Microsoft Sentinel (anteprima)
SIEM nativo del cloud con un'intelligenza artificiale predefinita, in modo da potersi concentrare sugli aspetti più importanti
Questo connettore è disponibile nei prodotti e nelle aree seguenti:
| Servizio | Class | Regions |
|---|---|---|
| App per la logica | Normale | Tutte le aree di App per la logica |
| Contatto | |
|---|---|
| Nome | Microsoft |
| URL |
Supporto di Microsoft LogicApps |
| Metadati del connettore | |
|---|---|
| Editore | Microsoft |
| Sito web | https://azure.microsoft.com/services/azure-sentinel/ |
Connettore di Microsoft Sentinel
Connettore in profondità
Altre informazioni su come usare questo connettore:
- Autenticare i playbook in Azure Sentinel
- Usare trigger e azioni nei playbook
- Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel
Authentication
I trigger e le azioni nel connettore Mcirosoft Sentinel possono operare per conto di qualsiasi identità con le autorizzazioni necessarie (lettura e/o scrittura) nell'area di lavoro pertinente. Il connettore supporta più tipi di identità:
- Identità gestita (anteprima)
- Utente microsoft Entra ID
- Entità servizio (applicazione Microsoft Entra ID)
Autorizzazioni necessarie
| Ruoli/componenti del connettore | Attivatori | Azioni "Get" | Aggiorna incidente aggiungere un commento |
|---|---|---|---|
| Lettore di Microsoft Sentinel | ✓ | ✓ | ✗ |
| Collaboratore/ di Microsoft Sentinel | ✓ | ✓ | ✓ |
Altre informazioni sulle autorizzazioni in Microsoft Sentinel.
Informazioni su come usare le diverse opzioni di autenticazione.
Problemi noti e limitazioni
Impossibile attivare un'app per la logica chiamata da un trigger di Microsoft Sentinel usando il pulsante "Esegui trigger"
Un utente non può usare il pulsante Esegui trigger nel pannello Panoramica del servizio App per la logica per attivare un playbook di Microsoft Sentinel.
App per la logica di Azure viene attivata da una chiamata REST POST, il cui corpo è l'input per il trigger. Le app per la logica che iniziano con i trigger di Microsoft Sentinel prevedono di visualizzare il contenuto di un avviso o di un evento imprevisto di Microsoft Sentinel nel corpo della chiamata. Quando la chiamata proviene dal pannello Panoramica di App per la logica, il corpo della chiamata è vuoto e pertanto viene generato un errore.
Questi sono gli unici modi appropriati per attivare i playbook di Microsoft Sentinel:
- Trigger manuale in Microsoft Sentinel
- Risposta automatica di una regola di analisi (direttamente o tramite una regola di automazione) in Microsoft Sentinel
- Usare il pulsante "Invia di nuovo" in un pannello di esecuzione di App per la logica esistente
- Chiamare direttamente l'endpoint di App per la logica (collegamento di un avviso/evento imprevisto come corpo)
Aggiornamento dello stesso evento imprevisto in parallelo Per ogni ciclo
Per ogni ciclo viene impostato per impostazione predefinita per l'esecuzione in parallelo, ma può essere facilmente impostato per l'esecuzione sequenziale. Se un per ogni ciclo potrebbe aggiornare lo stesso evento imprevisto di Microsoft Sentinel in iterazioni separate, deve essere configurato per l'esecuzione sequenziale.
Il ripristino della query originale dell'avviso non è attualmente supportato tramite App per la logica
L'utilizzo del connettore Log di Monitoraggio di Azure per recuperare gli eventi acquisiti dalla regola di analisi degli avvisi pianificata non è coerentemente affidabile.
- I log di Monitoraggio di Azure non supportano la definizione di un intervallo di tempo personalizzato. Per ripristinare gli stessi risultati della query è necessario definire esattamente lo stesso intervallo di tempo della query originale.
- Gli avvisi potrebbero essere ritardati nella visualizzazione nell'area di lavoro Log Analytics dopo che la regola attiva il playbook.
Risorse disponibili
Documentazione di Microsoft Sentinel
- Automazione avanzata con playbook
- Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel
- Autenticare i playbook a Microsoft Sentinel
- Usare trigger e azioni nei playbook
Riferimenti a Microsoft Sentinel
- Raccolta di modelli GitHub di Microsoft Sentinel
- Informazioni di riferimento sulle API di Microsoft Sentinel
App logiche di Azure
- Scenari, esempi e procedure dettagliate per App per la logica di Azure
- Espressioni di App per la logica
Creazione di una connessione
Il connettore supporta i tipi di autenticazione seguenti:
| Predefinita | Parametri per la creazione della connessione. | Tutte le aree geografiche | Non condivisibile |
Predefinito
Applicabile: tutte le aree
Parametri per la creazione della connessione.
Questa non è una connessione condivisibile. Se l'app power viene condivisa con un altro utente, verrà richiesto a un altro utente di creare una nuova connessione in modo esplicito.
Limiti per la limitazione delle richieste
| Nome | Chiamate | Periodo di rinnovo |
|---|---|---|
| Chiamate API per connessione | 600 | 60 secondi |
Azioni
| Aggiornare un evento imprevisto |
Aggiornare un evento imprevisto con i campi forniti |
| Aggiungere etichette agli eventi imprevisti (deprecati) [DEPRECATO] |
Aggiunge etichette a un evento imprevisto selezionato |
| Aggiungere un'attività a un evento imprevisto |
Aggiunge un'attività a un evento imprevisto esistente |
| Aggiungere un avviso a un evento imprevisto |
Aggiungere un avviso a un evento imprevisto esistente. L'avviso unisce l'evento imprevisto come qualsiasi altro avviso e verrà visualizzato nel portale. |
| Aggiungere un commento all'evento imprevisto (V2) |
Aggiunge commento all'evento imprevisto selezionato |
| Aggiungere un commento all'evento imprevisto (V3) |
Aggiunge commento all'evento imprevisto selezionato |
| Aggiungere un commento all'evento imprevisto [DEPRECATO] |
Questa azione è stata deprecata. Usare invece Aggiungi commento all'evento imprevisto (V3).
