Incidents - List

Service:

Sentinel

API Version:

2024-03-01

Lekéri az összes incidenst.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01

With optional parameters:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}

URI-paraméterek

Name	In	Kötelező	Típus	Description
resourceGroupName	path	True	string	Az erőforráscsoport neve. A név megkülönbözteti a kis- és nagybetűket.
subscriptionId	path	True	string uuid	A cél-előfizetés azonosítója. Az értéknek UUID-nak kell lennie.
workspaceName	path	True	string	A munkaterület neve. Regex pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version	query	True	string	A művelethez használandó API-verzió.
$filter	query		string	Logikai feltétel alapján szűri az eredményeket. Választható.
$orderby	query		string	Rendezi az eredményeket. Választható.
$skipToken	query		string	A Skiptoken csak akkor használatos, ha egy korábbi művelet részleges eredményt adott vissza. Ha egy előző válasz tartalmaz nextLink elemet, a nextLink elem értéke tartalmaz egy skiptoken paramétert, amely megadja a későbbi hívásokhoz használandó kiindulási pontot. Választható.
$top	query		integer int32	Csak az első n eredményt adja vissza. Választható.

Válaszok

Name	Típus	Description
200 OK	IncidentList	OK, a művelet sikeresen befejeződött
Other Status Codes	CloudError	Hibaválasz, amely leírja, hogy a művelet miért hiúsult meg.

Biztonság

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name	Description
user_impersonation	felhasználói fiók megszemélyesítése

Példák

Get all incidents.

Sample Request

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1

Sample Response

Status code:

200

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "type": "Microsoft.SecurityInsights/incidents",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
        "createdTimeUtc": "2019-01-01T13:15:30Z",
        "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
        "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
        "description": "This is a demo incident",
        "title": "My incident",
        "owner": {
          "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
          "email": "john.doe@contoso.com",
          "userPrincipalName": "john@contoso.com",
          "assignedTo": "john doe"
        },
        "severity": "High",
        "classification": "FalsePositive",
        "classificationComment": "Not a malicious activity",
        "classificationReason": "IncorrectAlertLogic",
        "status": "Closed",
        "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
        "incidentNumber": 3177,
        "labels": [],
        "providerName": "Azure Sentinel",
        "providerIncidentId": "3177",
        "relatedAnalyticRuleIds": [
          "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
          "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
        ],
        "additionalData": {
          "alertsCount": 0,
          "bookmarksCount": 0,
          "commentsCount": 3,
          "alertProductNames": [],
          "tactics": [
            "Persistence"
          ]
        }
      }
    }
  ]
}

Definíciók

Name	Description
AttackTactic	A riasztási szabály által létrehozott riasztások súlyossága.
CloudError	Hibaválasz-struktúra.
CloudErrorBody	Hiba részletei.
createdByType	Az erőforrást létrehozó identitás típusa.
Incident	Incidenst jelöl az Azure Security Insightsban.
IncidentAdditionalData	Incidens további adattulajdonság-táska.
IncidentClassification	Az incidens lezárásának oka
IncidentClassificationReason	Az incidens besorolási oka
IncidentLabel	Incidenscímkét jelöl
IncidentLabelType	A címke típusa
IncidentList	Sorolja fel az összes incidenst.
IncidentOwnerInfo	Azon felhasználóra vonatkozó információk, amelyhez az incidens hozzá van rendelve
IncidentSeverity	Az incidens súlyossága
IncidentStatus	Az incidens állapota
OwnerType	Annak a tulajdonosnak a típusa, amelyhez az incidens hozzá van rendelve.
systemData	Az erőforrás létrehozásával és utolsó módosításával kapcsolatos metaadatok.

AttackTactic

A riasztási szabály által létrehozott riasztások súlyossága.

Name	Típus	Description
Collection	string
CommandAndControl	string
CredentialAccess	string
DefenseEvasion	string
Discovery	string
Execution	string
Exfiltration	string
Impact	string
ImpairProcessControl	string
InhibitResponseFunction	string
InitialAccess	string
LateralMovement	string
Persistence	string
PreAttack	string
PrivilegeEscalation	string
Reconnaissance	string
ResourceDevelopment	string

CloudError

Hibaválasz-struktúra.

Name	Típus	Description
error	CloudErrorBody	Hibaadatok

CloudErrorBody

Hiba részletei.

Name	Típus	Description
code	string	A hiba azonosítója. A kódok invariánsak, és programozott módon használhatók.
message	string	A hibát leíró üzenet, amely alkalmas a felhasználói felületen való megjelenítésre.

createdByType

Az erőforrást létrehozó identitás típusa.

Name	Típus	Description
Application	string
Key	string
ManagedIdentity	string
User	string

Incident

Incidenst jelöl az Azure Security Insightsban.

