Entities Get Timeline - list

Service:: Sentinel

Version d'API:: 2025-07-01-preview

Chronologie d’une entité.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{entityId}/getTimeline?api-version=2025-07-01-preview

Paramètres URI

Nom	Dans	Obligatoire	Type	Description
entityId	path	True	string	ID d’entité
resourceGroupName	path	True	string minLength: 1 maxLength: 90	Nom du groupe de ressources. Le nom ne respecte pas la casse.
subscriptionId	path	True	string (uuid)	ID de l’abonnement cible. La valeur doit être un UUID.
workspaceName	path	True	string minLength: 1 maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$	Nom de l’espace de travail.
api-version	query	True	string minLength: 1	Version de l’API à utiliser pour cette opération.

Corps de la demande

Nom	Obligatoire	Type	Description
endTime	True	string (date-time)	Date de la chronologie de fin. Les résultats retournés sont donc antérieurs à cette date.
startTime	True	string (date-time)	Date de début de la chronologie, de sorte que les résultats retournés se trouvent après cette date.
kinds		EntityTimelineKind[]	Tableau de types d’éléments de chronologie.
numberOfBucket		integer (int32)	Nombre de compartiments pour l’agrégation des requêtes de chronologie.

Réponses

Nom	Type	Description
200 OK	EntityTimelineResponse	Opération Azure terminée avec succès.
Other Status Codes	CloudError	Réponse d’erreur inattendue.

Sécurité

azure_auth

Azure Active Directory OAuth2 Flow.

Type: oauth2
Flux: implicit
URL d’autorisation: https://login.microsoftonline.com/common/oauth2/authorize

Étendues

Nom	Description
user_impersonation	emprunter l’identité de votre compte d’utilisateur

Exemples

Entity timeline

Exemple de requête

HTTP

POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1/getTimeline?api-version=2025-07-01-preview

{
  "endTime": "2021-10-01T00:00:00.000Z",
  "numberOfBucket": 4,
  "startTime": "2021-09-01T00:00:00.000Z"
}

Exemple de réponse

Code d’état:: 200

{
  "metaData": {
    "aggregations": [
      {
        "count": 4,
        "kind": "Activity"
      },
      {
        "count": 2,
        "kind": "SecurityAlert"
      },
      {
        "count": 1,
        "kind": "Anomaly"
      }
    ],
    "errors": [
      {
        "errorMessage": "syntax error",
        "kind": "Activity",
        "queryId": "11067f9f-d6a7-4488-887f-0ba564268879"
      },
      {
        "errorMessage": "internal server error",
        "kind": "SecurityAlert"
      }
    ],
    "totalCount": 6
  },
  "value": [
    {
      "description": "The alert description",
      "Intent": "Discovery",
      "alertType": "4467341f-fb73-4f99-a9b3-29473532cf5a_c93bf33e-055e-4972-9e7d-f84fe3fb61ae",
      "azureResourceId": "4467341f-fb73-4f99-a9b3-29473532cf5a_bf7c3a2f-b743-6410-3ff0-ec64b5995d50",
      "displayName": "Alert display name",
      "endTimeUtc": "2021-09-01T23:31:28.02Z",
      "kind": "SecurityAlert",
      "productName": "Azure Sentinel",
      "severity": "Medium",
      "startTimeUtc": "2021-09-01T23:32:28.01Z",
      "timeGenerated": "2021-09-01T23:37:25.8136594Z"
    },
    {
      "bucketEndTimeUTC": "2021-09-01T23:31:28.02Z",
      "bucketStartTimeUTC": "2021-09-01T21:31:28.02Z",
      "content": "he user has deleted the account 3 time(s)",
      "firstActivityTimeUTC": "2021-09-01T21:35:28.02Z",
      "kind": "Activity",
      "lastActivityTimeUTC": "2021-09-01T21:35:28.02Z",
      "queryId": "e0459780-ac9d-4b72-8bd4-fecf6b46a0a1",
      "title": "The user has deleted an account"
    },
    {
      "description": "Anomalous private to public port scanning activity with high destination port count along with low port ratio. The ratios are normalized by multiplying them by 10,000 to get them to a more usable value between 0.0 and 1.0.",
      "azureResourceId": "4467341f-fb73-4f99-a9b3-29473532cf5a_d56430ef-f421-2c9c-0b7d-d082285843c6",
      "displayName": "(Preview) Anomalous scanning activity",
      "endTimeUtc": "2021-09-01T23:31:28.02Z",
      "intent": "Discovery",
      "kind": "Anomaly",
      "productName": "Azure Sentinel",
      "reasons": [
        "High destination port count",
        "Low port ratio"
      ],
      "startTimeUtc": "2021-09-01T23:32:28.01Z",
      "techniques": [
        "T1046"
      ],
      "timeGenerated": "2021-09-01T23:37:25.8136594Z",
      "vendor": "Microsoft"
    }
  ]
}