|
| Annullamento della sottoscrizione del trigger ASI [DEPRECATO] |
Disiscrizione |
| Avviso - Ottenere un evento imprevisto |
Restituisce l'evento imprevisto associato all'avviso selezionato |
| Avviso - Ottenere un evento imprevisto |
Restituisce l'evento imprevisto associato all'avviso selezionato |
| Contrassegnare un'attività come completata |
Contrassegnare un'attività come completata |
| Creare un evento imprevisto |
Creare un evento imprevisto con i campi forniti |
| Entità - Ottenere account |
Restituisce l'elenco di account associati all'avviso |
| Entità - Ottenere gli URL |
Restituisce l'elenco di URL associati all'avviso |
| Entità - Ottenere host |
Restituisce l'elenco di host associati all'avviso |
| Entità - Ottenere IL DNS |
Restituisce l'elenco di record DNS associati all'avviso |
| Entità - Ottieni Hash dei File |
Restituisce l'elenco di hash di file associati all'avviso |
| Entità - Recupera indirizzi IP |
Restituisce l'elenco di indirizzi IP associati all'avviso |
| Intelligence per le minacce - Caricare indicatori di compromissione (deprecato) |
Intelligence sulle minacce - Caricare indicatori di compromissione |
| Intelligence per le minacce - Caricare indicatori di compromissione (V2) (anteprima) |
Caricare gli indicatori in blocco usando l'API Degli indicatori di caricamento di Intelligence per le minacce. |
| Intelligence sulle minacce - Caricare oggetti STIX (anteprima) |
Caricare oggetti STIX in blocco usando l'API di caricamento di Intelligence per le minacce. |
| Modificare il titolo dell'evento imprevisto (V2) (deprecato) [DEPRECATO] |
modifica il titolo dell'evento imprevisto selezionato |
| Modificare il titolo dell'evento imprevisto [DEPRECATO] |
modifica il titolo dell'evento imprevisto selezionato |
| Modificare la descrizione degli eventi imprevisti (V2) (deprecata) [DEPRECATO] |
modifica la descrizione dell'evento imprevisto selezionato |
| Modificare la descrizione dell'evento imprevisto [DEPRECATO] |
modifica la descrizione dell'evento imprevisto selezionato |
| Modificare la gravità dell'evento imprevisto (deprecata) [DEPRECATO] |
modifica la gravità dell'evento imprevisto selezionato |
| Modificare lo stato dell'evento imprevisto (deprecato) [DEPRECATO] |
modifica lo stato dell'evento imprevisto selezionato |
| Ottenere un evento imprevisto |
Ottenere un evento imprevisto in base all'ID ARM |
| Rimuovere le etichette dall'evento imprevisto (deprecato) [DEPRECATO] |
Rimuove le etichette per l'evento imprevisto selezionato |
| Rimuovere un avviso dall'evento imprevisto |
Rimuovere un avviso da un evento imprevisto esistente. |
| Segnalibri (V2) - Creare un nuovo segnalibro (input JSON) (anteprima) |
Segnalibri (V2): creare un nuovo segnalibro valido (json). |
| Segnalibri (V3) - Crea un nuovo segnalibro con campi separati (anteprima) |
Segnalibri (V3): creare un nuovo segnalibro. |
| Segnalibri - Crea un nuovo segnalibro (anteprima) |
Segnalibri: crea un nuovo segnalibro. |
| Segnalibri - Eliminare un segnalibro |
Segnalibri - Eliminare un segnalibro |
| Segnalibri - Ottenere un segnalibro |
Segnalibri - Ottenere un segnalibro in base all'ID |
| Segnalibri - Recupera tutti i segnalibri |
Segnalibri: ottenere tutti i segnalibri per una determinata area di lavoro |
| Watchlists - Aggiornare un elemento Watchlist esistente |
Watchlists - Aggiornare un elemento Watchlist esistente |
| Watchlists - Aggiungere un nuovo elemento Watchlist |
Watchlists - Aggiungere un nuovo elemento Watchlist |
| Watchlists - Creare un nuovo watchlist con dati (contenuto non elaborato) (V2) |
Watchlists - Creare un nuovo watchlist con dati (contenuto non elaborato) (V2) |
| Watchlists - Creare un watchlist di grandi dimensioni usando un URI di firma di accesso condiviso |
Watchlists - Creare un watchlist di grandi dimensioni usando un URI di firma di accesso condiviso |
| Watchlists - Delete a Watchlist (V2) |
Elimina un oggetto Watchlist specificato in base all'alias. |
| Watchlists - Delete a Watchlist Item |
Watchlists - Delete a Watchlist Item |
| Watchlists - Delete a Watchlist Item (V2) |
Watchlists - Delete a Watchlist Item (V2) |
| Watchlists - Eliminare un watchlist |
Watchlists - Eliminare un watchlist |
| Watchlists - Ottenere un watchlist per alias |
Watchlists - Ottenere un watchlist per alias |
| Watchlists -Get a Watchlist Item by ID (guid) |
Watchlists - Get a Watchlist Item |
| Watchlists -Get all Watchlist Items for a given watchlistlist |
Watchlists -Get all Watchlist Items for a given watchlistlist |
| Watchlists : creare un nuovo watchlist con dati (contenuto non elaborato) |
Watchlists : creare un nuovo watchlist con dati (contenuto non elaborato) |
| Watchlists : creare un watchlist di grandi dimensioni usando un URI di firma di accesso condiviso (V2) |
Watchlists : creare un watchlist di grandi dimensioni usando un URI di firma di accesso condiviso (V2) |
| Watchlists : ottiene tutti gli elementi watchlist per un determinato watchlist (V2) |
Watchlists : ottiene tutti gli elementi watchlist per un determinato watchlist (V2) |
Aggiornare un evento imprevisto
Aggiornare un evento imprevisto con i campi forniti
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare i campi degli eventi imprevisti da aggiornare
|
body | True | dynamic |
Campi eventi imprevisti da aggiornare |
Restituisce
Rappresenta un evento imprevisto in Azure Security Insights.
- Corpo
- Incident
Aggiungere etichette agli eventi imprevisti (deprecati) [DEPRECATO]
Aggiunge etichette a un evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
label
|
Label | True | string |
label |
Restituisce
- response
- string
Aggiungere un'attività a un evento imprevisto
Aggiunge un'attività a un evento imprevisto esistente
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID ARM dell'evento imprevisto
|
incidentArmId | True | string |
ID ARM dell'evento imprevisto |
|
Titolo
|
taskTitle | True | string |
Titolo attività |
|
Description
|
taskDescription | html |
Descrizione attività |
Restituisce
Rappresenta un elemento dell'attività evento imprevisto
- Attività evento imprevisto
- IncidentTask
Aggiungere un avviso a un evento imprevisto
Aggiungere un avviso a un evento imprevisto esistente. L'avviso unisce l'evento imprevisto come qualsiasi altro avviso e verrà visualizzato nel portale.
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID ARM dell'evento imprevisto
|
incidentArmId | True | string |
ID ARM dell'evento imprevisto. Recuperare dal trigger dell'evento imprevisto, dall'avviso: ottenere un'azione per gli eventi imprevisti o dalla query log di Monitoraggio di Azure. |
|
ID avviso di sistema
|
relatedResourceId | True | string |
ID avviso di sistema che verrà aggiunto/rimosso da/dall'evento imprevisto. Recuperare dalla query dei log di Monitoraggio di Azure o dal trigger di avviso. Ad esempio: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Restituisce
Rappresenta una relazione tra eventi imprevisti
- Corpo
- IncidentRelation
Aggiungere un commento all'evento imprevisto (V2)
Aggiunge commento all'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
Specificare il commento
|
Value | True | string |
Valore commento |
Restituisce
- response
- string
Aggiungere un commento all'evento imprevisto (V3)
Aggiunge commento all'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID ARM dell'evento imprevisto
|
incidentArmId | True | string |
ID ARM dell'evento imprevisto |
|
Messaggio di commento dell'evento imprevisto
|
message | True | html |
Messaggio di commento dell'evento imprevisto |
Restituisce
Rappresenta un elemento di commento dell'evento imprevisto
- Commento evento imprevisto
- IncidentComment
Aggiungere un commento all'evento imprevisto [DEPRECATO]
Questa azione è stata deprecata. Usare invece Aggiungi commento all'evento imprevisto (V3).
Aggiunge commento all'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
Specificare il commento dell'evento imprevisto
|
comment | True | string |
Commento dell'evento imprevisto |
Restituisce
- response
- string
Annullamento della sottoscrizione del trigger ASI [DEPRECATO]
Avviso - Ottenere un evento imprevisto
Restituisce l'evento imprevisto associato all'avviso selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'ID avviso
|
alertId | True | string |
ID avviso di sistema |
Restituisce
Rappresenta un evento imprevisto in Azure Security Insights.
- Corpo
- Incident
Avviso - Ottenere un evento imprevisto
Restituisce l'evento imprevisto associato all'avviso selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'ID avviso
|
alertId | True | string |
ID avviso di sistema |
Restituisce
- Corpo
- OldIncident
Contrassegnare un'attività come completata
Contrassegnare un'attività come completata
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID arm attività
|
taskArmId | True | string |
ID arm attività |
Restituisce
Rappresenta un elemento dell'attività evento imprevisto
- Attività evento imprevisto
- IncidentTask
Creare un evento imprevisto
Creare un evento imprevisto con i campi forniti
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Seleziona sottoscrizione |
|
Gruppo di risorse
|
resourceGroup | True | string |
Selezionare il gruppo di risorse |
|
Nome area di lavoro
|
workspaceName | True | string |
Selezionare l'area di lavoro |
|
Specificare i campi dell'evento imprevisto
|
body | True | dynamic |
Campi evento imprevisto |
Restituisce
Rappresenta un evento imprevisto in Azure Security Insights.
- Corpo
- Incident
Entità - Ottenere account
Restituisce l'elenco di account associati all'avviso
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Elenco di entità
|
body | True | string |
Elenco di entità |
Restituisce
Elenco di account associati all'avviso
- Corpo
- BatchResponseAccount
Entità - Ottenere gli URL
Restituisce l'elenco di URL associati all'avviso
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Elenco di entità
|
body | True | string |
Elenco di entità |
Restituisce
Elenco di URL associati all'avviso
- Corpo
- BatchResponseUrl
Entità - Ottenere host
Restituisce l'elenco di host associati all'avviso
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Elenco di entità
|
body | True | string |
Elenco di entità |
Restituisce
Elenco di host associati all'avviso
- Corpo
- BatchResponseHost
Entità - Ottenere IL DNS
Restituisce l'elenco di record DNS associati all'avviso
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Elenco di entità
|
body | True | string |
Elenco di entità |
Restituisce
Elenco di domini DNS associati all'avviso
- Corpo
- BatchResponseDNS
Entità - Ottieni Hash dei File
Restituisce l'elenco di hash di file associati all'avviso
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Elenco di entità
|
body | True | string |
Elenco di entità |
Restituisce
Elenco di hash di file associati all'avviso
- Corpo
- BatchResponseFileHash
Entità - Recupera indirizzi IP
Restituisce l'elenco di indirizzi IP associati all'avviso
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Elenco di entità
|
body | True | string |
Elenco di entità |
Restituisce
Elenco di indirizzi IP associati all'avviso
- Corpo
- BatchResponseIP
Intelligence per le minacce - Caricare indicatori di compromissione (deprecato)
Intelligence sulle minacce - Caricare indicatori di compromissione
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
Restituisce
Risposta da indicatori uplaod di Intelligence per le minacce.
