Microsoft Sentinel (プレビュー)
AI が組み込まれたクラウドネイティブ SIEM により、最も重要なことに集中できます
このコネクタは、次の製品とリージョンで使用できます。
| サービス | クラス | リージョン |
|---|---|---|
| ロジック アプリ | Standard | すべての Logic Apps リージョン |
| お問い合わせ | |
|---|---|
| 名前 | Microsoft |
| URL |
Microsoft LogicApps のサポート |
| コネクタ メタデータ | |
|---|---|
| Publisher | Microsoft |
| Web サイト | https://azure.microsoft.com/services/azure-sentinel/ |
Microsoft Sentinel コネクタ
コネクタの深さ
このコネクタの使用方法の詳細については、以下をご覧ください。
- Azure Sentinel にプレイブックを認証する
- プレイブックでトリガーとアクションを使用する
- チュートリアル: Microsoft Sentinel でオートメーション ルールでプレイブックを使用する
Authentication
Mcirosoft Sentinel コネクタのトリガーとアクションは、関連するワークスペースに必要なアクセス許可 (読み取りまたは書き込み) を持つ任意の ID に代わって動作できます。 コネクタでは、複数の ID の種類がサポートされています。
権限が必要です
| ロール/コネクタ コンポーネント | トリガー (条件や動作を引き起こすもの) | "Get" アクション | インシデントを更新 コメントを追加する |
|---|---|---|---|
| Microsoft Sentinel 閲覧者 | ✓ | ✓ | ✗ |
| Microsoft Sentinel レスポンダー/貢献者 | ✓ | ✓ | ✓ |
Microsoft Sentinel のアクセス許可の詳細について説明します。
既知の問題と制限事項
[トリガーの実行] ボタンを使用して Microsoft Sentinel トリガーによって呼び出されたロジック アプリをトリガーできない
ユーザーは、Logic Apps サービスの [概要] ブレードの [実行] トリガー ボタンを使用して Microsoft Sentinel プレイブックをトリガーすることはできません。
Azure Logic Apps は POST REST 呼び出しによってトリガーされます。この呼び出しの本文はトリガーの入力です。 Microsoft Sentinel トリガーで始まる Logic Apps では、呼び出しの本文に Microsoft Sentinel アラート または インシデント の内容が表示されます。 [Logic Apps の概要] ブレードから呼び出しが行われると、呼び出しの本文が空になり、エラーが生成されます。
Microsoft Sentinel プレイブックをトリガーする唯一の適切な方法は次のとおりです。
- Microsoft Sentinel の手動トリガー
- Microsoft Sentinel での分析ルールの自動応答 (直接または自動化ルールを使用)
- 既存の Logic Apps の実行ブレードで [再送信] ボタンを使用する
- Logic Apps エンドポイントを直接呼び出す (アラート/インシデントを本文としてアタッチする)
各ループについて、同じインシデントを並列で更新する
各 ループは既定で並列で実行されるように設定されますが、 順番に実行するように簡単に設定できます。 for each ループが別々のイテレーションで同じ Microsoft Sentinel インシデントを更新する可能性がある場合は、順番に実行するように構成する必要があります。
アラートの元のクエリの復元は、Logic Apps を使用して現在サポートされていません
スケジュールされたアラート分析ルールによってキャプチャされたイベントを取得するための Azure Monitor ログ コネクタ の使用は、一貫して信頼できません。
- Azure Monitor ログでは、カスタム時間範囲の定義はサポートされていません。 まったく同じクエリ結果を復元するには、元のクエリとまったく同じ時間範囲を定義する必要があります。
- ルールによってプレイブックがトリガーされた後、Log Analytics ワークスペースへのアラートの表示が遅れる場合があります。
使用可能なリソース
Microsoft Sentinel のドキュメント
- プレイブックを使用して自動化を進める
- チュートリアル: Microsoft Sentinel でオートメーション ルールでプレイブックを使用する
- Microsoft Sentinel にプレイブックを認証する
- プレイブックでトリガーとアクションを使用する
Microsoft Sentinel のリファレンス
Azure Logic Apps
接続を作成する
コネクタでは、次の認証の種類がサポートされています。
| デフォルト | 接続を作成するためのパラメーター。 | すべてのリージョン | 共有不可 |
デフォルト
適用対象: すべてのリージョン
接続を作成するためのパラメーター。
これは共有可能な接続ではありません。 電源アプリが別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。
調整制限
| 名前 | 呼び出し | 更新期間 |
|---|---|---|
| 接続ごとの API 呼び出し | 600 | 60 秒 |
アクション
| [Alert - Get incident](アラート - インシデントの取得) |
選択したアラートに関連付けられているインシデントを返します。 |
| [Alert - Get incident](アラート - インシデントの取得) |
選択したアラートに関連付けられているインシデントを返します。 |
| [Entities - Get Accounts](エンティティ - アカウントの取得) |
アラートに関連付けられているアカウントの一覧を返します |
|
[Entities - Get File |
アラートに関連付けられているファイル ハッシュの一覧を返します |
| [Entities - Get Hosts](エンティティ - ホストの取得) |
アラートに関連付けられているホストの一覧を返します |
| [Entities - Get IPs](エンティティ - IP の取得) |
アラートに関連付けられている IP の一覧を返します |
| [Entities - Get URLs](エンティティ - URL の取得) |
アラートに関連付けられている URL の一覧を返します |
| ASI トリガーの登録解除 [非推奨] |
Unsubscribe |
| インシデント タイトルの変更 (V2) (非推奨) [非推奨] |
タイトルを選択したインシデントに変更する |
| インシデント タイトルの変更 [非推奨] |
タイトルを選択したインシデントに変更する |
| インシデントからアラートを削除する |
既存のインシデントからアラートを削除します。 |
| インシデントからラベルを削除する (非推奨) [非推奨] |
選択したインシデントへのラベルを削除します |
| インシデントにアラートを追加する |
既存のインシデントにアラートを追加します。 アラートは、他のアラートとしてインシデントに参加し、ポータルに表示されます。 |