Définitions

Nom	Description
ActivityTimelineItem	Représente l’élément de chronologie d’activité.
AlertSeverity	Gravité de l’alerte
AnomalyTimelineItem	Représente l’élément de chronologie d’anomalie.
BookmarkTimelineItem	Représente l’élément de chronologie de signet.
CloudError	Structure de réponse d’erreur.
CloudErrorBody	Détails de l’erreur.
EntityTimelineKind	Type de requête d’entité
EntityTimelineParameters	Paramètres requis pour exécuter l’opération de chronologie sur l’entité donnée.
EntityTimelineResponse	Réponse de l’opération de résultat de chronologie d’entité.
KillChainIntent	Intention de l’alerte.
SecurityAlertTimelineItem	Représente l’élément de chronologie des alertes de sécurité.
TimelineAggregation	Informations d’agrégation de chronologie par type
TimelineError	Erreurs de requête de chronologie.
TimelineResultsMetadata	Métadonnées de résultat d’expansion.
UserInfo	Informations utilisateur qui ont effectué une action

ActivityTimelineItem

Objet

Représente l’élément de chronologie d’activité.

Nom	Type	Description
bucketEndTimeUTC	string (date-time)	Heure de fin du compartiment de regroupement.
bucketStartTimeUTC	string (date-time)	Heure de début du compartiment de regroupement.
content	string	Contenu de la chronologie de l’activité.
firstActivityTimeUTC	string (date-time)	Heure de la première activité dans le compartiment de regroupement.
kind	string: Activity	Type de type de requête d’entité.
lastActivityTimeUTC	string (date-time)	Heure de la dernière activité dans le compartiment de regroupement.
queryId	string	ID de requête d’activité.
title	string	Titre de la chronologie de l’activité.

AlertSeverity

Énumération

Gravité de l’alerte

Valeur	Description
High	Gravité élevée
Medium	Gravité moyenne
Low	Faible gravité
Informational	Gravité de l’information

AnomalyTimelineItem

Objet

Représente l’élément de chronologie d’anomalie.

Nom	Type	Description
azureResourceId	string	ID de ressource Azure d’anomalie.
description	string	Description de l’anomalie.
displayName	string	Nom de l’anomalie.
endTimeUtc	string (date-time)	Heure de fin de l’anomalie.
intent	string	Intention de l’anomalie.
kind	string: Anomaly	Type de type de requête d’entité.
productName	string	Nom du produit d’anomalie.
reasons	string[]	Raisons qui provoquent l’anomalie.
startTimeUtc	string (date-time)	Heure de début de l’anomalie.
techniques	string[]	Techniques de l’anomalie.
timeGenerated	string (date-time)	Heure générée par l’anomalie.
vendor	string	Nom du fournisseur d’anomalies.

BookmarkTimelineItem

Objet

Représente l’élément de chronologie de signet.

Nom	Type	Description
azureResourceId	string	ID de ressource Azure de signet.
createdBy	UserInfo	Décrit un utilisateur qui a créé le signet
displayName	string	Nom complet du signet.
endTimeUtc	string (date-time)	Heure de fin du signet.
eventTime	string (date-time)	Heure de l’événement de signet.
kind	string: Bookmark	Type de type de requête d’entité.
labels	string[]	Liste des étiquettes pertinentes pour ce signet
notes	string	Notes du signet
startTimeUtc	string (date-time)	Heure de début du signet.

CloudError

Objet

Structure de réponse d’erreur.

Nom	Type	Description
error	CloudErrorBody	Données d’erreur

CloudErrorBody

Objet

Détails de l’erreur.

Nom	Type	Description
code	string	Identificateur de l’erreur. Les codes sont invariants et sont destinés à être consommés par programme.
message	string	Message décrivant l’erreur, destiné à être adapté à l’affichage dans une interface utilisateur.

EntityTimelineKind

Énumération

Type de requête d’entité

Valeur	Description
Activity	activity
Bookmark	bookmarks
SecurityAlert	Alertes de sécurité
Anomaly	anomaly

EntityTimelineParameters

Objet

Paramètres requis pour exécuter l’opération de chronologie sur l’entité donnée.

Nom	Type	Description
endTime	string (date-time)	Date de la chronologie de fin. Les résultats retournés sont donc antérieurs à cette date.
kinds	EntityTimelineKind[]	Tableau de types d’éléments de chronologie.
numberOfBucket	integer (int32)	Nombre de compartiments pour l’agrégation des requêtes de chronologie.
startTime	string (date-time)	Date de début de la chronologie, de sorte que les résultats retournés se trouvent après cette date.

EntityTimelineResponse

Objet

Réponse de l’opération de résultat de chronologie d’entité.

Nom	Type	Description
metaData	TimelineResultsMetadata	Métadonnées des résultats de l’opération de chronologie.
value	EntityTimelineItem[]: ActivityTimelineItem[] AnomalyTimelineItem[] BookmarkTimelineItem[] SecurityAlertTimelineItem[]	Valeurs des résultats de la chronologie.

KillChainIntent

Énumération

Intention de l’alerte.

