Incidents - Create Or Update

Referencia

Service:: Sentinel

API Version:: 2024-03-01

Incidenst hoz létre vagy frissít.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01

URI-paraméterek

Name	In	Kötelező	Típus	Description
incidentId	path	True	string	Incidens azonosítója
resourceGroupName	path	True	string	Az erőforráscsoport neve. A név megkülönbözteti a kis- és nagybetűket.
subscriptionId	path	True	string uuid	A cél-előfizetés azonosítója. Az értéknek UUID azonosítónak kell lennie.
workspaceName	path	True	string	A munkaterület neve. Regex pattern: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	A művelethez használandó API-verzió.

Kérelem törzse

Name	Kötelező	Típus	Description
properties.severity	True	IncidentSeverity	Az incidens súlyossága
properties.status	True	IncidentStatus	Az incidens állapota
properties.title	True	string	Az incidens címe
etag		string	Az Azure-erőforrás etagje
properties.classification		IncidentClassification	Az incidens lezárásának oka
properties.classificationComment		string	Az incidens bezárásának okát ismerteti
properties.classificationReason		IncidentClassificationReason	Az incidens besorolási oka
properties.description		string	Az incidens leírása
properties.firstActivityTimeUtc		string	Az incidens első tevékenységének időpontja
properties.labels		IncidentLabel[]	Az incidenssel kapcsolatos címkék listája
properties.lastActivityTimeUtc		string	Az incidens utolsó tevékenységének időpontja
properties.owner		IncidentOwnerInfo	Azt a felhasználót ismerteti, amelyhez az incidens hozzá van rendelve

Válaszok

Name	Típus	Description
200 OK	Incident	OK, a művelet sikeresen befejeződött
201 Created	Incident	Létrehozva
Other Status Codes	CloudError	Hibaválasz, amely leírja, hogy a művelet miért hiúsult meg.

Biztonság

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name	Description
user_impersonation	felhasználói fiók megszemélyesítése

Példák

Creates or updates an incident.

Sample Request

HTTP

PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Sample Response

Status code:: 200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": []
    }
  }
}

Status code:: 201

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": []
    }
  }
}

Definíciók

Name	Description
AttackTactic	A riasztási szabály által létrehozott riasztások súlyossága.
CloudError	Hibaválasz-struktúra.
CloudErrorBody	Hiba részletei.
createdByType	Az erőforrást létrehozó identitás típusa.
Incident	Incidenst jelöl az Azure Security Insightsban.
IncidentAdditionalData	Incidens további adattulajdonság-táska.
IncidentClassification	Az incidens lezárásának oka
IncidentClassificationReason	Az incidens besorolási oka
IncidentLabel	Incidenscímkét jelöl
IncidentLabelType	A címke típusa
IncidentOwnerInfo	Azon felhasználóra vonatkozó információk, amelyhez az incidens hozzá van rendelve
IncidentSeverity	Az incidens súlyossága
IncidentStatus	Az incidens állapota
OwnerType	Annak a tulajdonosnak a típusa, amelyhez az incidens hozzá van rendelve.
systemData	Az erőforrás létrehozásával és utolsó módosításával kapcsolatos metaadatok.

AttackTactic

A riasztási szabály által létrehozott riasztások súlyossága.

Name	Típus	Description
Collection	string
CommandAndControl	string
CredentialAccess	string
DefenseEvasion	string
Discovery	string
Execution	string
Exfiltration	string
Impact	string
ImpairProcessControl	string
InhibitResponseFunction	string
InitialAccess	string
LateralMovement	string
Persistence	string
PreAttack	string
PrivilegeEscalation	string
Reconnaissance	string
ResourceDevelopment	string

CloudError

Hibaválasz-struktúra.

Name	Típus	Description
error	CloudErrorBody	Hibaadatok

CloudErrorBody

Hiba részletei.

Name	Típus	Description
code	string	A hiba azonosítója. A kódok invariánsak, és programozott módon használhatók.
message	string	A hibát leíró üzenet, amely alkalmas a felhasználói felületen való megjelenítésre.

createdByType

Az erőforrást létrehozó identitás típusa.

Name	Típus	Description
Application	string
Key	string
ManagedIdentity	string
User	string

Incident

Incidenst jelöl az Azure Security Insightsban.