| インシデントにコメントを追加する (V2) |
選択したインシデントにコメントを追加します |
| インシデントにコメントを追加する (V3) |
選択したインシデントにコメントを追加します |
| インシデントにコメントを追加する [非推奨] |
このアクションは非推奨になりました。 代わりに、 インシデントにコメントを追加する (V3) を使用してください。
|
| インシデントにタスクを追加する |
既存のインシデントにタスクを追加する |
| インシデントにラベルを追加する (非推奨) [非推奨] |
選択したインシデントにラベルを追加します |
| インシデントの作成 |
指定されたフィールドを使用してインシデントを作成する |
| インシデントの状態の変更 (非推奨) [非推奨] |
選択したインシデントに状態を変更する |
| インシデントの重大度の変更 (非推奨) [非推奨] |
重大度を選択したインシデントに変更する |
| インシデントを取得する |
ARM ID でインシデントを取得する |
| インシデントを更新する |
提供されたフィールドを使用してインシデントを更新する |
| ウォッチリスト - ID (guid) でウォッチリストアイテムを取得する |
ウォッチリスト - ウォッチリスト アイテムを取得する |
| ウォッチリスト - SAS URI を使用して大規模なウォッチリストを作成する |
ウォッチリスト - SAS URI を使用して大規模なウォッチリストを作成する |
| ウォッチリスト - SAS URI を使用して大規模なウォッチリストを作成する (V2) |
ウォッチリスト - SAS URI を使用して大規模なウォッチリストを作成する (V2) |
| ウォッチリスト - ウォッチリスト アイテムを削除する |
ウォッチリスト - ウォッチリスト アイテムを削除する |
| ウォッチリスト - ウォッチリスト アイテムを削除する (V2) |
ウォッチリスト - ウォッチリスト アイテムを削除する (V2) |
| ウォッチリスト - ウォッチリストの削除 (V2) |
エイリアスで特定のウォッチリストを削除します。 |
| ウォッチリスト - ウォッチリストを削除する |
ウォッチリスト - ウォッチリストを削除する |
| ウォッチリスト - エイリアスでウォッチリストを取得する |
ウォッチリスト - エイリアスでウォッチリストを取得する |
| ウォッチリスト - データを含む新しいウォッチリストを作成する (生コンテンツ) |
ウォッチリスト - データを含む新しいウォッチリストを作成する (生コンテンツ) |
| ウォッチリスト - データを含む新しいウォッチリストを作成する (生コンテンツ) (V2) |
ウォッチリスト - データを含む新しいウォッチリストを作成する (生コンテンツ) (V2) |
| ウォッチリスト - 新しいウォッチリスト アイテムを追加する |
ウォッチリスト - 新しいウォッチリスト アイテムを追加する |
| ウォッチリスト - 既存のウォッチリスト アイテムを更新する |
ウォッチリスト - 既存のウォッチリスト アイテムを更新する |
| ウォッチリスト - 特定のウォッチリストのすべてのウォッチリスト アイテムを取得する (V2) |
ウォッチリスト - 特定のウォッチリストのすべてのウォッチリスト アイテムを取得する (V2) |
| ウォッチリスト - 特定のウォッチリストのすべてのウォッチリストアイテムを取得する |
ウォッチリスト - 特定のウォッチリストのすべてのウォッチリストアイテムを取得する |
| エンティティ - DNS を取得する |
アラートに関連付けられている DNS レコードの一覧を返します |
| タスクを完了としてマークする |
タスクを完了としてマークする |
| ブックマーク (V2) - 新しいブックマークの作成 (json 入力) (プレビュー) |
ブックマーク (V2) - 有効な新しいブックマーク (json) を作成します。 |
| ブックマーク (V3) - 個別のフィールドを持つ新しいブックマークを作成します (プレビュー) |
ブックマーク (V3) - 新しいブックマークを作成します。 |
| ブックマーク - すべてのブックマークを取得する |
ブックマーク - 特定のワークスペースのすべてのブックマークを取得する |
| ブックマーク - ブックマークを削除する |
ブックマーク - ブックマークを削除する |
| ブックマーク - ブックマークを取得する |
ブックマーク - ID でブックマークを取得する |
| ブックマーク - 新しいブックマークを作成する (プレビュー) |
ブックマーク - 新しいブックマークを作成します。 |
| 変更インシデントの説明 (V2) (非推奨) [非推奨] |
選択したインシデントに説明を変更する |
| 変更インシデントの説明 [非推奨] |
選択したインシデントに説明を変更する |
| 脅威インテリジェンス - STIX オブジェクトのアップロード (プレビュー) |
脅威インテリジェンス アップロード API を使用して STIX オブジェクトを一括アップロードします。 |
| 脅威インテリジェンス - 侵害のインジケーターのアップロード (V2) (プレビュー) |
脅威インテリジェンス のインジケーターのアップロード API を使用して、インジケーターを一括でアップロードします。 |
| 脅威インテリジェンス - 侵害のインジケーターのアップロード (非推奨) |
脅威インテリジェンス - 侵害のインジケーターをアップロードする |
[Alert - Get incident](アラート - インシデントの取得)
選択したアラートに関連付けられているインシデントを返します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
アラート ID を指定する
|
alertId | True | string |
システム アラート ID |
戻り値
Azure Security Insights のインシデントを表します。
- Body
- Incident
[Alert - Get incident](アラート - インシデントの取得)
選択したアラートに関連付けられているインシデントを返します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
アラート ID を指定する
|
alertId | True | string |
システム アラート ID |
戻り値
- Body
- OldIncident
[Entities - Get Accounts](エンティティ - アカウントの取得)
アラートに関連付けられているアカウントの一覧を返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティの一覧
|
body | True | string |
エンティティの一覧 |
戻り値
アラートに関連付けられているアカウントの一覧
- Body
- BatchResponseAccount
[Entities - Get FileHashes](エンティティ - ファイル ハッシュの取得)
アラートに関連付けられているファイル ハッシュの一覧を返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティの一覧
|
body | True | string |
エンティティの一覧 |
戻り値
アラートに関連付けられているファイル ハッシュの一覧
[Entities - Get Hosts](エンティティ - ホストの取得)
アラートに関連付けられているホストの一覧を返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティの一覧
|
body | True | string |
エンティティの一覧 |
戻り値
アラートに関連付けられているホストの一覧
- Body
- BatchResponseHost
[Entities - Get IPs](エンティティ - IP の取得)
アラートに関連付けられている IP の一覧を返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティの一覧
|
body | True | string |
エンティティの一覧 |
戻り値
アラートに関連付けられている IP の一覧
- Body
- BatchResponseIP
[Entities - Get URLs](エンティティ - URL の取得)
アラートに関連付けられている URL の一覧を返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティの一覧
|
body | True | string |
エンティティの一覧 |
戻り値
アラートに関連付けられている URL の一覧
- Body
- BatchResponseUrl
ASI トリガーの登録解除 [非推奨]
インシデント タイトルの変更 (V2) (非推奨) [非推奨]
タイトルを選択したインシデントに変更する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
タイトルを指定する
|
Value | True | string |
タイトルの値 |
戻り値
- response
- string
インシデント タイトルの変更 [非推奨]
タイトルを選択したインシデントに変更する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
タイトルを指定する
|
fieldValue | True | string |
タイトルの値 |
戻り値
- response
- string
インシデントからアラートを削除する
既存のインシデントからアラートを削除します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID。 インシデント トリガーからの取得、アラート - インシデント アクションの取得、または Azure Monitor ログ クエリ。 |
|
システム アラート ID
|
relatedResourceId | True | string |
インシデントに対して/から追加/削除されるシステム アラート ID。 Azure Monitor ログ クエリまたはアラート トリガーから取得します。 例: dfc09ba0-c218-038d-2ad8-b198a0033bdb。 |
戻り値
- response
- string
インシデントからラベルを削除する (非推奨) [非推奨]
選択したインシデントへのラベルを削除します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
ラベル
|
Label | True | string |
ラベル |
戻り値
- response
- string
インシデントにアラートを追加する
既存のインシデントにアラートを追加します。 アラートは、他のアラートとしてインシデントに参加し、ポータルに表示されます。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID。 インシデント トリガーからの取得、アラート - インシデント アクションの取得、または Azure Monitor ログ クエリ。 |
|
システム アラート ID
|
relatedResourceId | True | string |
インシデントに対して/から追加/削除されるシステム アラート ID。 Azure Monitor ログ クエリまたはアラート トリガーから取得します。 例: dfc09ba0-c218-038d-2ad8-b198a0033bdb。 |
戻り値
インシデント関係を表します
- Body
- IncidentRelation
インシデントにコメントを追加する (V2)
選択したインシデントにコメントを追加します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
コメントを指定する
|
Value | True | string |
コメント値 |
戻り値
- response
- string
インシデントにコメントを追加する (V3)
選択したインシデントにコメントを追加します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID |
|
インシデント コメント メッセージ
|
message | True | html |
インシデント コメント メッセージ |
戻り値
インシデント コメント アイテムを表します
- インシデント コメント
- IncidentComment
インシデントにコメントを追加する [非推奨]
このアクションは非推奨になりました。 代わりに、 インシデントにコメントを追加する (V3) を使用してください。
選択したインシデントにコメントを追加します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
インシデント コメントを指定する
|
comment | True | string |
インシデント コメント |
戻り値
- response
- string
インシデントにタスクを追加する
既存のインシデントにタスクを追加する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID |
|
Title
|
taskTitle | True | string |
タスク タイトル |
|
Description
|
taskDescription | html |
タスクの説明 |
戻り値
インシデント タスク アイテムを表します。
- インシデント タスク
- IncidentTask
インシデントにラベルを追加する (非推奨) [非推奨]
選択したインシデントにラベルを追加します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
ラベル
|
Label | True | string |
ラベル |
戻り値
- response
- string
インシデントの作成
指定されたフィールドを使用してインシデントを作成する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
サブスクリプションの選択 |
|
リソース グループ
|
resourceGroup | True | string |
リソース グループの選択 |
|
ワークスペース名
|
workspaceName | True | string |
ワークスペースの選択 |
|
インシデント フィールドを指定する
|
body | True | dynamic |
インシデント フィールド |
戻り値
Azure Security Insights のインシデントを表します。
- Body
- Incident
インシデントの状態の変更 (非推奨) [非推奨]
選択したインシデントに状態を変更する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