- Elementi
- IndicatorValidationErrors
Intelligence per le minacce - Caricare indicatori di compromissione (V2) (anteprima)
Caricare gli indicatori in blocco usando l'API Degli indicatori di caricamento di Intelligence per le minacce.
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
Restituisce
Risposta dall'API Uplaod di Intelligence per le minacce. Si tratta di errori per gli oggetti non validi nel corpo della richiesta.
- Elementi
- UploadApiValidationErrors
Intelligence sulle minacce - Caricare oggetti STIX (anteprima)
Caricare oggetti STIX in blocco usando l'API di caricamento di Intelligence per le minacce.
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
Restituisce
Risposta dall'API Uplaod di Intelligence per le minacce. Si tratta di errori per gli oggetti non validi nel corpo della richiesta.
- Elementi
- UploadApiValidationErrors
Modificare il titolo dell'evento imprevisto (V2) (deprecato) [DEPRECATO]
modifica il titolo dell'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
Specificare il titolo
|
Value | True | string |
Valore titolo |
Restituisce
- response
- string
Modificare il titolo dell'evento imprevisto [DEPRECATO]
modifica il titolo dell'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
Specificare il titolo
|
fieldValue | True | string |
Valore titolo |
Restituisce
- response
- string
Modificare la descrizione degli eventi imprevisti (V2) (deprecata) [DEPRECATO]
modifica la descrizione dell'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
Specificare la descrizione
|
Value | True | string |
Valore della descrizione |
Restituisce
- response
- string
Modificare la descrizione dell'evento imprevisto [DEPRECATO]
modifica la descrizione dell'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
Specificare la descrizione
|
fieldValue | True | string |
Valore della descrizione |
Restituisce
- response
- string
Modificare la gravità dell'evento imprevisto (deprecata) [DEPRECATO]
modifica la gravità dell'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
Specificare la gravità
|
severity | True | string |
Valore di gravità |
Restituisce
- response
- string
Modificare lo stato dell'evento imprevisto (deprecato) [DEPRECATO]
modifica lo stato dell'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
Specificare lo stato
|
status | True | string |
Valore di stato |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Schema dinamico del modificatore dello stato degli eventi imprevisti |
Restituisce
- response
- string
Ottenere un evento imprevisto
Ottenere un evento imprevisto in base all'ID ARM
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID ARM dell'evento imprevisto
|
incidentArmId | True | string |
ID ARM dell'evento imprevisto |
Restituisce
Rappresenta un evento imprevisto in Azure Security Insights.
- Corpo
- Incident
Rimuovere le etichette dall'evento imprevisto (deprecato) [DEPRECATO]
Rimuove le etichette per l'evento imprevisto selezionato
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Identificatore
|
identifier | True | string |
Evento imprevisto/avviso |
|
Specificare un avviso o un evento imprevisto
|
id | True | string |
Specificare il numero di evento imprevisto/ID avviso |
|
label
|
Label | True | string |
label |
Restituisce
- response
- string
Rimuovere un avviso dall'evento imprevisto
Rimuovere un avviso da un evento imprevisto esistente.
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID ARM dell'evento imprevisto
|
incidentArmId | True | string |
ID ARM dell'evento imprevisto. Recuperare dal trigger dell'evento imprevisto, dall'avviso: ottenere un'azione per gli eventi imprevisti o dalla query log di Monitoraggio di Azure. |
|
ID avviso di sistema
|
relatedResourceId | True | string |
ID avviso di sistema che verrà aggiunto/rimosso da/dall'evento imprevisto. Recuperare dalla query dei log di Monitoraggio di Azure o dal trigger di avviso. Ad esempio: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Restituisce
- response
- string
Segnalibri (V2) - Creare un nuovo segnalibro (input JSON) (anteprima)
Segnalibri (V2): creare un nuovo segnalibro valido (json).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Nome visualizzato segnalibro
|
displayName | True | string |
Nome visualizzato del segnalibro |
|
Query segnalibro
|
bookmarkQuery | True | string |
Query segnalibro (ad esempio 'SecurityEvent | dove TimeGenerated > ago(1d) e TimeGenerated < ago(2d)') |
|
Risultato della query segnalibro
|
bookmarkQueryResult | True | string |
Risultato della query bookmark (ad esempio 'Risultato query evento di sicurezza') |
|
Note segnalibro
|
bookmarkNotes | string |
Note segnalibro (ad esempio 'Note segnalibro') |
Restituisce
Rappresenta un segnalibro in Azure Security Insights.
- Corpo
- Bookmark
Segnalibri (V3) - Crea un nuovo segnalibro con campi separati (anteprima)
Segnalibri (V3): creare un nuovo segnalibro.
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare il nome visualizzato del segnalibro
|
bookmarkName | True | string |
Nome visualizzato segnalibro (ad esempio "Segnalibro personale") |
|
Specificare la query del segnalibro
|
bookmarkQuery | True | string |
Query segnalibro (ad esempio 'SecurityEvent | dove TimeGenerated > ago(1d) e TimeGenerated < ago(2d)') |
|
Specificare il risultato della query del segnalibro
|
bookmarkQueryResult | True | string |
Risultato della query bookmark (ad esempio 'Risultato query evento di sicurezza') |
|
Specificare le note dei segnalibri
|
bookmarkNotes | True | string |
Note segnalibro (ad esempio 'Note segnalibro') |
Restituisce
Rappresenta un segnalibro in Azure Security Insights.
- Corpo
- Bookmark
Segnalibri - Crea un nuovo segnalibro (anteprima)
Segnalibri: crea un nuovo segnalibro.
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'ID segnalibro
|
bookmarkId | True | string |
ID del segnalibro |
|
creato
|
created | date-time |
Ora di creazione del segnalibro |
|
|
posta elettronica
|
string |
Indirizzo di posta elettronica dell'utente. |
||
|
nome
|
name | string |
Il nome dell'utente. |
|
|
objectId
|
objectId | uuid |
ID oggetto dell'utente. |
|
|
nome visualizzato
|
displayName | True | string |
Nome visualizzato del segnalibro |
|
labels
|
labels | string |
Etichetta che verrà usata per contrassegnare e filtrare. |
|
|
note
|
notes | string |
Note del segnalibro |
|
|
query
|
query | True | string |
Query del segnalibro. |
|
queryResult
|
queryResult | string |
Risultato della query del segnalibro. |
|
|
aggiornato
|
updated | date-time |
Ultima volta che il segnalibro è stato aggiornato |
|
|
oraEvento
|
eventTime | date-time |
Ora dell'evento del segnalibro |
|
|
queryStartTime
|
queryStartTime | date-time |
Ora di inizio della query |
|
|
queryEndTime
|
queryEndTime | date-time |
Ora di fine per la query |
|
|
ID ARM dell'evento imprevisto
|
id | string |
ID ARM completo dell'evento imprevisto. |
|
|
Nome ARM dell'evento imprevisto
|
name | string |
Nome ARM dell'evento imprevisto (GUID) |
|
|
Conteggio avvisi degli eventi imprevisti
|
alertsCount | integer |
Numero di avvisi nell'evento imprevisto |
|
|
Conteggio segnalibri eventi imprevisti
|
bookmarksCount | integer |
Numero di segnalibri nell'evento imprevisto |
|
|
Conteggio commenti eventi imprevisti
|
commentsCount | integer |
Numero di commenti nell'evento imprevisto |
|
|
Nomi dei prodotti di avviso imprevisto
|
alertProductNames | array of string |
Elenco dei nomi dei prodotti degli avvisi nell'evento imprevisto |
|
|
URL evento imprevisto provider
|
providerIncidentUrl | string |
URL dell'evento imprevisto nel portale di Microsoft Defender |
|
|
Numero evento imprevisto unito
|
mergedIncidentNumber | string |
Numero di evento imprevisto dell'evento imprevisto in cui è stato unito l'evento imprevisto corrente |
|
|
URL evento imprevisto unito
|
mergedIncidentUrl | string |
URL dell'evento imprevisto in cui è stato unito l'evento imprevisto corrente |
|
|
Tattiche degli eventi imprevisti
|
Incident Tactics | string |
Rappresenta un elemento di tattica associato all'evento imprevisto |
|
|
Tecniche degli eventi imprevisti
|
techniques | array of string |
Le tecniche associate alle tattiche degli incidenti |
