次の方法で共有


Microsoft Sentinel (プレビュー)

AI が組み込まれたクラウドネイティブの SIEM により、最も重要なことに集中できます

このコネクタは、次の製品および地域で利用可能です。

サービス クラス リージョン
Logic Apps Standard すべての Logic Apps 地域
Contact
件名 マイクロソフト
URL Microsoft LogicApps サポート
Connector Metadata
発行元 Microsoft
Web サイト https://azure.microsoft.com/services/azure-sentinel/

Microsoft Sentinel コネクタ

コネクタの詳細

このコネクタの使用方法に関する詳細情報:

認証

Mcirosoft Sentinel コネクタのトリガーとアクションは、関連するワークスペースで必要な権限 (読み取りおよび/または書き込み) を持つ ID の代わりに操作できます。 コネクタは複数の ID タイプをサポートします :

必要なアクセス許可

ロール / コネクタのコンポーネント トリガー 「Get」アクション インシデントの更新、
コメントを追加
Microsoft Sentinel 閲覧者
Microsoft Sentinel 応答者/共同作成者

Microsoft Sentinel のアクセス許可について

異なる認証オプションの使用方法について

既知の問題と制限事項

"トリガーの実行" ボタンを使用して Microsoft Sentinel トリガーによって呼び出されたロジック アプリをトリガーできない

ユーザーは、ロジック アプリ サービスの 概要 ブレードにある トリガーの実行 ボタンを使用して、Microsoft Sentinel プレイブックをトリガーすることはできません。

Azure Logic Apps は、POST REST 呼び出しによってトリガーされ、その本文がトリガーの入力となります。 Microsoft Sentinel トリガーで始まる Logic Apps では、呼び出しの本文に Microsoft Sentinel の アラート または インシデント の内容が表示されることを想定しています。 Logic Apps の概要ブレードから呼び出しが行われる場合、呼び出しの本文が空であるため、エラーが生成されます。

Microsoft Sentinel プレイブックをトリガーする唯一の適切な方法は次のとおりです:

  • Microsoft Sentinel の手動トリガー
  • Microsoft Sentinel での分析ルール (直接または自動化ルールによる) の自動応答
  • 既存の Logic Apps 実行ブレードで「再送信」ボタンを使用
  • Logic Apps エンドポイントを直接呼び出す (本文としてアラート/インシデントを添付する)

並列の For each ループで同じインシデントを更新する

For each ループは既定で並列実行するように設定されていますが、簡単に 順次実行するように設定 できます。 for each ループが同じ Microsoft Sentinel インシデントを別の繰り返しで更新する可能性がある場合は、順次実行するように構成する必要があります。

アラートの元のクエリの復元は、現在 Logic Apps ではサポートされていません

スケジュールされたアラート分析ルールによってキャプチャされたイベントを取得するための Azure Monitor Logs コネクタの使用は、一貫して信頼できるものではありません。

  • Azure Monitor Logs は、カスタム時間範囲の定義をサポートしていません。 まったく同じクエリ結果を復元するには、元のクエリとまったく同じ時間範囲を定義する必要があります。
  • ルールがプレイブックをトリガーした後、Log Analytics ワークスペースにアラートが表示されるのが遅れる場合があります。

利用可能リソース

Microsoft Sentinel ドキュメント

Microsoft Sentinel の参照

Azure Logic Apps

接続の作成

コネクタは、次の認証タイプをサポートしています:

既定 接続を作成するためのパラメーター。 すべての地域 共有不可

既定

適用できるもの: すべての領域

接続を作成するためのパラメーター。

これは共有可能な接続ではありません。 パワー アプリが別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。

調整制限

名前 呼び出し 更新期間
接続ごとの API 呼び出し 600 60 秒

アクション

ASI トリガーの登録を解除 [非推奨]

サブスクライブ

アラート - インシデントを取得

選択したアラートに関連付けられているインシデントを返します

アラート - インシデントを取得

選択したアラートに関連付けられているインシデントを返します

インシデントからラベルを削除する (非推奨) [非推奨]

選択したインシデントからラベルを削除します

インシデントから通知を削除する

既存のインシデントから通知を削除します。

インシデントにコメントを追加 (V2)

選択したインシデントにコメントを追加

インシデントにコメントを追加 (V3)

選択したインシデントにコメントを追加

インシデントにコメントを追加する [非推奨]

このアクションは非推奨になりました。 代わりにインシデントにコメントを追加 (V3) を使用してください。

選択したインシデントにコメントを追加

インシデントにタスクを追加する

既存のインシデントにタスクを追加する

インシデントにラベルを追加する (非推奨) [非推奨]

選択したインシデントにラベルを追加します

インシデントに通知を追加する

既存のインシデントに通知を追加します。 この通知は、他の通知と同様にインシデントに含まれ、ポータルに表示されます。

インシデントのタイトルを変更する (V2) (非推奨) [非推奨]

タイトルを選択したインシデントに変更します

インシデントのタイトルを変更する [非推奨]

タイトルを選択したインシデントに変更します

インシデントの更新

提供されたフィールドでインシデントを更新します

インシデントの状態を変更する (非推奨) [非推奨]

状態を選択したインシデントに変更します

インシデントの説明を変更する (V2) (非推奨) [非推奨]

選択したインシデントに対する説明を変更します

インシデントの説明を変更する [非推奨]

選択したインシデントに対する説明を変更します

インシデントの重要度を変更する (非推奨) [非推奨]

重要度を選択したインシデントに変更します

インシデントを作成する

指定されたフィールドでインシデントを作成する

インシデントを取得する

ARM ID でインシデントを取得する

ウォッチリスト - ID (GUID) を指定してウォッチリストの項目を取得する

ウォッチリスト - ウォッチリスト アイテムを取得する

ウォッチリスト - ウォッチリスト アイテムを削除する

ウォッチリスト - ウォッチリスト アイテムを削除する

ウォッチリスト - ウォッチリストを削除する

ウォッチリスト - ウォッチリストを削除する

ウォッチリスト - エイリアスでウォッチリストを取得する

ウォッチリスト - エイリアスでウォッチリストを取得する

ウォッチリスト - データ (生コンテンツ) から新しいウォッチリストを作成する

ウォッチリスト - データ (生コンテンツ) から新しいウォッチリストを作成する

ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する

ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する

ウォッチリスト - 指定のウォッチリストのすべてのアイテムを取得する

ウォッチリスト - 指定のウォッチリストのすべてのアイテムを取得する

ウォッチリスト - 指定のウォッチリストのすべての項目を取得する (V2)

ウォッチリスト - 指定のウォッチリストのすべての項目を取得する (V2)

ウォッチリスト - 新しいウォッチリスト アイテムを追加する

ウォッチリスト - 新しいウォッチリスト アイテムを追加する

ウォッチリスト - 既存のウォッチリスト アイテムを更新する

ウォッチリスト - 既存のウォッチリスト アイテムを更新する

エンティティ - DNS の取得

アラートに関連付けられた DNS レコードのリストを返します

エンティティ - FileHashes を取得する

アラートに関連付けられているファイル ハッシュのリストを返します

エンティティ - IP を取得

アラートに関連付けられている IP のリストを返します

エンティティ - URL を取得

アラートに関連付けられている URL のリストを返します

エンティティ - アカウントの取得

アラートに関連付けられているアカウントのリストを返します

エンティティ - ホストを取得

アラートに関連付けられているホストのリストを返します

タスクを完了としてマークする

タスクを完了としてマークする

ブックマーク (V2) - 新しいブックマークを作成 (json 入力) (プレビュー)

ブックマーク (V2) - 有効な新しいブックマーク (JSON) を作成します。

ブックマーク (V3) - 個別のフィールドを持つ新しいブックマークを作成します (プレビュー)

ブックマーク (V3) - 新しいブックマークを作成します。

ブックマーク - すべてのブックマークを取得

ブックマーク - 特定のワークスペースのすべてのブックマークを取得する

ブックマーク - ブックマークを削除

ブックマーク - ブックマークを削除

ブックマーク - ブックマークを取得

ブックマーク - ID でブックマークを取得する

ブックマーク - 新規ブックマークを作成 (プレビュー)

ブックマーク - 新しいブックマークを作成します。

脅威インテリジェンス - 侵害のインジケーターをアップロードする (廃止)

脅威インテリジェンス - 侵害のインジケーターをアップロードする

脅威インテリジェンス - 侵害のインジケーターをアップロードするCompromise (V2) (プレビュー)

脅威インテリジェンス - 侵害のインジケーターをアップロードする

ASI トリガーの登録を解除 [非推奨]

サブスクライブ

戻り値

返答
string

アラート - インシデントを取得

選択したアラートに関連付けられているインシデントを返します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

アラート ID を指定
alertId True string

システム通知 ID

戻り値

Azure Security Insights のインシデントを表します。

Body
Incident

アラート - インシデントを取得

選択したアラートに関連付けられているインシデントを返します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

アラート ID を指定
alertId True string

システム アラート ID

戻り値

インシデントからラベルを削除する (非推奨) [非推奨]

選択したインシデントからラベルを削除します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

label
Label True string

label

戻り値

返答
string

インシデントから通知を削除する

既存のインシデントから通知を削除します。

パラメーター

名前 キー 必須 説明
インシデント ARM ID
incidentArmId True string

インシデント ARM ID。 インシデントのトリガーや通知から取得する - インシデント アクションや Azure Monitor ログのクエリを取得します。

システム通知 ID
relatedResourceId True string

インシデントに追加/インシデントから削除されるシステム アラート ID。 Azure Monitor Logs クエリまたはアラート トリガーから取得します。 例: dfc09ba0-c218-038d-2ad8-b198a0033bdb。

戻り値

返答
string

インシデントにコメントを追加 (V2)

選択したインシデントにコメントを追加

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

コメントを指定
Value True string

コメント値

戻り値

応答
string

インシデントにコメントを追加 (V3)

選択したインシデントにコメントを追加

パラメーター

名前 キー 必須 説明
インシデント ARM ID
incidentArmId True string

インシデント ARM ID

インシデント コメント メッセージ
message True html

インシデント コメント メッセージ

戻り値

インシデント コメント アイテムを表します

インシデント コメント
IncidentComment

インシデントにコメントを追加する [非推奨]

このアクションは非推奨になりました。 代わりにインシデントにコメントを追加 (V3) を使用してください。

選択したインシデントにコメントを追加

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

インシデント コメントの指定
comment True string

インシデント コメント

戻り値

応答
string

インシデントにタスクを追加する

既存のインシデントにタスクを追加する

パラメーター

名前 キー 必須 説明
インシデント ARM ID
incidentArmId True string

インシデント ARM ID

肩書き
taskTitle True string

タスク タイトル

説明設定
taskDescription html

タスクの説明

戻り値

インシデント タスク項目を表します

インシデント タスク
IncidentTask

インシデントにラベルを追加する (非推奨) [非推奨]

選択したインシデントにラベルを追加します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

ラベル
Label True string

ラベル

戻り値

応答
string

インシデントに通知を追加する

既存のインシデントに通知を追加します。 この通知は、他の通知と同様にインシデントに含まれ、ポータルに表示されます。

パラメーター

名前 キー 必須 説明
インシデント ARM ID
incidentArmId True string

インシデント ARM ID。 インシデントのトリガーや通知から取得する - インシデント アクションや Azure Monitor ログのクエリを取得します。

システム通知 ID
relatedResourceId True string

インシデントに追加/インシデントから削除されるシステム アラート ID。 Azure Monitor Logs クエリまたはアラート トリガーから取得します。 例: dfc09ba0-c218-038d-2ad8-b198a0033bdb。

戻り値

インシデント関係を表す

インシデントのタイトルを変更する (V2) (非推奨) [非推奨]

タイトルを選択したインシデントに変更します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

タイトルの指定
Value True string

タイトル値

戻り値

応答
string

インシデントのタイトルを変更する [非推奨]

タイトルを選択したインシデントに変更します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

タイトルの指定
fieldValue True string

タイトル値

戻り値

応答
string

インシデントの更新

提供されたフィールドでインシデントを更新します

パラメーター

名前 キー 必須 説明
更新するインシデント フィールドを指定します
body True dynamic

更新するインシデント フィールド

戻り値

Azure Security Insights のインシデントを表します。

本文​​
Incident

インシデントの状態を変更する (非推奨) [非推奨]

状態を選択したインシデントに変更します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

ステータスを指定します
status True string

状態の値

dynamicStatusChangerSchema
dynamicStatusChangerSchema dynamic

インシデント状態変更者の動的スキーマ

戻り値

応答
string

インシデントの説明を変更する (V2) (非推奨) [非推奨]

選択したインシデントに対する説明を変更します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

説明の指定
Value True string

説明の値

戻り値

応答
string

インシデントの説明を変更する [非推奨]

選択したインシデントに対する説明を変更します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

説明を指定する
fieldValue True string

説明の値

戻り値

応答
string

インシデントの重要度を変更する (非推奨) [非推奨]

重要度を選択したインシデントに変更します

パラメーター

名前 キー 必須 説明
サブスクリプション ID を指定
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

リソース グループ

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

識別子
identifier True string

インシデント / アラート

アラート / インシデントを指定
id True string

インシデント番号 / アラート ID を入力してください

重要度の指定
severity True string

重要度の値

戻り値

応答
string

インシデントを作成する

指定されたフィールドでインシデントを作成する

パラメーター

名前 キー 必須 説明
サブスクリプション
subscriptionId True string

サブスクリプションの選択

リソース グループ
resourceGroup True string

リソース グループの選択

ワークスペース名
workspaceName True string

ワークスペースを選択

インシデント フィールドを指定する
body True dynamic

インシデント フィールド

戻り値

Azure Security Insights のインシデントを表します。

本体
Incident

インシデントを取得する

ARM ID でインシデントを取得する

パラメーター

名前 キー 必須 説明
インシデント ARM ID
incidentArmId True string

インシデント ARM ID

戻り値

Azure Security Insights のインシデントを表します。

Body
Incident

ウォッチリスト - ID (GUID) を指定してウォッチリストの項目を取得する

ウォッチリスト - ウォッチリスト アイテムを取得する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

Specify watchlist alias
watchlistAlias True string

ウォッチリスト エイリアス

ウォッチリスト アイテム ID を指定
watchlistItemId True string

ウォッチリスト アイテムの一意識別子 (GUID)

戻り値

Azure Security Insights の WatchlistItem を表します。

ウォッチリスト - ウォッチリスト アイテムを削除する

ウォッチリスト - ウォッチリスト アイテムを削除する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

Specify watchlist alias
watchlistAlias True string

ウォッチリスト エイリアス

ウォッチリスト アイテム ID を指定
watchlistItemId True string

ウォッチリスト アイテムの一意識別子 (GUID)

戻り値

返答
string

ウォッチリスト - ウォッチリストを削除する

ウォッチリスト - ウォッチリストを削除する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

Specify watchlist alias
watchlistAlias True string

ウォッチリスト エイリアス

戻り値

返答
string

ウォッチリスト - エイリアスでウォッチリストを取得する

ウォッチリスト - エイリアスでウォッチリストを取得する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ウォッチリスト エイリアスを指定する
watchlistAlias True string

ウォッチリスト エイリアス

戻り値

Azure Security Insights のウォッチリストを表します。

Body
Watchlist

ウォッチリスト - データ (生コンテンツ) から新しいウォッチリストを作成する

ウォッチリスト - データ (生コンテンツ) から新しいウォッチリストを作成する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ウォッチリスト エイリアスを指定する
watchlistAlias True string

ウォッチリスト エイリアス

戻り値

Azure Security Insights のウォッチリストを表します。

Body
Watchlist

ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する

ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ウォッチリスト エイリアスを指定する
watchlistAlias True string

ウォッチリスト エイリアス

戻り値

Azure Security Insights のウォッチリストを表します。

Body
Watchlist

ウォッチリスト - 指定のウォッチリストのすべてのアイテムを取得する

ウォッチリスト - 指定のウォッチリストのすべてのアイテムを取得する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

リソース グループの指定
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ウォッチリスト エイリアスを指定する
watchlistAlias True string

ウォッチリスト エイリアス

戻り値

ウォッチリスト アイテムをすべて一覧表示します。

ウォッチリスト - 指定のウォッチリストのすべての項目を取得する (V2)

ウォッチリスト - 指定のウォッチリストのすべての項目を取得する (V2)

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

Specify watchlist alias
watchlistAlias True string

ウォッチリスト エイリアス

Skip Token
skipToken string

次の 100 項目セットのトークンをスキップして戻る

戻り値

ウォッチリスト アイテムをすべて一覧表示します。

ウォッチリスト - 新しいウォッチリスト アイテムを追加する

ウォッチリスト - 新しいウォッチリスト アイテムを追加する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

Specify watchlist alias
watchlistAlias True string

ウォッチリスト エイリアス

戻り値

Azure Security Insights の WatchlistItem を表します。

ウォッチリスト - 既存のウォッチリスト アイテムを更新する

ウォッチリスト - 既存のウォッチリスト アイテムを更新する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

Specify watchlist alias
watchlistAlias True string

ウォッチリスト エイリアス

ウォッチリスト アイテム ID を指定
watchlistItemId True string

ウォッチリスト アイテムの一意識別子 (GUID)

戻り値

Azure Security Insights の WatchlistItem を表します。

エンティティ - DNS の取得

アラートに関連付けられた DNS レコードのリストを返します

パラメーター

名前 キー 必須 説明
エンティティ一覧
body True string

エンティティ一覧

戻り値

アラートに関連付けられた DNS ドメインのリスト

エンティティ - FileHashes を取得する

アラートに関連付けられているファイル ハッシュのリストを返します

パラメーター

名前 キー 必須 説明
エンティティ一覧
body True string

エンティティ一覧

戻り値

アラートに関連付けられているファイル ハッシュのリスト

本文​​
BatchResponseFileHash

エンティティ - IP を取得

アラートに関連付けられている IP のリストを返します

パラメーター

名前 キー 必須 説明
エンティティ一覧
body True string

エンティティ一覧

戻り値

アラートに関連付けられている IP のリスト

本文​​
BatchResponseIP

エンティティ - URL を取得

アラートに関連付けられている URL のリストを返します

パラメーター

名前 キー 必須 説明
エンティティ一覧
body True string

エンティティ一覧

戻り値

アラートに関連付けられている URL のリスト

本文​​
BatchResponseUrl

エンティティ - アカウントの取得

アラートに関連付けられているアカウントのリストを返します

パラメーター

名前 キー 必須 説明
エンティティ一覧
body True string

エンティティ一覧

戻り値

アラートに関連付けられているアカウントのリスト

エンティティ - ホストを取得

アラートに関連付けられているホストのリストを返します

パラメーター

名前 キー 必須 説明
エンティティ一覧
body True string

エンティティ一覧

戻り値

アラートに関連付けられているホストのリスト

本文​​
BatchResponseHost

タスクを完了としてマークする

タスクを完了としてマークする

パラメーター

名前 キー 必須 説明
タスクの ARM ID
taskArmId True string

タスクの ARM ID

戻り値

インシデント タスク項目を表します

インシデント タスク
IncidentTask

ブックマーク (V2) - 新しいブックマークを作成 (json 入力) (プレビュー)

ブックマーク (V2) - 有効な新しいブックマーク (JSON) を作成します。

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ブックマークの表示名
displayName True string

ブックマークの表示名

ブックマーク クエリ
bookmarkQuery True string

ブックマーク クエリ (例、 'SecurityEvent | TimeGenerated > ago(1d) かつTimeGenerated < ago(2d) の場合')

ブックマーク クエリ結果
bookmarkQueryResult True string

ブックマーク クエリ結果 (例、 'セキュリティ イベント クエリ結果')

ブックマークのメモ
bookmarkNotes string

ブックマーク メモ (例: 'マイ ブックマーク メモ')

戻り値

Azure Security Insights のブックマークを表します。

Body
Bookmark

ブックマーク (V3) - 個別のフィールドを持つ新しいブックマークを作成します (プレビュー)

ブックマーク (V3) - 新しいブックマークを作成します。

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ブックマークの表示名を指定する
bookmarkName True string

ブックマーク表示名 (例、 'マイブックマーク')

ブックマーク クエリを指定する
bookmarkQuery True string

ブックマーク クエリ (例、 'SecurityEvent | TimeGenerated > ago(1d) かつTimeGenerated < ago(2d) の場合')

ブックマーク クエリ結果を指定する
bookmarkQueryResult True string

ブックマーク クエリ結果 (例、 'セキュリティ イベント クエリ結果')

ブックマークのメモを指定する
bookmarkNotes True string

ブックマーク メモ (例: 'マイ ブックマーク メモ')

戻り値

Azure Security Insights のブックマークを表します。

Body
Bookmark

ブックマーク - すべてのブックマークを取得

ブックマーク - 特定のワークスペースのすべてのブックマークを取得する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ブックマークの数を指定する
numberOfBookmarks True integer

返されるブックマークの数です。 0 または負の場合はすべてのブックマークを返します

戻り値

ブックマークの一覧を取得します。

ブックマーク - ブックマークを削除

ブックマーク - ブックマークを削除

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ブックマーク ID を指定する
bookmarkId True string

ブックマークの ID

戻り値

返答
string

ブックマーク - ブックマークを取得

ブックマーク - ID でブックマークを取得する

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ブックマーク ID を指定する
bookmarkId True string

ブックマークの ID

戻り値

Azure Security Insights のブックマークを表します。

Body
Bookmark

ブックマーク - 新規ブックマークを作成 (プレビュー)

ブックマーク - 新しいブックマークを作成します。

パラメーター

名前 キー 必須 説明
Specify subscription id
subscriptionId True string

サブスクリプション ID

Specify resource group
resourceGroup True string

Resource group

ワークスペース ID の指定
workspaceId True string

ワークスペース ID

ブックマーク ID を指定する
bookmarkId True string

ブックマークの ID

created
created date-time

ブックマークが作成された時刻

email
email string

ユーザーのメール。

名称
name string

ユーザーの名前。

objectId
objectId uuid

ユーザーのオブジェクト ID。

displayName
displayName True string

ブックマークの表示名

labels
labels string

タグ付けとフィルターに使用するラベル。

メモ
notes string

ブックマークのメモ

query
query True string

ブックマークのクエリです。

queryResult
queryResult string

ブックマークのクエリ結果です。

updated
updated date-time

ブックマークの最終更新時刻

eventTime
eventTime date-time

ブックマーク イベントの時刻

queryStartTime
queryStartTime date-time

クエリの開始時刻

queryEndTime
queryEndTime date-time

クエリの終了時刻

インシデント ARM ID
id string

インシデントの完全修飾 ARM ID。

インシデント ARM 名
name string

インシデントの ARM 名 (GUID)

インシデント アラート カウント
alertsCount integer

インシデント内のアラートの数

インシデント ブックマーク数
bookmarksCount integer

インシデント内のブックマークの数

インシデント コメント数
commentsCount integer

インシデントのコメント数

インシデント アラートの製品名
alertProductNames array of string

インシデント アラートの製品名のリスト

プロバイダー インシデント URL
providerIncidentUrl string

Microsoft 365 Defender ポータルのインシデントへのプロバイダー インシデント URL

インシデント戦略
Incident Tactics string

インシデントに関連付けられている戦略アイテムを表します

インシデントの技術
techniques array of string

インシデントの戦術に関連付けられている技術

インシデントの分類
classification string

事件が終結した理由

インシデント分類コメント
classificationComment string

インシデントがクローズされた理由を説明します

インシデント分類の理由
classificationReason string

インシデントがクローズされた分類理由

インシデント作成時間 UTC
createdTimeUtc date-time

インシデントが作成された時刻

インシデントの説明
description string

インシデントの説明

インシデントの最初のアクティビティ時間 UTC
firstActivityTimeUtc date-time

インシデントの最初のアクティビティの時間

インシデント URL
incidentUrl string

Azure ポータルのインシデントへのディープリンク URL

Incident Sentinel ID
incidentNumber integer

Microsoft Sentinel でインシデントの識別に使用するシーケンス番号。

Incident Last Activity Time UTC
lastActivityTimeUtc date-time

インシデントの最後のアクティビティの時間

インシデントの重大度
severity string

インシデントの重大度

インシデント ステータス
status string

インシデントの状態

インシデント タイトル
title string

インシデントのタイトル

件名
labelName True string

タグの名前

タイプ
labelType string

タグの種類

インシデントの最終変更時刻 UTC
lastModifiedTimeUtc date-time

インシデントが最後に更新された時間

メール
email string

インシデントが割り当てられているユーザーのメール。

割り当て先
assignedTo string

インシデントが割り当てられているユーザーの名前。 (assignedTo フィールド)

ObjectId
objectId uuid

インシデントが割り当てられているユーザーのオブジェクト ID。

ユーザー プリンシパル名
userPrincipalName string

インシデントが割り当てられているユーザーのユーザー プリンシパル名。

インシデント関連の分析ルール ID
relatedAnalyticRuleIds array of string

インシデントに関連する分析ルールのリソース ID のリスト

ID
id string

コメントの完全修飾 ARM ID。

件名
name string

コメントの ARM 名 (GUID)

properties
properties

インシデント コメント プロパティ JSON を表します。

戻り値

Azure Security Insights のブックマークを表します。

Body
Bookmark

脅威インテリジェンス - 侵害のインジケーターをアップロードする (廃止)

脅威インテリジェンス - 侵害のインジケーターをアップロードする

パラメーター

名前 キー 必須 説明
ワークスペース ID の指定
workspaceId True string

ワークスペース ID

戻り値

脅威インテリジェンス アップロード インジケーターからの応答。

脅威インテリジェンス - 侵害のインジケーターをアップロードするCompromise (V2) (プレビュー)

脅威インテリジェンス - 侵害のインジケーターをアップロードする

パラメーター

名前 キー 必須 説明
ワークスペース ID の指定
workspaceId True string

ワークスペース ID

戻り値

脅威インテリジェンス アップロード インジケーターからの応答。

トリガー

Microsoft Sentinel のインシデント

Microsoft Sentinel インシデントに対する応答がトリガーされたとき。 このプレイブックは、新しいインシデントが作成、更新されたときに自動化ルールによってトリガーされます。 プレイブックは、アラートやエンティティを含む Microsoft Sentinel インシデントを入力として受け取ります。

Microsoft Sentinel アラート

Microsoft Sentinel アラートに対する応答がトリガーされたとき。 このプレイブックは、新しいアラートが作成されたときの分析ルールによって、または手動でトリガーされることによってトリガーされます。 プレイブックは、入力としてアラートを受け取ります。

Microsoft Sentinel アラートに対する応答がトリガーされたとき [非推奨]

Microsoft Sentinel アラートに対する応答がトリガーされたとき。 このプレイブックは、Microsoft Sentinel Real Time を使用するか Azure からトリガーされる必要があります

Microsoft Sentinel エンティティ

Microsoft Sentinel エンティティでプレイブックを実行する

Microsoft Sentinel のインシデント

Microsoft Sentinel インシデントに対する応答がトリガーされたとき。 このプレイブックは、新しいインシデントが作成、更新されたときに自動化ルールによってトリガーされます。 プレイブックは、アラートやエンティティを含む Microsoft Sentinel インシデントを入力として受け取ります。

戻り値

Microsoft Sentinel アラート

Microsoft Sentinel アラートに対する応答がトリガーされたとき。 このプレイブックは、新しいアラートが作成されたときの分析ルールによって、または手動でトリガーされることによってトリガーされます。 プレイブックは、入力としてアラートを受け取ります。

戻り値

Body
Alert

Microsoft Sentinel アラートに対する応答がトリガーされたとき [非推奨]

Microsoft Sentinel アラートに対する応答がトリガーされたとき。 このプレイブックは、Microsoft Sentinel Real Time を使用するか Azure からトリガーされる必要があります

戻り値

Body
Alert

Microsoft Sentinel エンティティ

Microsoft Sentinel エンティティでプレイブックを実行する

パラメーター

名前 キー 必須 説明
エンティティ型
entityType True string

エンティティ型

戻り値

この操作の出力は状況に応じて変わります。

定義

IndicatorValidationErrorsV2

脅威インテリジェンス アップロード インジケーターからの応答。

名前 パス 説明
recordIndex
recordIndex integer
validationErrorMessages
validationErrorMessages array of string

IndicatorValidationErrors

脅威インテリジェンス アップロード インジケーターからの応答。

名前 パス 説明
recordIndex
recordIndex integer
errorMessages
errorMessages array of string

BatchResponseAccount

アラートに関連付けられているアカウントのリスト

名前 パス 説明
Accounts
Accounts array of Account

アラートに関連付けられているアカウントのリスト

勘定科目

名前 パス 説明
件名
Name string

アカウント名

NT ドメイン
NTDomain string

アラート形式で表示される NETBIOS ドメイン名

DnsDomain
DnsDomain string

完全修飾ドメイン DNS 名

UPN サフィックス
UPNSuffix string

ユーザー プリンシパル名のサフィックス

SID
Sid string

アカウントのセキュリティ識別子、例 : S-1-5-18

Microsoft Entra ID のテナント ID
AadTenantId string

Microsoft Entra ID テナント ID (わかっている場合)

Microsoft Entra ID ユーザー ID
AadUserId string

Microsoft Entra ID ユーザー ID (わかっている場合)

PUID
PUID string

Microsoft Entra ID パスポート ユーザー ID (わかっている場合)

ドメインに参加していますか
IsDomainJoined boolean

これがドメイン アカウントであるかどうかを判断します

ObjectGuid
ObjectGuid string

objectGUID 属性は、Microsoft Entra ID によって割り当てられた、オブジェクトの一意識別子である単一値の属性です

BatchResponseUrl

アラートに関連付けられている URL のリスト

名前 パス 説明
URL
URLs array of UrlEntity

アラートに関連付けられている URL のリスト

UrlEntity

名前 パス 説明
URL
Url string

BatchResponseHost

アラートに関連付けられているホストのリスト

名前 パス 説明
ホスト
Hosts array of Host

アラートに関連付けられているホストのリスト

ホスト

名前 パス 説明
DNS ドメイン
DnsDomain string

このホストが属する DNS ドメイン

NT ドメイン
NTDomain string

このホストが属する NT ドメイン

ホスト名
HostName string

ドメイン サフィックスのないホスト名

NetBiosName
NetBiosName string

ホスト名 (windows2000 より前)

OMSAgentID
OMSAgentID string

ホストに OMS エージェントがインストールされている場合は、OMS エージェント ID

OSFamily
OSFamily string

次のいずれかの値 : Linux、Windows、Android、IOS

OSVersion
OSVersion string

オペレーティング システムのフリー テキスト表現

ドメインに参加していますか
IsDomainJoined boolean

このホストがドメインに属しているかどうかを判別します

AzureID
AzureID string

わかっている場合は、VM のAzure リソース ID

BatchResponseIP

アラートに関連付けられている IP のリスト

名前 パス 説明
IP
IPs array of IP

アラートに関連付けられている IP のリスト

IP

名前 パス 説明
Address
Address string

IP アドレス

BatchResponseDNS

アラートに関連付けられた DNS ドメインのリスト

名前 パス 説明
DNS ドメイン
Dnsresolutions array of DNS

アラートに関連付けられた DNS ドメインのリスト

DNS

名前 パス 説明
Domain Name
DomainName string

アラートに関連付けられた DNS レコードの名前

BatchResponseFileHash

アラートに関連付けられているファイル ハッシュのリスト

名前 パス 説明
FileHashes
Filehashes array of FileHash

アラートに関連付けられているファイル ハッシュのリスト

FileHash

名前 パス 説明
Value string

ファイル ハッシュ値

アルゴリズム
Algorithm string

ファイル ハッシュ アルゴリズム タイプ

OldIncident

名前 パス 説明
プロパティ
properties OldIncidentProperties

OldIncidentProperties

名前 パス 説明
ステータス
Status string

インシデントの状態

ラベル
Labels array of

インシデントのラベル

敬称
Title string

インシデントのタイトル

内容
Description string

インシデントの説明

終了時刻 UTC
EndTimeUtc string

インシデントが終わった時間

開始時間 UTC
StartTimeUtc string

インシデントの開始時間

最終更新時刻 UTC
LastUpdatedTimeUtc string

インシデントの更新時間

CaseNumber string

インシデントの数

時間の作成 UTC
CreatedTimeUtc string

インシデントが作成された時間

重要度
Severity string

インシデントの重大度

関連するアラート ID
RelatedAlertIds array of

インシデントの関連するアラート ID

IncidentAdditionalData

インシデント追加データ プロパティ バッグ。

名前 パス 説明
インシデント アラート カウント
alertsCount integer

インシデント内のアラートの数

インシデント ブックマーク数
bookmarksCount integer

インシデント内のブックマークの数

インシデント コメント数
commentsCount integer

インシデントのコメント数

インシデント アラートの製品名
alertProductNames array of string

インシデント アラートの製品名のリスト

プロバイダー インシデント URL
providerIncidentUrl string

Microsoft 365 Defender ポータルのインシデントへのプロバイダー インシデント URL

インシデント戦略
tactics array of AttackTactic

インシデントに関連する戦略

インシデントの技術
techniques array of string

インシデントの戦術に関連付けられている技術

IncidentLabel

インシデント タグを表します

名前 パス 説明
件名
labelName string

タグの名前

タイプ
labelType string

タグの種類

IncidentOwnerInfo

インシデントが割り当てられているユーザーに関する情報

名前 パス 説明
電子メール
email string

インシデントが割り当てられているユーザーのメール。

割り当て先
assignedTo string

インシデントが割り当てられているユーザーの名前。 (assignedTo フィールド)

ObjectId
objectId uuid

インシデントが割り当てられているユーザーのオブジェクト ID。

ユーザー プリンシパル名
userPrincipalName string

インシデントが割り当てられているユーザーのユーザー プリンシパル名。

AttackTactic

インシデントに関連付けられている戦略アイテムを表します

インシデントに関連付けられている戦略アイテムを表します

AlertSeverity

アラートの重大度

アラートの重大度

重要度
string

HuntingBookmark

ハンティング ブックマーク アイテムを表します

名前 パス 説明
ARM ID
id string

ブックマークの完全修飾 ARM ID。

ARM 名
name string

ブックマークの ARM 名 (GUID)

プロパティ
properties HuntingBookmarkProperties

HuntingBookmark プロパティ JSON を表します。

セキュリティー アラート

セキュリティ アラート アイテムを表します

名前 パス 説明
ARM ID
id string

アラートの完全修飾 ARM ID。

ARM 名
name string

アラートの ARM 名 (GUID)

プロパティ
properties SecurityAlertProperties

アラート プロパティ JSON を表します。

HuntingBookmarkProperties

HuntingBookmark プロパティ JSON を表します。

名前 パス 説明
表示名
displayName string

ブックマークの表示名

作成日
created date-time

ブックマークの作成時刻

更新日
updated date-time

ブックマークの更新時刻

ユーザー情報によって作成
createdBy CreatedByUserInfo

UserInfo プロパティ JSON を表します。

ユーザー情報によって更新
updatedBy UpdatedByUserInfo

UserInfo プロパティ JSON を表します。

イベント時間
eventTime date-time

ブックマークのイベント時間

メモ
notes string

ブックマークのメモ

ラベル
labels array of string

ブックマークのラベル

Query
query string

ブックマークのクエリ

クエリ結果
queryResult string

ブックマークのクエリ結果

SecurityAlertProperties

アラート プロパティ JSON を表します。

名前 パス 説明
フレンドリ名
friendlyName string

グラフ アイテム インスタンスの、人間が読める短い説明であるグラフ アイテムの表示名。 このプロパティはオプションであり、システムによって生成される場合があります。

表示名
alertDisplayName string

アラートの表示名

タイプ
alertType string

スケジュール アラートでは、これは分析ルール ID です。

URI
alertLink string

これは、元のベンダーのアラートへのリンクです。

侵害されたエンティティ
compromisedEntity string

報告されているメイン エンティティの表示名。

信頼レベル
confidenceLevel string

このアラートの信頼レベル。

内容
description string

アラートの説明。

終了時間 UTC
endTimeUtc date-time

通知の影響終了時刻 (通知に影響を与えた最後のイベントの時刻)。

プロバイダー ID
providerAlertId string

アラートを生成した製品内のアラートの識別子。

製品名
productName string

このアラートを発行した製品の名前。

修復の手順
remediationSteps array of string

アラートを修正するために実行する手動アクション アイテムのリスト。

重要度
severity AlertSeverity

アラートの重大度

開始時間
startTimeUtc date-time

通知の影響開始時刻 (通知に影響を与えた最初のイベントの時刻)。

ステータス
status string

アラートのライフサイクル ステータス。

システム ID
systemAlertId string

製品の通知を表す製品識別子を保持します。

戦略
tactics array of AttackTactic

アラート戦略のリスト。

生成された時間
timeGenerated date-time

通知が生成された時刻。

Query
additionalData.Query string

アラートをトリガーするかどうかを決定するために使用されるクエリ (アラートのスケジュールのみ)。

クエリ開始時間
additionalData.Query Start Time UTC string

アラートをトリガーするかどうかを決定するために使用されるクエリの開始時刻 (アラートのスケジュールのみ)。

クエリ終了時間
additionalData.Query End Time UTC string

アラートをトリガーするかどうかを決定するために使用されるクエリの開始時刻 (アラートのスケジュールのみ)。

クエリ演算子
additionalData.Trigger Operator string

オペレーターは、アラートをトリガーするかどうかを決定するために使用しました (アラートのスケジュールのみ)。

クエリのしきい値
additionalData.Trigger Threshold string

アラートをトリガーするかどうかを決定するために使用されるしきい値 (アラートのスケジュールのみ)。

カスタム詳細
additionalData.Custom Details string

分析ルールによってアラートに追加されたカスタム イベントの詳細 (スケジュールされたアラートのみ)。 このフィールドを使用するには、「JSON の解析」アクションを実行し、既存のアラートのサンプル ペイロードを使用してスキーマをシミュレートします。

リソース識別子
resourceIdentifiers array of object

アラートのリソース識別子

項目
resourceIdentifiers object

アラート リソース識別子を表します。

インシデント

Azure Security Insights のインシデントを表します。

名前 パス 説明
インシデント ARM ID
id string

インシデントの完全修飾 ARM ID。

インシデント ARM 名
name string

インシデントの ARM 名 (GUID)

プロパティ
properties IncidentProperties

インシデント プロパティ JSON を表します。

FullIncident

ARM ID でインシデントを取得する

名前 パス 説明
インシデント ARM ID
id string

インシデントの完全修飾 ARM ID。

インシデント ARM 名
name string

インシデントの ARM 名 (GUID)

プロパティ
properties FullIncidentProperties

インシデント プロパティ JSON を表します。

IncidentProperties

インシデント プロパティ JSON を表します。

名前 パス 説明
additionalData
additionalData IncidentAdditionalData

インシデント追加データ プロパティ バッグ。

インシデントの分類
classification string

事件が終結した理由

インシデント分類コメント
classificationComment string

インシデントがクローズされた理由を説明します

インシデント分類の理由
classificationReason string

インシデントがクローズされた分類理由

インシデント作成時間 UTC
createdTimeUtc date-time

インシデントが作成された時刻

インシデントの説明
description string

インシデントの説明

インシデントの最初のアクティビティ時間 UTC
firstActivityTimeUtc date-time

インシデントの最初のアクティビティの時間

インシデント URL
incidentUrl string

Azure ポータルのインシデントへのディープリンク URL

Incident Sentinel ID
incidentNumber integer

Microsoft Sentinel でインシデントの識別に使用するシーケンス番号。

Incident Last Activity Time UTC
lastActivityTimeUtc date-time

インシデントの最後のアクティビティの時間

インシデントの重大度
severity string

インシデントの重大度

インシデント ステータス
status string

インシデントの状態

インシデント タイトル
title string

インシデントのタイトル

インシデント タグ
labels array of IncidentLabel

このインシデントに関連するタグのリスト

インシデントの最終変更時刻 UTC
lastModifiedTimeUtc date-time

インシデントが最後に更新された時間

インシデント オーナー
owner IncidentOwnerInfo

インシデントが割り当てられているユーザーに関する情報

インシデント関連の分析ルール ID
relatedAnalyticRuleIds array of string

インシデントに関連する分析ルールのリソース ID のリスト

コメント
Comments array of IncidentComment

この事件に関するコメントのリスト。

FullIncidentProperties

インシデント プロパティ JSON を表します。

名前 パス 説明
additionalData
additionalData IncidentAdditionalData

インシデント追加データ プロパティ バッグ。

インシデントの分類
classification string

事件が終結した理由

インシデント分類コメント
classificationComment string

インシデントがクローズされた理由を説明します

インシデント分類の理由
classificationReason string

インシデントがクローズされた分類理由

インシデント作成時間 UTC
createdTimeUtc date-time

インシデントが作成された時刻

インシデントの説明
description string

インシデントの説明

インシデントの最初のアクティビティ時間 UTC
firstActivityTimeUtc date-time

インシデントの最初のアクティビティの時間

インシデント URL
incidentUrl string

Azure ポータルのインシデントへのディープリンク URL

Incident Sentinel ID
incidentNumber integer

Microsoft Sentinel でインシデントの識別に使用するシーケンス番号。

Incident Last Activity Time UTC
lastActivityTimeUtc date-time

インシデントの最後のアクティビティの時間

インシデントの重大度
severity string

インシデントの重大度

インシデント ステータス
status string

インシデントの状態

インシデント タイトル
title string

インシデントのタイトル

インシデント タグ
labels array of IncidentLabel

このインシデントに関連するタグのリスト

インシデントの最終変更時刻 UTC
lastModifiedTimeUtc date-time

インシデントが最後に更新された時間

インシデント オーナー
owner IncidentOwnerInfo

インシデントが割り当てられているユーザーに関する情報

インシデント関連の分析ルール ID
relatedAnalyticRuleIds array of string

インシデントに関連する分析ルールのリソース ID のリスト

コメント
Comments array of IncidentComment

この事件に関するコメントのリスト。

アラート
Alerts array of SecurityAlert

このインシデントに関連するアラートのリスト。

ブックマーク
Bookmarks array of HuntingBookmark

このインシデントに関連するブックマークのリスト。

エンティティ
relatedEntities string

インシデントに関連するエンティティのリスト。さまざまなタイプのエンティティを含めることができます

IncidentEventNotification

名前 パス 説明
更新されたフィールド名
incidentUpdates.updatedFields array of string

インシデントで更新されたフィールドの名前

時間の更新
incidentUpdates.updatedTime date-time

インシデントの更新イベントの時刻

Source
incidentUpdates.updatedBy.source string

インシデントを更新したアクター: ユーザー、外部アプリケーション、プレイブック、自動化ルール、Microsoft 365 Defender、通知グループ

件名
incidentUpdates.updatedBy.name string

インシデントを更新したユーザー、アプリケーション、自動化ルール、またはプレイブックの名前

インシデント通知数
incidentUpdates.alerts array of SecurityAlert

このインシデントに追加された通知の一覧です。

インシデント タグ
incidentUpdates.labels array of IncidentLabel

このインシデントに追加されたタグの一覧

インシデント コメント数
incidentUpdates.comments array of IncidentComment

このインシデントに追加されたコメントの一覧です。

インシデント戦略
incidentUpdates.tactics array of AttackTactic

インシデントに関連する戦略

Subscription ID
workspaceInfo.SubscriptionId string

Microsoft Sentinel ワークスペースのサブスクリプション ID

Resource Group Name
workspaceInfo.ResourceGroupName string

Microsoft Sentinel ワークスペースのリソース グループ

Workspace Name
workspaceInfo.WorkspaceName string

Microsoft Sentinel のワークスペース名

Workspace ID
workspaceId string

インシデントのワークスペース ID。

オブジェクト
object FullIncident

ARM ID でインシデントを取得する

CreatedByUserInfo

UserInfo プロパティ JSON を表します。

UserInfo プロパティ JSON を表します。

ユーザー情報によって作成

UpdatedByUserInfo

UserInfo プロパティ JSON を表します。

UserInfo プロパティ JSON を表します。

ユーザー情報によって更新

Alert

名前 パス 説明
製品名
ProductName string

このアラートを発行した製品の名前

アラートの種類
AlertType string

アラートのタイプ名

開始時間 (UTC)
StartTimeUtc date-time

最初の寄与イベントが検出されたときのアラートの開始時刻

終了時間 (UTC)
EndTimeUtc date-time

最後の寄与イベントが検出されたときのアラートの終了時間

生成された時間 (UTC)
TimeGenerated date-time

アラートが生成された時刻

重要度
Severity string

プロバイダーによって報告されたアラートの重大度

プロバイダー アラート ID
ProviderAlertId string

プロバイダーによって設定された特定のアラート インスタンスの一意の ID

システム アラート ID
SystemAlertId string

特定のアラート インスタンスの一意 ID

アラート表示名
AlertDisplayName string

アラートの表示名

内容
Description string

アラートの説明

エンティティ
Entities string

アラートに関連するエンティティのリストには、複数のエンティティ タイプを含めることができます

拡張プロパティ
ExtendedProperties string

ユーザーに表示されるフィールドのリスト

ワークスペース ID
WorkspaceId string

アラートのワークスペースの ID

リソース グループ
WorkspaceResourceGroup string

アラートのアラート リソース グループ

サブスクリプション ID
WorkspaceSubscriptionId string

アラートのサブスクリプションの ID

拡張リンク
ExtendedLinks array of object

アラートに関連するリンクのリストには、複数のタイプを含めることができます

IncidentComment

インシデント コメント アイテムを表します

名前 パス 説明
ID
id string

コメントの完全修飾 ARM ID。

件名
name string

コメントの ARM 名 (GUID)

プロパティ
properties IncidentCommentProperties

インシデント コメント プロパティ JSON を表します。

IncidentCommentProperties

インシデント コメント プロパティ JSON を表します。

インシデント コメント プロパティ JSON を表します。

IncidentTask

インシデント タスク項目を表します

名前 パス 説明
ID
id string

タスクの完全修飾 ARM ID です。

件名
name string

タスクの ARM 名

properties
properties IncidentTaskProperties

インシデント タスクのプロパティを表します。

IncidentTaskProperties

インシデント タスクのプロパティを表します。

インシデント タスクのプロパティを表します。

IncidentRelation

インシデント関係を表す

名前 パス 説明
ID
id string

インシデント関係の完全修飾 ARM ID。

件名
name string

インシデント関係の ARM 名

properties
properties IncidentRelationProperties

インシデント関係プロパティの JSON を表します。

IncidentRelationProperties

インシデント関係プロパティの JSON を表します。

インシデント関係プロパティの JSON を表します。

Watchlist

Azure Security Insights のウォッチリストを表します。

名前 パス 説明
properties
properties WatchlistProperties

ウォッチリストのプロパティを説明する

WatchlistProperties

ウォッチリストのプロパティを説明する

名前 パス 説明
watchlistId
watchlistId string

ウォッチリストの id (GUID)

displayName
displayName string

ウォッチリストの表示名

provider
provider string

ウォッチリストのプロバイダー

source
source string

ウォッチリストのソース

created
created date-time

ウォッチリストを作成した時間

updated
updated date-time

ウォッチリストを最後に更新した時刻

createdBy
createdBy UserInfo

何かアクションを行ったユーザーの情報

updatedBy
updatedBy UserInfo

何かアクションを行ったユーザーの情報

description
description string

ウォッチリストの説明

watchlistType
watchlistType string

ウォッチリストの種類

watchlistAlias
watchlistAlias string

ウォッチリストのエイリアス

isDeleted
isDeleted boolean

ウォッチリストが削除済みかどうかを示すフラグ

labels
labels array of Label

このウォッチリストに関連するラベルの一覧

defaultDuration
defaultDuration duration

ウォッチリストの既定期間 (ISO 8601 期間形式)

tenantId
tenantId string

ウォッチリストが属する tenantId

numberOfLinesToSkip
numberOfLinesToSkip integer

ヘッダーの前にスキップする csv/tsv コンテンツが含む行数

rawContent
rawContent string

作成するウォッチリスト アイテムを表す生コンテンツ。 csv/tsv コンテンツ タイプの場合、エンドポイントによって解析されるのはファイルのコンテンツです

itemsSearchKey
itemsSearchKey string

検索キーは、他のデータとの結合にウォッチリストを使用するときにクエリのパフォーマンスを最適化するために使用されます。 たとえば、IP アドレスを含む列を指定された SearchKey フィールドとして有効にし、このフィールドをキー フィールドとして使用して IP アドレスで他のイベント データと結合します。

contentType
contentType string

生コンテンツのコンテンツ タイプ。 例: text/csv または text/tsv

uploadStatus
uploadStatus string

ウォッチリストのアップロードのステータ: New、InProgress、または Complete。 注意: ウォッチリストのアップロード ステータスが InProgress と等しい場合、ウォッチリストを削除することはできません

watchlistItemsCount
watchlistItemsCount integer

ウォッチリスト内のウォッチリスト アイテムの件数

WatchlistItemList

ウォッチリスト アイテムをすべて一覧表示します。

ウォッチリスト アイテムをすべて一覧表示します。

WatchlistItem

Azure Security Insights の WatchlistItem を表します。

名前 パス 説明
WatchlistItem の完全 ARM ID
id string

ウォッチリストの項目の完全修飾 ID です。

WatchlistItem の一意の ID
name string

WatchlistItem ID (GUID) に対応します

WatchlistItem etag
etag string

etag (GUID) に対応

WatchlistItem タイプ
type string

WatchlistItem タイプに対応します

価値
value object

ウォッチリスト項目のエンティティ詳細です。

ブックマーク

Azure Security Insights のブックマークを表します。

名前 パス 説明
properties
properties BookmarkProperties

ブックマークのプロパティを記述する

BookmarkList

ブックマークの一覧を取得します。

名前 パス 説明
nextLink
nextLink string

サポート案件の次のセットを取り込む URL です。

価値
value array of Bookmark

ブックマークの配列です。

BookmarkProperties

ブックマークのプロパティを記述する

名前 パス 説明
created
created date-time

ブックマークが作成された時刻

createdBy
createdBy UserInfo

何かアクションを行ったユーザーの情報

displayName
displayName string

ブックマークの表示名

labels
labels array of Label

このブックマークに関連するラベルの一覧

メモ
notes string

ブックマークのメモ

query
query string

ブックマークのクエリです。

queryResult
queryResult string

ブックマークのクエリ結果です。

updated
updated date-time

ブックマークの最終更新時刻

updatedBy
updatedBy UserInfo

何かアクションを行ったユーザーの情報

eventTime
eventTime date-time

ブックマーク イベントの時刻

queryStartTime
queryStartTime date-time

クエリの開始時刻

queryEndTime
queryEndTime date-time

クエリの終了時刻

incidentInfo
incidentInfo Incident

Azure Security Insights のインシデントを表します。

UserInfo

何かアクションを行ったユーザーの情報

名前 パス 説明
email
email string

ユーザーのメール。

name
name string

ユーザーの名前。

objectId
objectId uuid

ユーザーのオブジェクト ID。

Label

タグ付けとフィルターに使用するラベル。

タグ付けとフィルターに使用するラベル。

string

これは基本的なデータ型 '文字列' です。