状態を指定する
|
status | True | string |
状態の値 |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
インシデントステータスチェンジャーの動的スキーマ |
戻り値
- response
- string
インシデントの重大度の変更 (非推奨) [非推奨]
重大度を選択したインシデントに変更する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
重大度を指定する
|
severity | True | string |
重大度の値 |
戻り値
- response
- string
インシデントを取得する
ARM ID でインシデントを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID |
戻り値
Azure Security Insights のインシデントを表します。
- Body
- Incident
インシデントを更新する
提供されたフィールドを使用してインシデントを更新する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
更新するインシデント フィールドを指定する
|
body | True | dynamic |
更新するインシデント フィールド |
戻り値
Azure Security Insights のインシデントを表します。
- Body
- Incident
ウォッチリスト - ID (guid) でウォッチリストアイテムを取得する
ウォッチリスト - ウォッチリスト アイテムを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
ウォッチリスト項目 ID の指定
|
watchlistItemId | True | string |
ウォッチリスト アイテムの一意識別子 (GUID) |
戻り値
Azure Security Insights の WatchlistItem を表します。
- Body
- WatchlistItem
ウォッチリスト - SAS URI を使用して大規模なウォッチリストを作成する
ウォッチリスト - SAS URI を使用して大規模なウォッチリストを作成する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights のウォッチリストを表します。
- Body
- Watchlist
ウォッチリスト - SAS URI を使用して大規模なウォッチリストを作成する (V2)
ウォッチリスト - SAS URI を使用して大規模なウォッチリストを作成する (V2)
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights のウォッチリストを表します。
- Body
- WatchlistV2
ウォッチリスト - ウォッチリスト アイテムを削除する
ウォッチリスト - ウォッチリスト アイテムを削除する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
ウォッチリスト項目 ID の指定
|
watchlistItemId | True | string |
ウォッチリスト アイテムの一意識別子 (GUID) |
戻り値
- response
- string
ウォッチリスト - ウォッチリスト アイテムを削除する (V2)
ウォッチリスト - ウォッチリスト アイテムを削除する (V2)
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
ウォッチリスト項目 ID の指定
|
watchlistItemId | True | string |
ウォッチリスト アイテムの一意識別子 (GUID) |
戻り値
- response
- string
ウォッチリスト - ウォッチリストの削除 (V2)
エイリアスで特定のウォッチリストを削除します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
ウォッチリスト - ウォッチリストを削除する
ウォッチリスト - ウォッチリストを削除する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
- response
- string
ウォッチリスト - エイリアスでウォッチリストを取得する
ウォッチリスト - エイリアスでウォッチリストを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights のウォッチリストを表します。
- Body
- Watchlist
ウォッチリスト - データを含む新しいウォッチリストを作成する (生コンテンツ)
ウォッチリスト - データを含む新しいウォッチリストを作成する (生コンテンツ)
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights のウォッチリストを表します。
- Body
- Watchlist
ウォッチリスト - データを含む新しいウォッチリストを作成する (生コンテンツ) (V2)
ウォッチリスト - データを含む新しいウォッチリストを作成する (生コンテンツ) (V2)
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights のウォッチリストを表します。
- Body
- WatchlistV2
ウォッチリスト - 新しいウォッチリスト アイテムを追加する
ウォッチリスト - 新しいウォッチリスト アイテムを追加する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights の WatchlistItem を表します。
- Body
- WatchlistItem
ウォッチリスト - 既存のウォッチリスト アイテムを更新する
ウォッチリスト - 既存のウォッチリスト アイテムを更新する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
ウォッチリスト項目 ID の指定
|
watchlistItemId | True | string |
ウォッチリスト アイテムの一意識別子 (GUID) |
戻り値
Azure Security Insights の WatchlistItem を表します。
- Body
- WatchlistItem
ウォッチリスト - 特定のウォッチリストのすべてのウォッチリスト アイテムを取得する (V2)
ウォッチリスト - 特定のウォッチリストのすべてのウォッチリスト アイテムを取得する (V2)
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
トークンのスキップ
|
skipToken | string |
返される 100 個の項目の次のセットのトークンをスキップする |
戻り値
すべてのウォッチリスト 項目を一覧表示します。
- response
- WatchlistItemList
ウォッチリスト - 特定のウォッチリストのすべてのウォッチリストアイテムを取得する
ウォッチリスト - 特定のウォッチリストのすべてのウォッチリストアイテムを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリストのエイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
すべてのウォッチリスト 項目を一覧表示します。
- response
- WatchlistItemList
エンティティ - DNS を取得する
アラートに関連付けられている DNS レコードの一覧を返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティの一覧
|
body | True | string |
エンティティの一覧 |
戻り値
アラートに関連付けられている DNS ドメインの一覧
- Body
- BatchResponseDNS
タスクを完了としてマークする
タスクを完了としてマークする
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
タスク ARM ID
|
taskArmId | True | string |
タスク ARM ID |
戻り値
インシデント タスク アイテムを表します。
- インシデント タスク
- IncidentTask
ブックマーク (V2) - 新しいブックマークの作成 (json 入力) (プレビュー)
ブックマーク (V2) - 有効な新しいブックマーク (json) を作成します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマークの表示名
|
displayName | True | string |
ブックマークの表示名 |
|
ブックマーク クエリ
|
bookmarkQuery | True | string |
ブックマーク クエリ (例: 'SecurityEvent |where TimeGenerated > ago(1d) and TimeGenerated < ago(2d)') |
|
ブックマーク クエリの結果
|
bookmarkQueryResult | True | string |
ブックマーク クエリの結果 (例: "セキュリティ イベントクエリ結果") |
|
メモをブックマークする
|
bookmarkNotes | string |
ブックマーク ノート (例: "マイ ブックマーク ノート") |
戻り値
Azure Security Insights のブックマークを表します。
- Body
- Bookmark
ブックマーク (V3) - 個別のフィールドを持つ新しいブックマークを作成します (プレビュー)
ブックマーク (V3) - 新しいブックマークを作成します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマークの表示名を指定する
|
bookmarkName | True | string |
ブックマークの表示名 (例: "マイ ブックマーク") |
|
ブックマーク クエリを指定する
|
bookmarkQuery | True | string |
ブックマーク クエリ (例: 'SecurityEvent |where TimeGenerated > ago(1d) and TimeGenerated < ago(2d)') |
|
ブックマーク クエリの結果を指定する
|
bookmarkQueryResult | True | string |
ブックマーク クエリの結果 (例: "セキュリティ イベントクエリ結果") |
|
ブックマークのメモを指定する
|
bookmarkNotes | True | string |
ブックマーク ノート (例: "マイ ブックマーク ノート") |
戻り値
Azure Security Insights のブックマークを表します。
- Body
- Bookmark
ブックマーク - すべてのブックマークを取得する
ブックマーク - 特定のワークスペースのすべてのブックマークを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマークの数を指定する
|
numberOfBookmarks | True | integer |
返されるブックマークの数。 すべてのブックマークを返す場合は 0 または負の値 |
戻り値
すべてのブックマークを一覧表示します。
- Body
- BookmarkList
ブックマーク - ブックマークを削除する
ブックマーク - ブックマークを削除する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマーク ID の指定
|
bookmarkId | True | string |
ブックマークの ID |
戻り値
- response
- string
ブックマーク - ブックマークを取得する
ブックマーク - ID でブックマークを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマーク ID の指定
|
bookmarkId | True | string |
ブックマークの ID |
戻り値
Azure Security Insights のブックマークを表します。
- Body
- Bookmark
ブックマーク - 新しいブックマークを作成する (プレビュー)
ブックマーク - 新しいブックマークを作成します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマーク ID の指定
|
bookmarkId | True | string |
ブックマークの ID |
|
作成済み
|
created | date-time |
ブックマークが作成された時刻 |
|
|
メール
|
string |
ユーザーの電子メール。 |
||
|
名前
|
name | string |
ユーザーの名前です。 |
|
|
objectId
|
objectId | uuid |
ユーザーのオブジェクト ID。 |
|
|
ディスプレイ名
|
displayName | True | string |
ブックマークの表示名 |
|
labels
|
labels | string |
タグ付けとフィルター処理に使用されるラベル。 |
|
|
注釈
|
notes | string |
ブックマークのメモ |
|
|
クエリ
|
query | True | string |
ブックマークのクエリ。 |
|
queryResult
|
queryResult | string |
ブックマークのクエリ結果。 |
|
|
更新
|
updated | date-time |
ブックマークが最後に更新された時刻 |
|
|
イベント時間
|
eventTime | date-time |
ブックマーク イベント時間 |
|
|
queryStartTime
|
queryStartTime | date-time |
クエリの開始時刻 |
|
|
queryEndTime
|
queryEndTime | date-time |
クエリの終了時刻 |
|
|
インシデント ARM ID
|
id | string |
インシデントの完全修飾 ARM ID。 |
|
|
インシデント ARM 名
|
name | string |
インシデントの ARM 名 (GUID) |
|
|
インシデント アラートの数
|
alertsCount | integer |
インシデント内のアラートの数 |
|
|
インシデント ブックマーク数
|
bookmarksCount | integer |
インシデント内のブックマークの数 |
|
|
インシデント コメント数
|
commentsCount | integer |
インシデント内のコメントの数 |
|
|
インシデント アラートの製品名
|
alertProductNames | array of string |
インシデント内のアラートの製品名の一覧 |
|
|
プロバイダー インシデント URL
|
providerIncidentUrl | string |
Microsoft Defender ポータルのインシデントの URL |
|
|
差し込まれたインシデント番号
|
mergedIncidentNumber | string |
現在のインシデントがマージされたインシデントのインシデント番号 |
|
|
マージされたインシデント URL
|
mergedIncidentUrl | string |
現在のインシデントがマージされたインシデントの URL |
|
|
インシデント戦術
|
Incident Tactics | string |
インシデントに関連付けられている戦術アイテムを表します。 |
|
|
インシデントの手法
|
techniques | array of string |
インシデントの戦術に関連する手法 |
|
|
インシデント分類
|
classification | string |
インシデントが閉じられた理由 |
|
|
インシデント分類コメント
|
classificationComment | string |
インシデントが閉じられた理由について説明します |
|
|
インシデント分類の理由
|
classificationReason | string |
インシデントが閉じられた分類の理由 |
|
|
インシデント作成時刻 (Utc)
|
createdTimeUtc | date-time |
インシデントが作成された時刻 |
|
|
インシデントの説明
|
description | string |
インシデントの説明 |
|
|
インシデントの最初のアクティビティ時間 (UTC)
|
firstActivityTimeUtc | date-time |
インシデントの最初のアクティビティの時刻 |
|
|
インシデント URL
|
incidentUrl | string |
Azure portal のインシデントへのディープ リンク URL |
|
|
プロバイダー インシデント ID
|
providerIncidentId | string |
インシデント プロバイダーによって割り当てられたインシデント ID |
|
|
Incident Sentinel ID
|
incidentNumber | integer |
Microsoft Sentinel でインシデントを識別するために使用されるシーケンシャル番号。 |
|
|
インシデント最終アクティビティ時間 (UTC)
|
lastActivityTimeUtc | date-time |
インシデントの最後のアクティビティの時刻 |
|
|
インシデントの重大度
|
severity | string |
インシデントの重大度 |
|
|
インシデントの状態
|
status | string |
インシデントの状態 |
|
|
インシデント タイトル
|
title | string |
インシデントのタイトル |
|
|
名前
|
labelName | True | string |
タグの名前 |
|
タイプ
|
labelType | string |
タグの型 |
|
|
インシデント最終変更時刻 (UTC)
|
lastModifiedTimeUtc | date-time |
インシデントが最後に更新された時刻 |
|
|
Email
|
string |
インシデントが割り当てられているユーザーの電子メール。 |
||
|
割り当て先ユーザー/グループ
|
assignedTo | string |
インシデントが割り当てられているユーザーの名前。 (assignedTo フィールド) |
|
|
オブジェクト識別子
|
objectId | uuid |
インシデントが割り当てられているユーザーのオブジェクト ID。 |
|
|
ユーザー プリンシパル名
|
userPrincipalName | string |
インシデントが割り当てられているユーザーのユーザー プリンシパル名。 |
|
|
インシデント関連の分析ルール ID
|
relatedAnalyticRuleIds | array of string |
インシデントに関連する分析ルールのリソース ID の一覧 |
|
|
ID
|
id | string |
コメントの完全修飾 ARM ID。 |
|
|
名前
|
name | string |
コメントの ARM 名 (GUID) |
|
|
プロパティ
|
properties |
インシデント コメント プロパティ JSON を表します。 |
戻り値
Azure Security Insights のブックマークを表します。
- Body
- Bookmark
変更インシデントの説明 (V2) (非推奨) [非推奨]
選択したインシデントに説明を変更する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
説明を指定する
|
Value | True | string |
説明の値 |
戻り値
- response
- string
変更インシデントの説明 [非推奨]
選択したインシデントに説明を変更する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定する
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループを指定する
|
resourceGroup | True | string |
リソースグループ |
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント/アラート |
|
アラート/インシデントを指定する
|
id | True | string |
インシデント番号/アラート ID を指定してください |
|
説明を指定する
|
fieldValue | True | string |
説明の値 |
戻り値
- response
- string
脅威インテリジェンス - STIX オブジェクトのアップロード (プレビュー)
脅威インテリジェンス アップロード API を使用して STIX オブジェクトを一括アップロードします。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
戻り値
脅威インテリジェンス の Uplaod API からの応答。 要求本文の無効なオブジェクトのエラーです。
脅威インテリジェンス - 侵害のインジケーターのアップロード (V2) (プレビュー)
脅威インテリジェンス のインジケーターのアップロード API を使用して、インジケーターを一括でアップロードします。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
戻り値
脅威インテリジェンス の Uplaod API からの応答。 要求本文の無効なオブジェクトのエラーです。
脅威インテリジェンス - 侵害のインジケーターのアップロード (非推奨)
脅威インテリジェンス - 侵害のインジケーターをアップロードする
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ワークスペース ID を指定する
|
workspaceId | True | string |
ワークスペース ID |
戻り値
脅威インテリジェンスのアップロード インジケーターからの応答。
トリガー
| Microsoft Sentinel アラート |
Microsoft Sentinel アラートへの応答がトリガーされたとき。 このプレイブックは、新しいアラートが作成されたとき、または手動でトリガーされたときに、分析ルールによってトリガーされます。 プレイブックは、アラートを入力として受け取ります。 |
| Microsoft Sentinel アラートへの応答がトリガーされたとき [非推奨] |
Microsoft Sentinel アラートへの応答がトリガーされたとき。 このプレイブックは、Microsoft Sentinel Real Time または Azure を使用してトリガーする必要があります |
| Microsoft Sentinel インシデント |
Microsoft Sentinel インシデントへの応答がトリガーされたとき。 このプレイブックは、新しいインシデントが作成または更新されたときに自動化ルールによってトリガーされます。 プレイブックは、アラートやエンティティなど、Microsoft Sentinel インシデントを入力として受け取ります。 |
| Microsoft Sentinel エンティティ |
Microsoft Sentinel エンティティでプレイブックを実行する |
Microsoft Sentinel アラート
Microsoft Sentinel アラートへの応答がトリガーされたとき。 このプレイブックは、新しいアラートが作成されたとき、または手動でトリガーされたときに、分析ルールによってトリガーされます。 プレイブックは、アラートを入力として受け取ります。
戻り値
- Body
- Alert
Microsoft Sentinel アラートへの応答がトリガーされたとき [非推奨]
Microsoft Sentinel アラートへの応答がトリガーされたとき。 このプレイブックは、Microsoft Sentinel Real Time または Azure を使用してトリガーする必要があります
戻り値
- Body
- Alert
Microsoft Sentinel インシデント
Microsoft Sentinel インシデントへの応答がトリガーされたとき。 このプレイブックは、新しいインシデントが作成または更新されたときに自動化ルールによってトリガーされます。 プレイブックは、アラートやエンティティなど、Microsoft Sentinel インシデントを入力として受け取ります。
戻り値
Microsoft Sentinel エンティティ
Microsoft Sentinel エンティティでプレイブックを実行する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティの種類
|
entityType | True | string |
エンティティの種類 |
戻り値
定義
UploadApiValidationErrors
脅威インテリジェンス の Uplaod API からの応答。 要求本文の無効なオブジェクトのエラーです。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
脅威インテリジェンスのアップロード インジケーターからの応答。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
アラートに関連付けられているアカウントの一覧
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
アラートに関連付けられているアカウントの一覧 |
Account
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
名前
|
Name | string |
アカウント名 |
|
NT ドメイン
|
NTDomain | string |
アラート形式で表示される NETBIOS ドメイン名 |
|
DnsDomain
|
DnsDomain | string |
完全修飾ドメインの DNS 名 |
|
UPN サフィックス
|
UPNSuffix | string |
ユーザー プリンシパル名のサフィックス |
|
SID
|
Sid | string |
アカウント のセキュリティ識別子 (例: S-1-5-18) |
|
Microsoft Entra ID テナント ID
|
AadTenantId | string |
Microsoft Entra ID テナント ID (既知の場合) |
|
Microsoft Entra ID ユーザー ID
|
AadUserId | string |
Microsoft Entra ID ユーザー ID (既知の場合) |
|
PUID
|
PUID | string |
Microsoft Entra ID Passport ユーザー ID (既知の場合) |
|
ドメインに参加しているか
|
IsDomainJoined | boolean |
これがドメイン アカウントであるかどうかを判断します |
|
ObjectGuid
|
ObjectGuid | string |
objectGUID 属性は、Microsoft Entra ID によって割り当てられたオブジェクトの一意識別子である単一値属性です。 |
BatchResponseUrl
アラートに関連付けられている URL の一覧
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
URL
|
URLs | array of UrlEntity |
アラートに関連付けられている URL の一覧 |
UrlEntity
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ウェブアドレス
|
Url | string |
BatchResponseHost
アラートに関連付けられているホストの一覧
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
アラートに関連付けられているホストの一覧 |
Host
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
DNS ドメイン
|
DnsDomain | string |
このホストが属している DNS ドメイン |
|
NT ドメイン
|
NTDomain | string |
このホストが属している NT ドメイン |
|
Hostname
|
HostName | string |
ドメイン サフィックスのないホスト名 |
|
NetBiosName
|
NetBiosName | string |
ホスト名 (windows2000 より前) |
|
OMSAgentID
|
OMSAgentID | string |
OMS エージェント ID (ホストに OMS エージェントがインストールされている場合) |
|
OSFamily
|
OSFamily | string |
次のいずれかの値: Linux、Windows、Android、IOS |
|
OSバージョン
|
OSVersion | string |
オペレーティング システムのフリー テキスト表現 |
|
ドメインに参加しているか
|
IsDomainJoined | boolean |
このホストがドメインに属しているかどうかを判断します |
|
AzureID
|
AzureID | string |
VM の Azure リソース ID (既知の場合) |