|
|
Classificazione degli eventi imprevisti
|
classification | string |
Il motivo per cui l'evento imprevisto è stato chiuso |
|
|
Commento di classificazione degli eventi imprevisti
|
classificationComment | string |
Descrive il motivo per cui l'evento imprevisto è stato chiuso |
|
|
Motivo della classificazione degli eventi imprevisti
|
classificationReason | string |
Motivo della classificazione con cui l'evento imprevisto è stato chiuso |
|
|
Ora di creazione evento imprevisto UTC
|
createdTimeUtc | date-time |
Ora in cui è stato creato l'evento imprevisto |
|
|
Descrizione evento imprevisto
|
description | string |
Descrizione dell'evento imprevisto |
|
|
Ora della prima attività dell'evento imprevisto UTC
|
firstActivityTimeUtc | date-time |
Ora della prima attività nell'evento imprevisto |
|
|
URL evento imprevisto
|
incidentUrl | string |
URL di collegamento diretto all'evento imprevisto nel portale di Azure |
|
|
ID evento imprevisto provider
|
providerIncidentId | string |
ID evento imprevisto assegnato dal provider di eventi imprevisti |
|
|
ID di Sentinel per eventi imprevisti
|
incidentNumber | integer |
Numero sequenziale usato per identificare l'evento imprevisto in Microsoft Sentinel. |
|
|
Ora dell'ultima attività dell'evento imprevisto UTC
|
lastActivityTimeUtc | date-time |
Ora dell'ultima attività nell'evento imprevisto |
|
|
Gravità dell'evento imprevisto
|
severity | string |
Gravità dell'evento imprevisto |
|
|
Stato evento imprevisto
|
status | string |
Stato dell'evento imprevisto |
|
|
Titolo evento imprevisto
|
title | string |
Titolo dell'evento imprevisto |
|
|
Nome
|
labelName | True | string |
Nome del tag |
|
TIPO
|
labelType | string |
Tipo del tag |
|
|
Ora dell'ultima modifica dell'evento imprevisto UTC
|
lastModifiedTimeUtc | date-time |
Ultima volta che l'evento imprevisto è stato aggiornato |
|
|
Email
|
string |
Il messaggio di posta elettronica dell'utente a cui viene assegnato l'evento imprevisto. |
||
|
Assigned To
|
assignedTo | string |
Nome dell'utente a cui viene assegnato l'evento imprevisto. (campo assignedTo) |
|
|
ObjectId
|
objectId | uuid |
ID oggetto dell'utente a cui viene assegnato l'evento imprevisto. |
|
|
Nome principale dell'utente
|
userPrincipalName | string |
Nome dell'entità utente dell'utente a cui viene assegnato l'evento imprevisto. |
|
|
ID regola analitica correlati agli eventi imprevisti
|
relatedAnalyticRuleIds | array of string |
Elenco degli ID risorsa delle regole analitiche correlate all'evento imprevisto |
|
|
Documento d'identità
|
id | string |
ID ARM completo del commento. |
|
|
Nome
|
name | string |
Nome ARM del commento (GUID) |
|
|
proprietà
|
properties |
Rappresenta json proprietà commento evento imprevisto. |
Restituisce
Rappresenta un segnalibro in Azure Security Insights.
- Corpo
- Bookmark
Segnalibri - Eliminare un segnalibro
Segnalibri - Eliminare un segnalibro
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'ID segnalibro
|
bookmarkId | True | string |
ID del segnalibro |
Restituisce
- response
- string
Segnalibri - Ottenere un segnalibro
Segnalibri - Ottenere un segnalibro in base all'ID
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'ID segnalibro
|
bookmarkId | True | string |
ID del segnalibro |
Restituisce
Rappresenta un segnalibro in Azure Security Insights.
- Corpo
- Bookmark
Segnalibri - Recupera tutti i segnalibri
Segnalibri: ottenere tutti i segnalibri per una determinata area di lavoro
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare il numero di segnalibri
|
numberOfBookmarks | True | integer |
Numero di segnalibri da restituire. 0 o negativo per restituire tutti i segnalibri |
Restituisce
Elencare tutti i segnalibri.
- Corpo
- BookmarkList
Watchlists - Aggiornare un elemento Watchlist esistente
Watchlists - Aggiornare un elemento Watchlist esistente
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
|
Specificare l'ID elemento Watchlist
|
watchlistItemId | True | string |
Identificatore univoco per un elemento watchlist (GUID) |
Restituisce
Rappresenta un watchlistItem in Azure Security Insights.
- Corpo
- WatchlistItem
Watchlists - Aggiungere un nuovo elemento Watchlist
Watchlists - Aggiungere un nuovo elemento Watchlist
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Restituisce
Rappresenta un watchlistItem in Azure Security Insights.
- Corpo
- WatchlistItem
Watchlists - Creare un nuovo watchlist con dati (contenuto non elaborato) (V2)
Watchlists - Creare un nuovo watchlist con dati (contenuto non elaborato) (V2)
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Restituisce
Rappresenta un watchlist in Azure Security Insights.
- Corpo
- WatchlistV2
Watchlists - Creare un watchlist di grandi dimensioni usando un URI di firma di accesso condiviso
Watchlists - Creare un watchlist di grandi dimensioni usando un URI di firma di accesso condiviso
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Restituisce
Rappresenta un watchlist in Azure Security Insights.
- Corpo
- Watchlist
Watchlists - Delete a Watchlist (V2)
Elimina un oggetto Watchlist specificato in base all'alias.
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Watchlists - Delete a Watchlist Item
Watchlists - Delete a Watchlist Item
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
|
Specificare l'ID elemento Watchlist
|
watchlistItemId | True | string |
Identificatore univoco per un elemento watchlist (GUID) |
Restituisce
- response
- string
Watchlists - Delete a Watchlist Item (V2)
Watchlists - Delete a Watchlist Item (V2)
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
|
Specificare l'ID elemento Watchlist
|
watchlistItemId | True | string |
Identificatore univoco per un elemento watchlist (GUID) |
Restituisce
- response
- string
Watchlists - Eliminare un watchlist
Watchlists - Eliminare un watchlist
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Restituisce
- response
- string
Watchlists - Ottenere un watchlist per alias
Watchlists - Ottenere un watchlist per alias
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Restituisce
Rappresenta un watchlist in Azure Security Insights.
- Corpo
- Watchlist
Watchlists -Get a Watchlist Item by ID (guid)
Watchlists - Get a Watchlist Item
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
|
Specificare l'ID elemento Watchlist
|
watchlistItemId | True | string |
Identificatore univoco per un elemento watchlist (GUID) |
Restituisce
Rappresenta un watchlistItem in Azure Security Insights.
- Corpo
- WatchlistItem
Watchlists -Get all Watchlist Items for a given watchlistlist
Watchlists -Get all Watchlist Items for a given watchlistlist
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Restituisce
Elencare tutti gli elementi watchlist.
- response
- WatchlistItemList
Watchlists : creare un nuovo watchlist con dati (contenuto non elaborato)
Watchlists : creare un nuovo watchlist con dati (contenuto non elaborato)
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Restituisce
Rappresenta un watchlist in Azure Security Insights.
- Corpo
- Watchlist
Watchlists : creare un watchlist di grandi dimensioni usando un URI di firma di accesso condiviso (V2)
Watchlists : creare un watchlist di grandi dimensioni usando un URI di firma di accesso condiviso (V2)
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
Restituisce
Rappresenta un watchlist in Azure Security Insights.
- Corpo
- WatchlistV2
Watchlists : ottiene tutti gli elementi watchlist per un determinato watchlist (V2)
Watchlists : ottiene tutti gli elementi watchlist per un determinato watchlist (V2)
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Specificare l'ID sottoscrizione
|
subscriptionId | True | string |
ID sottoscrizione |
|
Specificare il gruppo di risorse
|
resourceGroup | True | string |
Gruppo di risorse |
|
Specificare l'ID dell'area di lavoro
|
workspaceId | True | string |
ID area di lavoro |
|
Specificare l'alias watchlist
|
watchlistAlias | True | string |
Alias watchlist |
|
Ignora token
|
skipToken | string |
Ignorare il token per il set successivo di 100 elementi da restituire |
Restituisce
Elencare tutti gli elementi watchlist.
- response
- WatchlistItemList
Trigger
| Avviso di Microsoft Sentinel |
Quando viene attivata una risposta a un avviso di Microsoft Sentinel. Questo playbook viene attivato da una regola di analisi quando viene creato un nuovo avviso o attivando manualmente. Il playbook riceve l'avviso come input. |
| Entità di Microsoft Sentinel |
Eseguire il playbook nell'entità di Microsoft Sentinel |
| Evento imprevisto di Microsoft Sentinel |
Quando viene attivata una risposta a un evento imprevisto di Microsoft Sentinel. Questo playbook viene attivato da una regola di automazione quando viene creato o aggiornato un nuovo evento imprevisto. Il playbook riceve l'evento imprevisto di Microsoft Sentinel come input, inclusi avvisi ed entità. |
| Quando viene attivata una risposta a un avviso di Microsoft Sentinel [DEPRECATO] |
Quando viene attivata una risposta a un avviso di Microsoft Sentinel. Questo playbook deve essere attivato usando Microsoft Sentinel In tempo reale o da Azure |
Avviso di Microsoft Sentinel
Quando viene attivata una risposta a un avviso di Microsoft Sentinel. Questo playbook viene attivato da una regola di analisi quando viene creato un nuovo avviso o attivando manualmente. Il playbook riceve l'avviso come input.
Restituisce
- Corpo
- Alert
Entità di Microsoft Sentinel
Eseguire il playbook nell'entità di Microsoft Sentinel
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Tipo di entità
|
entityType | True | string |
Tipo di entità |
Restituisce
Evento imprevisto di Microsoft Sentinel
Quando viene attivata una risposta a un evento imprevisto di Microsoft Sentinel. Questo playbook viene attivato da una regola di automazione quando viene creato o aggiornato un nuovo evento imprevisto. Il playbook riceve l'evento imprevisto di Microsoft Sentinel come input, inclusi avvisi ed entità.
Restituisce
Quando viene attivata una risposta a un avviso di Microsoft Sentinel [DEPRECATO]
Quando viene attivata una risposta a un avviso di Microsoft Sentinel. Questo playbook deve essere attivato usando Microsoft Sentinel In tempo reale o da Azure
Restituisce
- Corpo
- Alert
Definizioni
UploadApiValidationErrors
Risposta dall'API Uplaod di Intelligence per le minacce. Si tratta di errori per gli oggetti non validi nel corpo della richiesta.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
Risposta da indicatori uplaod di Intelligence per le minacce.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Elenco di account associati all'avviso
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Elenco di account associati all'avviso |
Conto
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Nome
|
Name | string |
Nome dell'account |
|
Dominio NT
|
NTDomain | string |
Nome di dominio NETBIOS visualizzato nel formato di avviso |
|
DnsDomain
|
DnsDomain | string |
Nome DNS di dominio completo |
|
Suffisso UPN
|
UPNSuffix | string |
Suffisso del nome dell'entità utente |
|
SID
|
Sid | string |
Identificatore di sicurezza dell'account, ad esempio S-1-5-18 |
|
Microsoft Entra ID tenant ID
|
AadTenantId | string |
ID tenant di Microsoft Entra, se noto |
|
ID utente di Microsoft Entra ID
|
AadUserId | string |
ID utente di Microsoft Entra, se noto |
|
PUID
|
PUID | string |
ID utente Di Microsoft Entra ID Passport, se noto |
|
Aggiunto a un dominio
|
IsDomainJoined | boolean |
Determina se si tratta di un account di dominio |
|
ObjectGuid
|
ObjectGuid | string |
L'attributo objectGUID è un attributo a valore singolo che rappresenta l'identificatore univoco per l'oggetto, assegnato da Microsoft Entra ID |
BatchResponseUrl
Elenco di URL associati all'avviso
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
URLs
|
URLs | array of UrlEntity |
Elenco di URL associati all'avviso |
UrlEntity
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
URL
|
Url | string |
BatchResponseHost
Elenco di host associati all'avviso
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Elenco di host associati all'avviso |
Host
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Dominio DNS
|
DnsDomain | string |
Dominio DNS a cui appartiene l'host |
|
Dominio NT
|
NTDomain | string |
Dominio NT a cui appartiene l'host |
|
Hostname
|
HostName | string |
Hostname senza il suffisso di dominio |
|
NetBiosName
|
NetBiosName | string |
Nome host (pre-windows2000) |
|
OMSAgentID
|
OMSAgentID | string |
ID agente OMS, se l'host ha installato l'agente OMS |
|
OSFamily
|
OSFamily | string |
Uno dei valori seguenti: Linux, Windows, Android, IOS |
|
Versione del Sistema Operativo
|
OSVersion | string |
Rappresentazione in formato testo libero del sistema operativo |
|
Aggiunto a un dominio
|
IsDomainJoined | boolean |
Determina se l'host appartiene a un dominio |
|
AzureID
|
AzureID | string |
ID risorsa di Azure della macchina virtuale, se noto |
BatchResponseIP
Elenco di indirizzi IP associati all'avviso
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Ips
|
IPs | array of IP |
Elenco di indirizzi IP associati all'avviso |
IP
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Address
|
Address | string |
IP address |
BatchResponseDNS
Elenco di domini DNS associati all'avviso
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Domini DNS
|
Dnsresolutions | array of DNS |
Elenco di domini DNS associati all'avviso |
DNS
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Nome di dominio
|
DomainName | string |
Nome del record DNS associato all'avviso |
BatchResponseFileHash
Elenco di hash di file associati all'avviso
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
Elenco di hash di file associati all'avviso |
FileHash
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Value
|
Value | string |
Valore hash file |
|
Algoritmo
|
Algorithm | string |
Tipi di algoritmo hash di file |
OldIncident
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
proprietà
|
properties | OldIncidentProperties |
OldIncidentProperties
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
stato
|
Status | string |
Stato dell'evento imprevisto |
|
Etichette
|
Labels | array of |
Etichette dell'evento imprevisto |
|
Titolo
|
Title | string |
Titolo dell'evento imprevisto |
|
Description
|
Description | string |
Descrizione dell'evento imprevisto |
|
Ora di fine utc
|
EndTimeUtc | string |
Ora in cui l'evento imprevisto è terminato |
|
Ora di inizio utc
|
StartTimeUtc | string |
Ora di inizio dell'evento imprevisto |
|
Ora dell'ultimo aggiornamento utc
|
LastUpdatedTimeUtc | string |
Ora di aggiornamento dell'evento imprevisto |
|
Number
|
CaseNumber | string |
Numero dell'evento imprevisto |
|
Ora utc creata
|
CreatedTimeUtc | string |
Ora di creazione dell'evento imprevisto |
|
Severity
|
Severity | string |
Gravità dell'evento imprevisto |
|
ID avviso correlati
|
RelatedAlertIds | array of |
ID avviso correlati dell'evento imprevisto |
IncidentAdditionalData
Contenitore di proprietà aggiuntive per gli eventi imprevisti.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Conteggio avvisi degli eventi imprevisti
|
alertsCount | integer |
Numero di avvisi nell'evento imprevisto |
|
Conteggio segnalibri eventi imprevisti
|
bookmarksCount | integer |
Numero di segnalibri nell'evento imprevisto |
|
Conteggio commenti eventi imprevisti
|
commentsCount | integer |
Numero di commenti nell'evento imprevisto |
|
Nomi dei prodotti di avviso imprevisto
|
alertProductNames | array of string |
Elenco dei nomi dei prodotti degli avvisi nell'evento imprevisto |
|
URL evento imprevisto provider
|
providerIncidentUrl | string |
URL dell'evento imprevisto nel portale di Microsoft Defender |
|
Numero evento imprevisto unito
|
mergedIncidentNumber | string |
Numero di evento imprevisto dell'evento imprevisto in cui è stato unito l'evento imprevisto corrente |
|
URL evento imprevisto unito
|
mergedIncidentUrl | string |
URL dell'evento imprevisto in cui è stato unito l'evento imprevisto corrente |
|
Tattiche degli eventi imprevisti
|
tactics | array of AttackTactic |
Tattiche associate all'evento imprevisto |
|
Tecniche degli eventi imprevisti
|
techniques | array of string |
Le tecniche associate alle tattiche degli incidenti |
IncidentLabel
Rappresenta un tag di evento imprevisto
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Nome
|
labelName | string |
Nome del tag |
|
TIPO
|
labelType | string |
Tipo del tag |
IncidentOwnerInfo
Le informazioni sull'utente a cui viene assegnato un evento imprevisto
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Email
|
string |
Il messaggio di posta elettronica dell'utente a cui viene assegnato l'evento imprevisto. |
|
|
Assigned To
|
assignedTo | string |
Nome dell'utente a cui viene assegnato l'evento imprevisto. (campo assignedTo) |
|
ObjectId
|
objectId | uuid |
ID oggetto dell'utente a cui viene assegnato l'evento imprevisto. |
|
Nome principale dell'utente
|
userPrincipalName | string |
Nome dell'entità utente dell'utente a cui viene assegnato l'evento imprevisto. |
AttackTactic
Rappresenta un elemento di tattica associato all'evento imprevisto
Rappresenta un elemento di tattica associato all'evento imprevisto
AlertSeverity
HuntingBookmark
Rappresenta un elemento segnalibro di ricerca
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
ARM ID
|
id | string |
ID ARM completo del segnalibro. |
|
Nome ARM
|
name | string |
Nome ARM del segnalibro (GUID) |
|
proprietà
|
properties | HuntingBookmarkProperties |
Rappresenta il codice JSON delle proprietà HuntingBookmark. |
Avviso di Sicurezza
Rappresenta un elemento di avviso di sicurezza
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
ARM ID
|
id | string |
ID ARM completo dell'avviso. |
|
Nome ARM
|
name | string |
Nome ARM dell'avviso (GUID) |
|
proprietà
|
properties | SecurityAlertProperties |
Rappresenta il codice JSON delle proprietà degli avvisi. |
HuntingBookmarkProperties
Rappresenta il codice JSON delle proprietà HuntingBookmark.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Nome visualizzato
|
displayName | string |
Nome visualizzato del segnalibro |
|
Created
|
created | date-time |
Ora di creazione del segnalibro |
|
Updated
|
updated | date-time |
Ora aggiornata del segnalibro |
|
Create by User Info
|
createdBy | CreatedByUserInfo |
Rappresenta il codice JSON delle proprietà UserInfo. |
|
Aggiornamento delle informazioni utente
|
updatedBy | UpdatedByUserInfo |
Rappresenta il codice JSON delle proprietà UserInfo. |
|
Ora evento
|
eventTime | date-time |
Ora dell'evento del segnalibro |
|
Note
|
notes | string |
Note del segnalibro |
|
Etichette
|
labels | array of string |
Etichette del segnalibro |
|
Query
|
query | string |
Query del segnalibro |
|
Risultato query
|
queryResult | string |
Risultato della query del segnalibro |
SecurityAlertProperties
Rappresenta il codice JSON delle proprietà degli avvisi.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Nome amichevole
|
friendlyName | string |
Nome visualizzato dell'elemento grafico che è una breve descrizione leggibile dell'istanza dell'elemento del grafo. Questa proprietà è facoltativa e potrebbe essere generata dal sistema. |
|
Nome visualizzato
|
alertDisplayName | string |
Nome visualizzato dell'avviso |
|
TIPO
|
alertType | string |
Nell'avviso di pianificazione si tratta dell'ID regola di analisi. |
|
URI (Identificatore Uniforme delle Risorse)
|
alertLink | string |
Questo è il collegamento all'avviso nel fornitore orignal. |
|
Entità compromessa
|
compromisedEntity | string |
Nome visualizzato dell'entità principale interessata dalla segnalazione. |
|
Livello di sicurezza
|
confidenceLevel | string |
Livello di attendibilità di questo avviso. |
|
Description
|
description | string |
Descrizione dell'avviso. |
|
Ora di fine UTC
|
endTimeUtc | date-time |
Ora di fine dell'avviso (ora dell'ultimo evento che contribuisce all'avviso). |
|
Provider ID
|
providerAlertId | string |
Identificatore dell'avviso all'interno del prodotto che ha generato l'avviso. |
|
Nome prodotto
|
productName | string |
Nome del prodotto che ha pubblicato l'avviso. |
|
Passaggi di rieditazione
|
remediationSteps | array of string |
Elenco di elementi di azione manuali da eseguire per correggere l'avviso. |
|
Severity
|
severity | AlertSeverity |
Gravità dell'avviso |
|
Ora di avvio
|
startTimeUtc | date-time |
Ora di inizio dell'avviso di impatto (ora del primo evento che contribuisce all'avviso). |
|
stato
|
status | string |
Stato del ciclo di vita dell'avviso. |
|
ID sistema
|
systemAlertId | string |
Contiene l'identificatore del prodotto dell'avviso per il prodotto. |
|
Tactics
|
tactics | array of AttackTactic |
Elenco delle tattiche di avviso. |
|
Ora generata
|
timeGenerated | date-time |
Ora in cui è stato generato l'avviso. |
|
Query
|
additionalData.Query | string |
Query usata per decidere se l'avviso deve essere attivato (Solo avvisi di pianificazione). |
|
Ora di inizio query
|
additionalData.Query Start Time UTC | string |
Ora di inizio della query usata per decidere se l'avviso deve essere attivato (Solo avvisi pianifica). |
|
Ora di fine query
|
additionalData.Query End Time UTC | string |
Ora di inizio della query usata per decidere se l'avviso deve essere attivato (Solo avvisi pianifica). |
|
Operatore Query
|
additionalData.Trigger Operator | string |
Operatore usato per decidere se l'avviso deve essere attivato (Solo avvisi di pianificazione). |
|
Soglia query
|
additionalData.Trigger Threshold | string |
Soglia usata per decidere se l'avviso deve essere attivato (Solo avvisi pianifica). |
|
Dettagli personalizzati
|
additionalData.Custom Details | string |
Dettagli dell'evento personalizzati aggiunti all'avviso dalle regole di analisi (solo avvisi pianificati). Per usare questo campo, seguire l'azione "Analizza JSON" e usare un payload di esempio dell'avviso esistente per simulare lo schema. |
|
Identificatori di risorsa
|
resourceIdentifiers | array of object |
Identificatori di risorsa dell'avviso |
|
items
|
resourceIdentifiers | object |
Rappresenta un identificatore di risorsa di avviso. |
Incidente
Rappresenta un evento imprevisto in Azure Security Insights.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
ID ARM dell'evento imprevisto
|
id | string |
ID ARM completo dell'evento imprevisto. |
|
Nome ARM dell'evento imprevisto
|
name | string |
Nome ARM dell'evento imprevisto (GUID) |
|
proprietà
|
properties | IncidentProperties |
Rappresenta il codice JSON delle proprietà dell'evento imprevisto. |
FullIncident
Ottenere un evento imprevisto in base all'ID ARM
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
ID ARM dell'evento imprevisto
|
id | string |
ID ARM completo dell'evento imprevisto. |
|
Nome ARM dell'evento imprevisto
|
name | string |
Nome ARM dell'evento imprevisto (GUID) |
|
proprietà
|
properties | FullIncidentProperties |
Rappresenta il codice JSON delle proprietà dell'evento imprevisto. |
Proprietà evento imprevisto
Rappresenta il codice JSON delle proprietà dell'evento imprevisto.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
dati aggiuntivi
|
additionalData | IncidentAdditionalData |
Contenitore di proprietà aggiuntive per gli eventi imprevisti. |
|
Classificazione degli eventi imprevisti
|
classification | string |
Il motivo per cui l'evento imprevisto è stato chiuso |
|
Commento di classificazione degli eventi imprevisti
|
classificationComment | string |
Descrive il motivo per cui l'evento imprevisto è stato chiuso |
|
Motivo della classificazione degli eventi imprevisti
|
classificationReason | string |
Motivo della classificazione con cui l'evento imprevisto è stato chiuso |
|
Ora di creazione evento imprevisto UTC
|
createdTimeUtc | date-time |
Ora in cui è stato creato l'evento imprevisto |
|
Descrizione evento imprevisto
|
description | string |
Descrizione dell'evento imprevisto |
|
Ora della prima attività dell'evento imprevisto UTC
|
firstActivityTimeUtc | date-time |
Ora della prima attività nell'evento imprevisto |
|
URL evento imprevisto
|
incidentUrl | string |
URL di collegamento diretto all'evento imprevisto nel portale di Azure |
|
ID evento imprevisto provider
|
providerIncidentId | string |
ID evento imprevisto assegnato dal provider di eventi imprevisti |
|
ID di Sentinel per eventi imprevisti
|
incidentNumber | integer |
Numero sequenziale usato per identificare l'evento imprevisto in Microsoft Sentinel. |
|
Ora dell'ultima attività dell'evento imprevisto UTC
|
lastActivityTimeUtc | date-time |
Ora dell'ultima attività nell'evento imprevisto |
|
Gravità dell'evento imprevisto
|
severity | string |
Gravità dell'evento imprevisto |
|
Stato evento imprevisto
|
status | string |
Stato dell'evento imprevisto |
|
Titolo evento imprevisto
|
title | string |
Titolo dell'evento imprevisto |
|
Tag degli eventi imprevisti
|
labels | array of IncidentLabel |
Elenco di tag associati a questo evento imprevisto |
|
Ora dell'ultima modifica dell'evento imprevisto UTC
|
lastModifiedTimeUtc | date-time |
Ultima volta che l'evento imprevisto è stato aggiornato |
|
Proprietario dell'evento imprevisto
|
owner | IncidentOwnerInfo |
Le informazioni sull'utente a cui viene assegnato un evento imprevisto |
|
ID regola analitica correlati agli eventi imprevisti
|
relatedAnalyticRuleIds | array of string |
Elenco degli ID risorsa delle regole analitiche correlate all'evento imprevisto |
|
Comments
|
Comments | array of IncidentComment |
Elenco di commenti su questo evento imprevisto. |
FullIncidentProperties
Rappresenta il codice JSON delle proprietà dell'evento imprevisto.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
dati aggiuntivi
|
additionalData | IncidentAdditionalData |
Contenitore di proprietà aggiuntive per gli eventi imprevisti. |
|
Classificazione degli eventi imprevisti
|
classification | string |
Il motivo per cui l'evento imprevisto è stato chiuso |
|
Commento di classificazione degli eventi imprevisti
|
classificationComment | string |
Descrive il motivo per cui l'evento imprevisto è stato chiuso |
|
Motivo della classificazione degli eventi imprevisti
|
classificationReason | string |
Motivo della classificazione con cui l'evento imprevisto è stato chiuso |
|
Ora di creazione evento imprevisto UTC
|
createdTimeUtc | date-time |
Ora in cui è stato creato l'evento imprevisto |
|
Descrizione evento imprevisto
|
description | string |
Descrizione dell'evento imprevisto |
|
Ora della prima attività dell'evento imprevisto UTC
|
firstActivityTimeUtc | date-time |
Ora della prima attività nell'evento imprevisto |
|
URL evento imprevisto
|
incidentUrl | string |
URL di collegamento diretto all'evento imprevisto nel portale di Azure |
|
ID evento imprevisto provider
|
providerIncidentId | string |
ID evento imprevisto assegnato dal provider di eventi imprevisti |
|
ID di Sentinel per eventi imprevisti
|
incidentNumber | integer |
Numero sequenziale usato per identificare l'evento imprevisto in Microsoft Sentinel. |
|
Ora dell'ultima attività dell'evento imprevisto UTC
|
lastActivityTimeUtc | date-time |
Ora dell'ultima attività nell'evento imprevisto |
|
Gravità dell'evento imprevisto
|
severity | string |
Gravità dell'evento imprevisto |
|
Stato evento imprevisto
|
status | string |
Stato dell'evento imprevisto |
|
Titolo evento imprevisto
|
title | string |
Titolo dell'evento imprevisto |
|
Tag degli eventi imprevisti
|
labels | array of IncidentLabel |
Elenco di tag associati a questo evento imprevisto |
|
Ora dell'ultima modifica dell'evento imprevisto UTC
|
lastModifiedTimeUtc | date-time |
Ultima volta che l'evento imprevisto è stato aggiornato |
|
Proprietario dell'evento imprevisto
|
owner | IncidentOwnerInfo |
Le informazioni sull'utente a cui viene assegnato un evento imprevisto |
|
ID regola analitica correlati agli eventi imprevisti
|
relatedAnalyticRuleIds | array of string |
Elenco degli ID risorsa delle regole analitiche correlate all'evento imprevisto |
|
Comments
|
Comments | array of IncidentComment |
Elenco di commenti su questo evento imprevisto. |
|
Avvisi
|
Alerts | array of SecurityAlert |
Elenco degli avvisi correlati a questo evento imprevisto. |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
Elenco di segnalibri correlati a questo evento imprevisto. |
|
Entities
|
relatedEntities | string |
Elenco di entità correlate all'evento imprevisto, può contenere entità di tipi diversi |
IncidentEventNotification
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Nomi dei campi aggiornati
|
incidentUpdates.updatedFields | array of string |
Nomi dei campi aggiornati nell'evento imprevisto |
|
Ora aggiornamento
|
incidentUpdates.updatedTime | date-time |
Ora dell'evento di aggiornamento dell'evento imprevisto |
|
Fonte
|
incidentUpdates.updatedBy.source | string |
Attore che ha aggiornato l'evento imprevisto: Utente, Applicazione esterna, Playbook, Regola di automazione, Microsoft 365 Defender o Gruppo di avvisi |
|
Nome
|
incidentUpdates.updatedBy.name | string |
Nome dell'utente, dell'applicazione, della regola di automazione o del playbook che ha aggiornato l'evento imprevisto |
|
Avvisi degli eventi imprevisti
|
incidentUpdates.alerts | array of SecurityAlert |
Elenco degli avvisi aggiunti a questo evento imprevisto. |
|
Tag degli eventi imprevisti
|
incidentUpdates.labels | array of IncidentLabel |
Elenco dei tag aggiunti a questo evento imprevisto |
|
Commenti sull'incidente
|
incidentUpdates.comments | array of IncidentComment |
Elenco di commenti aggiunti a questo evento imprevisto. |
|
Tattiche degli eventi imprevisti
|
incidentUpdates.tactics | array of AttackTactic |
Tattiche associate all'evento imprevisto |
|
ID sottoscrizione
|
workspaceInfo.SubscriptionId | string |
ID sottoscrizione dell'area di lavoro di Microsoft Sentinel |
|
Nome gruppo di risorse
|
workspaceInfo.ResourceGroupName | string |
Gruppo di risorse dell'area di lavoro di Microsoft Sentinel |
|
Nome area di lavoro
|
workspaceInfo.WorkspaceName | string |
Nome dell'area di lavoro di Microsoft Sentinel |
|
ID area di lavoro
|
workspaceId | string |
ID dell'area di lavoro dell'evento imprevisto. |
|
oggetto
|
object | FullIncident |
Ottenere un evento imprevisto in base all'ID ARM |
CreatedByUserInfo
Rappresenta il codice JSON delle proprietà UserInfo.
Rappresenta il codice JSON delle proprietà UserInfo.
UpdatedByUserInfo
Rappresenta il codice JSON delle proprietà UserInfo.
Rappresenta il codice JSON delle proprietà UserInfo.
Avviso
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Nome prodotto
|
ProductName | string |
Nome del prodotto che ha pubblicato l'avviso |
|
Tipo di avviso
|
AlertType | string |
Nome del tipo dell'avviso |
|
Ora di inizio (UTC)
|
StartTimeUtc | date-time |
Ora di inizio dell'avviso, quando è stato rilevato il primo evento che contribuisce |
|
Ora di fine (UTC)
|
EndTimeUtc | date-time |
Ora di fine dell'avviso, quando è stato rilevato l'ultimo evento che ha contribuito |
|
Ora generata (UTC)
|
TimeGenerated | date-time |
Ora in cui è stato generato l'avviso |
|
Severity
|
Severity | string |
Gravità dell'avviso come segnalato dal provider |
|
ID avviso provider
|
ProviderAlertId | string |
ID univoco per l'istanza di avviso specifica impostata dal provider |
|
ID avviso di sistema
|
SystemAlertId | string |
ID univoco per l'istanza di avviso specifica |
|
Nome visualizzato avviso
|
AlertDisplayName | string |
Nome visualizzato dell'avviso |
|
Description
|
Description | string |
Descrizione avviso |
|
Entities
|
Entities | string |
Un elenco di entità correlate all'avviso può includere più tipi di entità |
|
Proprietà estese
|
ExtendedProperties | string |
Elenco di campi che verranno presentati all'utente |
|
ID area di lavoro
|
WorkspaceId | string |
ID dell'area di lavoro dell'avviso |
|
Gruppo di risorse
|
WorkspaceResourceGroup | string |
gruppo di risorse di avviso dell'avviso |
|
ID sottoscrizione
|
WorkspaceSubscriptionId | string |
ID della sottoscrizione dell'avviso |
|
Collegamenti estesi
|
ExtendedLinks | array of object |
Un elenco di collegamenti correlati all'avviso può includere più tipi |
IncidentComment
Rappresenta un elemento di commento dell'evento imprevisto
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Documento d'identità
|
id | string |
ID ARM completo del commento. |
|
Nome
|
name | string |
Nome ARM del commento (GUID) |
|
proprietà
|
properties | IncidentCommentProperties |
Rappresenta json proprietà commento evento imprevisto. |
IncidentCommentProperties
Rappresenta json proprietà commento evento imprevisto.
Rappresenta json proprietà commento evento imprevisto.
IncidentTask
Rappresenta un elemento dell'attività evento imprevisto
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Documento d'identità
|
id | string |
ID ARM completo dell'attività. |
|
Nome
|
name | string |
Nome arm dell'attività |
|
proprietà
|
properties | IncidentTaskProperties |
Rappresenta le proprietà dell'attività evento imprevisto. |
IncidentTaskProperties
Rappresenta le proprietà dell'attività evento imprevisto.
Rappresenta le proprietà dell'attività evento imprevisto.