Name	Típus	Description
etag	string	Az Azure-erőforrás etagje
id	string	Az erőforrás teljes erőforrás-azonosítója. Ex – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
name	string	Az erőforrás neve
properties.additionalData	IncidentAdditionalData	További adatok az incidensről
properties.classification	IncidentClassification	Az incidens lezárásának oka
properties.classificationComment	string	Az incidens bezárásának okát ismerteti
properties.classificationReason	IncidentClassificationReason	Az incidens besorolási oka
properties.createdTimeUtc	string	Az incidens létrehozásának időpontja
properties.description	string	Az incidens leírása
properties.firstActivityTimeUtc	string	Az incidens első tevékenységének időpontja
properties.incidentNumber	integer	Szekvenciális szám
properties.incidentUrl	string	Az Azure Portal-incidens mélyhivatkozású URL-címe
properties.labels	IncidentLabel[]	Az incidenssel kapcsolatos címkék listája
properties.lastActivityTimeUtc	string	Az incidens utolsó tevékenységének időpontja
properties.lastModifiedTimeUtc	string	Az incidens legutóbbi frissítésének időpontja
properties.owner	IncidentOwnerInfo	Azt a felhasználót ismerteti, amelyhez az incidens hozzá van rendelve
properties.providerIncidentId	string	Az incidensszolgáltató által hozzárendelt incidensazonosító
properties.providerName	string	Az incidenst létrehozó forrásszolgáltató neve
properties.relatedAnalyticRuleIds	string[]	Az incidenshez kapcsolódó elemzési szabályok erőforrás-azonosítóinak listája
properties.severity	IncidentSeverity	Az incidens súlyossága
properties.status	IncidentStatus	Az incidens állapota
properties.title	string	Az incidens címe
systemData	systemData	Az Azure Resource Manager createdBy és modifiedBy adatokat tartalmazó metaadatok.
type	string	Az erőforrás típusa. Például "Microsoft.Compute/virtualMachines" vagy "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

Incidens további adattulajdonság-táska.

Name	Típus	Description
alertProductNames	string[]	Az incidensben szereplő riasztások termékneveinek listája
alertsCount	integer	Az incidensben lévő riasztások száma
bookmarksCount	integer	Az incidensben lévő könyvjelzők száma
commentsCount	integer	Az incidensben szereplő megjegyzések száma
providerIncidentUrl	string	Az incidens szolgáltatói incidens url-címe a Microsoft 365 Defender portálon
tactics	AttackTactic[]	Az incidenshez kapcsolódó taktikák

IncidentClassification

Az incidens lezárásának oka

Name	Típus	Description
BenignPositive	string	Az incidens jóindulatú pozitív volt
FalsePositive	string	Az incidens hamis pozitív volt
TruePositive	string	Az incidens valóban pozitív volt
Undetermined	string	Az incidensbesorolás nem volt meghatározva

IncidentClassificationReason

Az incidens besorolási oka

Name	Típus	Description
InaccurateData	string	A besorolási ok pontatlan adatokból állt
IncorrectAlertLogic	string	A besorolási ok helytelen riasztási logika volt
SuspiciousActivity	string	A besorolási ok gyanús tevékenység volt
SuspiciousButExpected	string	A besorolási ok gyanús volt, de várt

IncidentLabel

Incidenscímkét jelöl

Name	Típus	Description
labelName	string	A címke neve
labelType	IncidentLabelType	A címke típusa

IncidentLabelType

A címke típusa

Name	Típus	Description
AutoAssigned	string	A rendszer által automatikusan létrehozott címke
User	string	Felhasználó által manuálisan létrehozott címke

IncidentOwnerInfo

Azon felhasználóra vonatkozó információk, amelyhez az incidens hozzá van rendelve

Name	Típus	Description
assignedTo	string	Annak a felhasználónak a neve, amelyhez az incidens hozzá van rendelve.
email	string	Annak a felhasználónak az e-mailje, amelyhez az incidens hozzá van rendelve.
objectId	string	Annak a felhasználónak az objektumazonosítója, amelyhez az incidens hozzá van rendelve.
ownerType	OwnerType	Annak a tulajdonosnak a típusa, amelyhez az incidens hozzá van rendelve.
userPrincipalName	string	Annak a felhasználónak a felhasználóneve, amelyhez az incidens hozzá van rendelve.

IncidentSeverity

Az incidens súlyossága

Name	Típus	Description
High	string	Nagy súlyosság
Informational	string	Információs súlyosság
Low	string	Alacsony súlyosság
Medium	string	Közepes súlyosság

IncidentStatus

Az incidens állapota

Name	Típus	Description
Active	string	Aktív incidens, amelyet kezelnek
Closed	string	Nem aktív incidens
New	string	Aktív incidens, amelyet jelenleg nem kezelnek

OwnerType

Annak a tulajdonosnak a típusa, amelyhez az incidens hozzá van rendelve.

Name	Típus	Description
Group	string	Az incidens tulajdonosa egy AAD-csoport
Unknown	string	Az incidens tulajdonosának típusa ismeretlen
User	string	Az incidens tulajdonosa egy AAD-felhasználó

systemData

Az erőforrás létrehozásával és utolsó módosításával kapcsolatos metaadatok.

Name	Típus	Description
createdAt	string	Az erőforrás-létrehozás időbélyege (UTC).
createdBy	string	Az erőforrást létrehozó identitás.
createdByType	createdByType	Az erőforrást létrehozó identitás típusa.
lastModifiedAt	string	Az erőforrás utolsó módosításának időbélyege (UTC)
lastModifiedBy	string	Az az identitás, amely legutóbb módosította az erőforrást.
lastModifiedByType	createdByType	Az erőforrást legutóbb módosító identitás típusa.

Megosztás a következőn keresztül: