de AAD. |
Unknown |
string |
El tipo de propietario del incidente es desconocido |
User |
string |
El tipo de propietario del incidente es un usuario de AAD. |
systemData
Metadatos relacionados con la creación y la última modificación del recurso.
Nombre | Tipo | Description |
---|---|---|
createdAt |
string |
Marca de tiempo de creación de recursos (UTC). |
createdBy |
string |
Identidad que creó el recurso. |
createdByType |
Tipo de identidad que creó el recurso. |
|
lastModifiedAt |
string |
Marca de tiempo de la última modificación del recurso (UTC) |
lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |