Partager via


Incidents - Create Or Update

Crée ou met à jour un incident.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01

Paramètres URI

Nom Dans Obligatoire Type Description
incidentId
path True

string

ID de l'incident

resourceGroupName
path True

string

Nom du groupe de ressources. Le nom ne respecte pas la casse.

subscriptionId
path True

string

uuid

ID de l’abonnement cible. La valeur doit être un UUID.

workspaceName
path True

string

Nom de l’espace de travail.

Modèle d’expression régulière: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

Version de l’API à utiliser pour cette opération.

Corps de la demande

Nom Obligatoire Type Description
properties.severity True

IncidentSeverity

Gravité de l’incident

properties.status True

IncidentStatus

La status de l’incident

properties.title True

string

Titre de l’incident

etag

string

Etag de la ressource Azure

properties.classification

IncidentClassification

La raison pour laquelle l’incident a été fermé

properties.classificationComment

string

Décrit la raison pour laquelle l’incident a été fermé

properties.classificationReason

IncidentClassificationReason

La raison de classification pour laquelle l’incident a été fermé avec

properties.description

string

Description de l’incident

properties.firstActivityTimeUtc

string

Heure de la première activité dans l’incident

properties.labels

IncidentLabel[]

Liste des étiquettes pertinentes pour cet incident

properties.lastActivityTimeUtc

string

Heure de la dernière activité de l’incident

properties.owner

IncidentOwnerInfo

Décrit un utilisateur auquel l’incident est affecté

Réponses

Nom Type Description
200 OK

Incident

OK, Opération terminée avec succès

201 Created

Incident

Date de création

Other Status Codes

CloudError

Réponse d’erreur décrivant la raison de l’échec de l’opération.

Sécurité

azure_auth

Flux OAuth2 Azure Active Directory

Type: oauth2
Flux: implicit
URL d’autorisation: https://login.microsoftonline.com/common/oauth2/authorize

Étendues

Nom Description
user_impersonation Emprunter l’identité de votre compte d’utilisateur

Exemples

Creates or updates an incident.

Exemple de requête

PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Exemple de réponse

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": []
    }
  }
}
{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": []
    }
  }
}

Définitions

Nom Description
AttackTactic

Gravité des alertes créées par cette règle d’alerte.

CloudError

Structure de réponse d’erreur.

CloudErrorBody

Détails de l’erreur.

createdByType

Type d’identité qui a créé la ressource.

Incident

Représente un incident dans Azure Security Insights.

IncidentAdditionalData

Incident : conteneur de propriétés de données supplémentaires.

IncidentClassification

La raison pour laquelle l’incident a été fermé

IncidentClassificationReason

La raison de classification pour laquelle l’incident a été fermé avec

IncidentLabel

Représente une étiquette d’incident

IncidentLabelType

Type de l’étiquette

IncidentOwnerInfo

Informations sur l’utilisateur auquel un incident est attribué

IncidentSeverity

Gravité de l’incident

IncidentStatus

La status de l’incident

OwnerType

Type du propriétaire auquel l’incident est affecté.

systemData

Métadonnées relatives à la création et à la dernière modification de la ressource.

AttackTactic

Gravité des alertes créées par cette règle d’alerte.

Nom Type Description
Collection

string

CommandAndControl

string

CredentialAccess

string

DefenseEvasion

string

Discovery

string

Execution

string

Exfiltration

string

Impact

string

ImpairProcessControl

string

InhibitResponseFunction

string

InitialAccess

string

LateralMovement

string

Persistence

string

PreAttack

string

PrivilegeEscalation

string

Reconnaissance

string

ResourceDevelopment

string

CloudError

Structure de réponse d’erreur.

Nom Type Description
error

CloudErrorBody

Données d’erreur

CloudErrorBody

Détails de l’erreur.

Nom Type Description
code

string

Identificateur de l'erreur. Les codes sont invariants et sont destinés à être consommés par programmation.

message

string

Message décrivant l’erreur, destiné à être affiché dans une interface utilisateur.

createdByType

Type d’identité qui a créé la ressource.

Nom Type Description
Application

string

Key

string

ManagedIdentity

string

User

string

Incident

Représente un incident dans Azure Security Insights.

Nom Type Description
etag

string

Etag de la ressource Azure

id

string

ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

name

string

nom de la ressource.

properties.additionalData

IncidentAdditionalData

Données supplémentaires sur l’incident

properties.classification

IncidentClassification

La raison pour laquelle l’incident a été fermé

properties.classificationComment

string

Décrit la raison pour laquelle l’incident a été fermé

properties.classificationReason

IncidentClassificationReason

La raison de classification pour laquelle l’incident a été fermé avec

properties.createdTimeUtc

string

Heure à laquelle l’incident a été créé

properties.description

string

Description de l’incident

properties.firstActivityTimeUtc

string

Heure de la première activité dans l’incident

properties.incidentNumber

integer

Nombre séquentiel

properties.incidentUrl

string

URL de lien profond vers l’incident dans Portail Azure

properties.labels

IncidentLabel[]

Liste des étiquettes pertinentes pour cet incident

properties.lastActivityTimeUtc

string

Heure de la dernière activité de l’incident

properties.lastModifiedTimeUtc

string

La dernière fois que l’incident a été mis à jour

properties.owner

IncidentOwnerInfo

Décrit un utilisateur auquel l’incident est affecté

properties.providerIncidentId

string

ID d’incident attribué par le fournisseur d’incident

properties.providerName

string

Nom du fournisseur source qui a généré l’incident

properties.relatedAnalyticRuleIds

string[]

Liste des ID de ressource des règles analytiques liées à l’incident

properties.severity

IncidentSeverity

Gravité de l’incident

properties.status

IncidentStatus

La status de l’incident

properties.title

string

Titre de l’incident

systemData

systemData

Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy.

type

string

Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts »

IncidentAdditionalData

Incident : conteneur de propriétés de données supplémentaires.

Nom Type Description
alertProductNames

string[]

Liste des noms de produits des alertes dans l’incident

alertsCount

integer

Nombre d’alertes dans l’incident

bookmarksCount

integer

Nombre de signets dans l’incident

commentsCount

integer

Nombre de commentaires dans l’incident

providerIncidentUrl

string

URL de l’incident du fournisseur vers l’incident dans le portail Microsoft 365 Defender

tactics

AttackTactic[]

Tactiques associées à l’incident

IncidentClassification

La raison pour laquelle l’incident a été fermé

Nom Type Description
BenignPositive

string

L’incident était positif sans gravité

FalsePositive

string

L’incident était faux positif

TruePositive

string

L’incident était vrai positif

Undetermined

string

La classification des incidents était indéterminée

IncidentClassificationReason

La raison de classification pour laquelle l’incident a été fermé avec

Nom Type Description
InaccurateData

string

La raison de la classification était des données inexactes

IncorrectAlertLogic

string

La raison de la classification était une logique d’alerte incorrecte

SuspiciousActivity

string

La raison de la classification était une activité suspecte

SuspiciousButExpected

string

La raison de la classification était suspecte, mais attendue

IncidentLabel

Représente une étiquette d’incident

Nom Type Description
labelName

string

Nom de l’étiquette

labelType

IncidentLabelType

Type de l’étiquette

IncidentLabelType

Type de l’étiquette

Nom Type Description
AutoAssigned

string

Étiquette créée automatiquement par le système

User

string

Étiquette créée manuellement par un utilisateur

IncidentOwnerInfo

Informations sur l’utilisateur auquel un incident est attribué

Nom Type Description
assignedTo

string

Nom de l’utilisateur auquel l’incident est affecté.

email

string

E-mail de l’utilisateur auquel l’incident est affecté.

objectId

string

ID d’objet de l’utilisateur auquel l’incident est affecté.

ownerType

OwnerType

Type du propriétaire auquel l’incident est affecté.

userPrincipalName

string

Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté.

IncidentSeverity

Gravité de l’incident

Nom Type Description
High

string

Niveau de gravité Élevé

Informational

string

Gravité informationnelle

Low

string

Gravité faible

Medium

string

Niveau de gravité Moyen

IncidentStatus

La status de l’incident

Nom Type Description
Active

string

Incident actif en cours de traitement

Closed

string

Un incident non actif

New

string

Incident actif qui n’est pas géré actuellement

OwnerType

Type du propriétaire auquel l’incident est affecté.

Nom Type Description
Group

string

Le type de propriétaire d’incident est un groupe AAD

Unknown

string

Le type de propriétaire de l’incident est inconnu

User

string

Le type de propriétaire d’incident est un utilisateur AAD

systemData

Métadonnées relatives à la création et à la dernière modification de la ressource.

Nom Type Description
createdAt

string

Horodatage de la création de ressources (UTC).

createdBy

string

Identité qui a créé la ressource.

createdByType

createdByType

Type d’identité qui a créé la ressource.

lastModifiedAt

string

Horodatage de la dernière modification de la ressource (UTC)

lastModifiedBy

string

Identité qui a modifié la ressource pour la dernière fois.

lastModifiedByType

createdByType

Type d’identité qui a modifié la ressource pour la dernière fois.