Valeur	Description
Unknown	La valeur par défaut.
Probing	La détection peut être une tentative d’accès à une certaine ressource, quelle que soit une intention malveillante ou une tentative d’accès à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative provenant de l’extérieur du réseau pour tenter d’analyser le système cible et de trouver un moyen.
Exploitation	L’exploitation est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape s’applique non seulement aux hôtes de calcul, mais également aux ressources telles que les comptes d’utilisateur, les certificats, etc. Les adversaires pourront souvent contrôler la ressource après cette phase.
Persistence	La persistance est toute modification d’accès, d’action ou de configuration apportée à un système qui donne à un adversaire une présence persistante sur ce système. Les adversaires devront souvent conserver l’accès aux systèmes par le biais d’interruptions telles que les redémarrages du système, la perte d’informations d’identification ou d’autres défaillances qui nécessiteraient un outil d’accès à distance pour redémarrer ou pour récupérer l’accès.
PrivilegeEscalation	L’escalade de privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau supérieur d’autorisations sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur pour fonctionner et sont probablement nécessaires à de nombreux points tout au long d’une opération. Les comptes d’utilisateur disposant d’autorisations d’accès à des systèmes spécifiques ou exécutent des fonctions spécifiques nécessaires pour que les adversaires atteignent leur objectif peuvent également être considérés comme une escalade de privilèges.
DefenseEvasion	L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Parfois, ces actions sont identiques ou des variantes de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulières.
CredentialAccess	L’accès aux informations d’identification représente des techniques permettant d’accéder ou de contrôler les informations d’identification du système, du domaine ou du service utilisées dans un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateur (administrateur système local ou utilisateurs de domaine disposant d’un accès administrateur) à utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure dans l’environnement.
Discovery	La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque les adversaires accèdent à un nouveau système, ils doivent se rendre à ce qu’ils contrôlent et quels avantages tirent parti de ce système donnent à leurs objectifs actuels ou globaux pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs qui facilitent cette phase de collecte d’informations post-compromis.
LateralMovement	Le mouvement latéral se compose de techniques qui permettent à un adversaire d’accéder aux systèmes distants et de contrôler les systèmes distants sur un réseau et ne peut pas nécessairement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral pourraient permettre à un adversaire de recueillir des informations à partir d’un système sans avoir besoin d’outils supplémentaires, tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution à distance d’outils, la pivotation vers des systèmes supplémentaires, l’accès à des informations ou des fichiers spécifiques, l’accès à des informations d’identification supplémentaires ou pour provoquer un effet.
Execution	La tactique d’exécution représente des techniques qui entraînent l’exécution du code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès aux systèmes distants sur un réseau.
Collection	La collection se compose de techniques utilisées pour identifier et collecter des informations, telles que des fichiers sensibles, à partir d’un réseau cible avant l’exfiltration. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer.
Exfiltration	L’exfiltration fait référence aux techniques et attributs qui entraînent ou aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer.
CommandAndControl	La tactique de commande et de contrôle représente la façon dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
Impact	L’objectif principal de l’intention d’impact est de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau ; y compris la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Cela ferait souvent référence à des techniques telles que le rançongiciel, la défacement, la manipulation des données et d’autres.

SecurityAlertTimelineItem

Objet

Représente l’élément de chronologie des alertes de sécurité.

Nom	Type	Description
alertType	string	Nom du type d’alerte.
azureResourceId	string	ID de ressource Azure d’alerte.
description	string	Description de l’alerte.
displayName	string	Nom de l’alerte.
endTimeUtc	string (date-time)	Heure de fin de l’alerte.
intent	KillChainIntent	Intention de l’alerte.
kind	string: SecurityAlert	Type de type de requête d’entité.
productName	string	Nom du produit d’alerte.
severity	AlertSeverity	Gravité de l’alerte.
startTimeUtc	string (date-time)	Heure de début de l’alerte.
techniques	string[]	Techniques de l’alerte.
timeGenerated	string (date-time)	Heure générée par l’alerte.

TimelineAggregation

Objet

Informations d’agrégation de chronologie par type

Nom	Type	Description
count	integer (int32)	nombre total d’éléments trouvés pour un type
kind	EntityTimelineKind	type de requête

TimelineError

Objet

Erreurs de requête de chronologie.

Nom	Type	Description
errorMessage	string	message d’erreur
kind	EntityTimelineKind	type de requête
queryId	string	l’ID de requête

TimelineResultsMetadata

Objet

Métadonnées de résultat d’expansion.

Nom	Type	Description
aggregations	TimelineAggregation[]	Agrégation de chronologie par type
errors	TimelineError[]	informations sur les requêtes d’échec
totalCount	integer (int32)	nombre total d’éléments trouvés pour la demande de chronologie

UserInfo

Objet

Informations utilisateur qui ont effectué une action

Nom	Type	Description
email	string	E-mail de l’utilisateur.
name	string	Nom de l’utilisateur.
objectId	string (uuid)	ID d’objet de l’utilisateur.