Name	Típus	Description
etag	string	Az Azure-erőforrás etagje
id	string	Az erőforrás teljes erőforrás-azonosítója. Ex – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
name	string	Az erőforrás neve
properties.additionalData	IncidentAdditionalData	További adatok az incidensről
properties.classification	IncidentClassification	Az incidens lezárásának oka
properties.classificationComment	string	Az incidens bezárásának okát ismerteti
properties.classificationReason	IncidentClassificationReason	Az incidens besorolási oka
properties.createdTimeUtc	string	Az incidens létrehozásának időpontja
properties.description	string	Az incidens leírása
properties.firstActivityTimeUtc	string	Az incidens első tevékenységének időpontja
properties.incidentNumber	integer	Szekvenciális szám
properties.incidentUrl	string	Az Azure Portal-incidens mélyhivatkozású URL-címe
properties.labels	IncidentLabel[]	Az incidenssel kapcsolatos címkék listája
properties.lastActivityTimeUtc	string	Az incidens utolsó tevékenységének időpontja
properties.lastModifiedTimeUtc	string	Az incidens legutóbbi frissítésének időpontja
properties.owner	IncidentOwnerInfo	Azt a felhasználót ismerteti, amelyhez az incidens hozzá van rendelve
properties.providerIncidentId	string	Az incidensszolgáltató által hozzárendelt incidensazonosító
properties.providerName	string	Az incidenst létrehozó forrásszolgáltató neve
properties.relatedAnalyticRuleIds	string[]	Az incidenshez kapcsolódó elemzési szabályok erőforrás-azonosítóinak listája
properties.severity	IncidentSeverity	Az incidens súlyossága
properties.status	IncidentStatus	Az incidens állapota
properties.title	string	Az incidens címe
systemData	systemData	Az Azure Resource Manager createdBy és modifiedBy adatokat tartalmazó metaadatok.
type	string	Az erőforrás típusa. Például "Microsoft.Compute/virtualMachines" vagy "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

Incidens további adattulajdonság-táska.

Name	Típus	Description
alertProductNames	string[]	Az incidensben szereplő riasztások termékneveinek listája
alertsCount	integer	Az incidensben lévő riasztások száma
bookmarksCount	integer	Az incidensben lévő könyvjelzők száma
commentsCount	integer	Az incidensben szereplő megjegyzések száma
providerIncidentUrl	string	Az incidens szolgáltatói incidens url-címe a Microsoft 365 Defender portálon
tactics	AttackTactic[]	Az incidenshez kapcsolódó taktikák

IncidentClassification

Az incidens lezárásának oka

Name	Típus	Description
BenignPositive	string	Az incidens jóindulatú pozitív volt
FalsePositive	string	Az incidens hamis pozitív volt
TruePositive	string	Az incidens valóban pozitív volt
Undetermined	string	Az incidensbesorolás nem volt meghatározva

IncidentClassificationReason

Az incidens besorolási oka

Name	Típus	Description
InaccurateData	string	A besorolási ok pontatlan adatokból állt
IncorrectAlertLogic	string	A besorolási ok helytelen riasztási logika volt
SuspiciousActivity	string	A besorolási ok gyanús tevékenység volt
SuspiciousButExpected	string	A besorolási ok gyanús volt, de várt

IncidentLabel

Incidenscímkét jelöl

Name	Típus	Description
labelName	string	A címke neve
labelType	IncidentLabelType	A címke típusa

IncidentLabelType

A címke típusa

Name	Típus	Description
AutoAssigned	string	A rendszer által automatikusan létrehozott címke
User	string	Felhasználó által manuálisan létrehozott címke

IncidentList

Sorolja fel az összes incidenst.

Name	Típus	Description
nextLink	string	URL-cím az incidensek következő készletének lekéréséhez.
value	Incident[]	Incidensek tömbje.

IncidentOwnerInfo

Azon felhasználóra vonatkozó információk, amelyhez az incidens hozzá van rendelve

Name	Típus	Description
assignedTo	string	Annak a felhasználónak a neve, amelyhez az incidens hozzá van rendelve.
email	string	Annak a felhasználónak az e-mailje, amelyhez az incidens hozzá van rendelve.
objectId	string	Annak a felhasználónak az objektumazonosítója, amelyhez az incidens hozzá van rendelve.
ownerType	OwnerType	Annak a tulajdonosnak a típusa, amelyhez az incidens hozzá van rendelve.
userPrincipalName	string	Annak a felhasználónak a felhasználóneve, amelyhez az incidens hozzá van rendelve.

IncidentSeverity

Az incidens súlyossága

Name	Típus	Description
High	string	Nagy súlyosság
Informational	string	Információs súlyosság
Low	string	Alacsony súlyosság
Medium	string	Közepes súlyosság

IncidentStatus

Az incidens állapota

Name	Típus	Description
Active	string	Aktív incidens, amelyet kezelnek
Closed	string	Nem aktív incidens
New	string	Aktív incidens, amelyet jelenleg nem kezelnek

OwnerType

Annak a tulajdonosnak a típusa, amelyhez az incidens hozzá van rendelve.

Name	Típus	Description
Group	string	Az incidens tulajdonosa egy AAD-csoport
Unknown	string	Az incidens tulajdonosának típusa ismeretlen
User	string	Az incidens tulajdonosa egy AAD-felhasználó

systemData

Az erőforrás létrehozásával és utolsó módosításával kapcsolatos metaadatok.

Name	Típus	Description
createdAt	string	Az erőforrás-létrehozás időbélyege (UTC).
createdBy	string	Az erőforrást létrehozó identitás.
createdByType	createdByType	Az erőforrást létrehozó identitás típusa.
lastModifiedAt	string	Az erőforrás utolsó módosításának időbélyege (UTC)
lastModifiedBy	string	Az az identitás, amely legutóbb módosította az erőforrást.
lastModifiedByType	createdByType	Az erőforrást legutóbb módosító identitás típusa.