IncidentRelation
Rappresenta una relazione tra eventi imprevisti
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Documento d'identità
|
id | string |
ID ARM completo della relazione tra eventi imprevisti. |
|
Nome
|
name | string |
Nome ARM della relazione tra eventi imprevisti |
|
proprietà
|
properties | IncidentRelationProperties |
Rappresenta un json delle proprietà delle relazioni tra eventi imprevisti. |
IncidentRelationProperties
Rappresenta un json delle proprietà delle relazioni tra eventi imprevisti.
Rappresenta un json delle proprietà delle relazioni tra eventi imprevisti.
Watchlist
Rappresenta un watchlist in Azure Security Insights.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
proprietà
|
properties | WatchlistProperties |
Descrive le proprietà watchlist |
WatchlistV2
Rappresenta un watchlist in Azure Security Insights.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
proprietà
|
properties | WatchlistPropertiesV2 |
Descrive le proprietà watchlist |
WatchlistProperties
Descrive le proprietà watchlist
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
ID (guid) dell'elenco di controllo |
|
nome visualizzato
|
displayName | string |
Nome visualizzato dell'elenco di controllo |
|
provider
|
provider | string |
Provider dell'elenco di controllo |
|
source
|
source | string |
Origine dell'elenco di controllo |
|
creato
|
created | date-time |
Ora di creazione dell'elenco di controllo |
|
aggiornato
|
updated | date-time |
Ultima volta che l'elenco di controllo è stato aggiornato |
|
creato da
|
createdBy | UserInfo |
Informazioni sull'utente che hanno eseguito un'azione |
|
aggiornatoDa
|
updatedBy | UserInfo |
Informazioni sull'utente che hanno eseguito un'azione |
|
descrizione
|
description | string |
Descrizione dell'elenco di controllo |
|
watchlistType
|
watchlistType | string |
Tipo dell'elenco di controllo |
|
watchlistAlias
|
watchlistAlias | string |
Alias dell'elenco di controllo |
|
isDeleted
|
isDeleted | boolean |
Flag che indica se l'elenco di controllo viene eliminato o meno |
|
labels
|
labels | array of Label |
Elenco di etichette rilevanti per questo watchlist |
|
defaultDuration
|
defaultDuration | duration |
Durata predefinita di un watchlist (in formato durata ISO 8601) |
|
tenantId
|
tenantId | string |
TenantId a cui appartiene l'watchlist |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Numero di righe in un contenuto csv/tsv da ignorare prima dell'intestazione |
|
rawContent
|
rawContent | string |
Contenuto non elaborato che rappresenta gli elementi watchlist da creare. In caso di tipo di contenuto csv/tsv, si tratta del contenuto del file che verrà analizzato dall'endpoint |
|
itemsSearchKey
|
itemsSearchKey | string |
La chiave di ricerca viene usata per ottimizzare le prestazioni delle query quando si usano watchlist per i join con altri dati. Ad esempio, abilitare una colonna con indirizzi IP come campo SearchKey designato, quindi usare questo campo come campo chiave quando si uniscono ad altri dati dell'evento in base all'indirizzo IP. |
|
tipo di contenuto
|
contentType | string |
Tipo di contenuto del contenuto non elaborato. Esempio: text/csv o text/tsv |
|
uploadStatus
|
uploadStatus | string |
Stato del caricamento watchlist: Nuovo, InProgress o Completato. Nota pls: quando lo stato di caricamento watchlist è uguale a InProgress, l'elenco di controllo non può essere eliminato |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
Numero di elementi watchlist nell'elenco di controllo |
WatchlistPropertiesV2
Descrive le proprietà watchlist
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
ID (guid) dell'elenco di controllo |
|
nome visualizzato
|
displayName | string |
Nome visualizzato dell'elenco di controllo |
|
provider
|
provider | string |
Provider dell'elenco di controllo |
|
source
|
source | string |
Nome file dell'elenco di controllo, denominato 'source' |
|
sourceType
|
sourceType | string |
SourceType dell'elenco di controllo |
|
creato
|
created | date-time |
Ora di creazione dell'elenco di controllo |
|
aggiornato
|
updated | date-time |
Ultima volta che l'elenco di controllo è stato aggiornato |
|
creato da
|
createdBy | UserInfo |
Informazioni sull'utente che hanno eseguito un'azione |
|
aggiornatoDa
|
updatedBy | UserInfo |
Informazioni sull'utente che hanno eseguito un'azione |
|
descrizione
|
description | string |
Descrizione dell'elenco di controllo |
|
watchlistType
|
watchlistType | string |
Tipo dell'elenco di controllo |
|
watchlistAlias
|
watchlistAlias | string |
Alias dell'elenco di controllo |
|
isDeleted
|
isDeleted | boolean |
Flag che indica se l'elenco di controllo viene eliminato o meno |
|
labels
|
labels | array of Label |
Elenco di etichette rilevanti per questo watchlist |
|
defaultDuration
|
defaultDuration | duration |
Durata predefinita di un watchlist (in formato durata ISO 8601) |
|
tenantId
|
tenantId | string |
TenantId a cui appartiene l'watchlist |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Numero di righe in un contenuto csv/tsv da ignorare prima dell'intestazione |
|
rawContent
|
rawContent | string |
Contenuto non elaborato che rappresenta gli elementi watchlist da creare. In caso di tipo di contenuto csv/tsv, si tratta del contenuto del file che verrà analizzato dall'endpoint |
|
itemsSearchKey
|
itemsSearchKey | string |
La chiave di ricerca viene usata per ottimizzare le prestazioni delle query quando si usano watchlist per i join con altri dati. Ad esempio, abilitare una colonna con indirizzi IP come campo SearchKey designato, quindi usare questo campo come campo chiave quando si uniscono ad altri dati dell'evento in base all'indirizzo IP. |
|
tipo di contenuto
|
contentType | string |
Tipo di contenuto del contenuto non elaborato. Esempio: text/csv o text/tsv |
|
uploadStatus
|
uploadStatus | string |
Stato del caricamento watchlist: Nuovo, InProgress o Completato. Nota pls: quando lo stato di caricamento watchlist è uguale a InProgress, l'elenco di controllo non può essere eliminato |
WatchlistItemList
WatchlistItem
Rappresenta un watchlistItem in Azure Security Insights.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
WatchlistItem Full ARM ID
|
id | string |
ID completo dell'elemento watchlist. |
|
WatchlistItem Unique ID
|
name | string |
Corrisponde all'ID WatchlistItem (GUID) |
|
Etag WatchlistItem
|
etag | string |
Corrisponde a etag (GUID) |
|
Tipo WatchlistItem
|
type | string |
Corrisponde al tipo WatchlistItem |
|
value
|
value | object |
Dettagli dell'entità elemento watchlist. |
Segnalibro
Rappresenta un segnalibro in Azure Security Insights.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
proprietà
|
properties | BookmarkProperties |
Descrive le proprietà dei segnalibri |
BookmarkList
Elencare tutti i segnalibri.
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
nextLink
|
nextLink | string |
URL per recuperare il set successivo di casi. |
|
value
|
value | array of Bookmark |
Matrice di segnalibri. |
BookmarkProperties
Descrive le proprietà dei segnalibri
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
creato
|
created | date-time |
Ora di creazione del segnalibro |
|
creato da
|
createdBy | UserInfo |
Informazioni sull'utente che hanno eseguito un'azione |
|
nome visualizzato
|
displayName | string |
Nome visualizzato del segnalibro |
|
labels
|
labels | array of Label |
Elenco di etichette rilevanti per questo segnalibro |
|
note
|
notes | string |
Note del segnalibro |
|
query
|
query | string |
Query del segnalibro. |
|
queryResult
|
queryResult | string |
Risultato della query del segnalibro. |
|
aggiornato
|
updated | date-time |
Ultima volta che il segnalibro è stato aggiornato |
|
aggiornatoDa
|
updatedBy | UserInfo |
Informazioni sull'utente che hanno eseguito un'azione |
|
oraEvento
|
eventTime | date-time |
Ora dell'evento del segnalibro |
|
queryStartTime
|
queryStartTime | date-time |
Ora di inizio della query |
|
queryEndTime
|
queryEndTime | date-time |
Ora di fine per la query |
|
incidentInfo
|
incidentInfo | Incident |
Rappresenta un evento imprevisto in Azure Security Insights. |
Informazioni utente
Informazioni sull'utente che hanno eseguito un'azione
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
posta elettronica
|
string |
Indirizzo di posta elettronica dell'utente. |
|
|
nome
|
name | string |
Il nome dell'utente. |
|
objectId
|
objectId | uuid |
ID oggetto dell'utente. |
Etichetta
Etichetta che verrà usata per contrassegnare e filtrare.
Etichetta che verrà usata per contrassegnare e filtrare.
corda
Si tratta del tipo di dati di base 'string'.