BatchResponseIP
アラートに関連付けられている IP の一覧
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
IP
|
IPs | array of IP |
アラートに関連付けられている IP の一覧 |
IP
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
住所
|
Address | string |
IP アドレス |
BatchResponseDNS
アラートに関連付けられている DNS ドメインの一覧
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
DNS ドメイン
|
Dnsresolutions | array of DNS |
アラートに関連付けられている DNS ドメインの一覧 |
DNS
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ドメイン名
|
DomainName | string |
アラートに関連付けられている DNS レコードの名前 |
BatchResponseFileHash
アラートに関連付けられているファイル ハッシュの一覧
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
アラートに関連付けられているファイル ハッシュの一覧 |
FileHash
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
価値
|
Value | string |
ファイル ハッシュ値 |
|
アルゴリズム
|
Algorithm | string |
ファイル ハッシュ アルゴリズムの種類 |
OldIncident
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
プロパティ
|
properties | OldIncidentProperties |
OldIncidentProperties
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ステータス
|
Status | string |
インシデントの状態 |
|
ラベル
|
Labels | array of |
インシデントのラベル |
|
Title
|
Title | string |
インシデントのタイトル |
|
Description
|
Description | string |
インシデントの説明 |
|
終了時刻 (Utc)
|
EndTimeUtc | string |
インシデントが終了した時刻 |
|
開始時刻 (Utc)
|
StartTimeUtc | string |
インシデントの開始時刻 |
|
最終更新日時 (Utc)
|
LastUpdatedTimeUtc | string |
インシデントの更新時刻 |
|
Number
|
CaseNumber | string |
インシデントの数 |
|
作成時刻 (Utc)
|
CreatedTimeUtc | string |
インシデントが作成された時刻 |
|
Severity
|
Severity | string |
インシデントの重大度 |
|
関連するアラート ID
|
RelatedAlertIds | array of |
インシデントの関連アラート ID |
IncidentAdditionalData
インシデントの追加データ プロパティ バッグ。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
インシデント アラートの数
|
alertsCount | integer |
インシデント内のアラートの数 |
|
インシデント ブックマーク数
|
bookmarksCount | integer |
インシデント内のブックマークの数 |
|
インシデント コメント数
|
commentsCount | integer |
インシデント内のコメントの数 |
|
インシデント アラートの製品名
|
alertProductNames | array of string |
インシデント内のアラートの製品名の一覧 |
|
プロバイダー インシデント URL
|
providerIncidentUrl | string |
Microsoft Defender ポータルのインシデントの URL |
|
差し込まれたインシデント番号
|
mergedIncidentNumber | string |
現在のインシデントがマージされたインシデントのインシデント番号 |
|
マージされたインシデント URL
|
mergedIncidentUrl | string |
現在のインシデントがマージされたインシデントの URL |
|
インシデント戦術
|
tactics | array of AttackTactic |
インシデントに関連する戦術 |
|
インシデントの手法
|
techniques | array of string |
インシデントの戦術に関連する手法 |
IncidentLabel
インシデント タグを表します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
名前
|
labelName | string |
タグの名前 |
|
タイプ
|
labelType | string |
タグの型 |
IncidentOwnerInfo
インシデントが割り当てられているユーザーに関する情報
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Email
|
string |
インシデントが割り当てられているユーザーの電子メール。 |
|
|
割り当て先ユーザー/グループ
|
assignedTo | string |
インシデントが割り当てられているユーザーの名前。 (assignedTo フィールド) |
|
オブジェクト識別子
|
objectId | uuid |
インシデントが割り当てられているユーザーのオブジェクト ID。 |
|
ユーザー プリンシパル名
|
userPrincipalName | string |
インシデントが割り当てられているユーザーのユーザー プリンシパル名。 |
AttackTactic
AlertSeverity
HuntingBookmark
ハンティング ブックマーク アイテムを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ARM ID
|
id | string |
ブックマークの完全修飾 ARM ID。 |
|
ARM 名
|
name | string |
ブックマークの ARM 名 (GUID) |
|
プロパティ
|
properties | HuntingBookmarkProperties |
HuntingBookmark プロパティ JSON を表します。 |
セキュリティアラート
セキュリティ 警告項目を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ARM ID
|
id | string |
アラートの完全修飾 ARM ID。 |
|
ARM 名
|
name | string |
アラートの ARM 名 (GUID) |
|
プロパティ
|
properties | SecurityAlertProperties |
アラート プロパティ JSON を表します。 |
HuntingBookmarkProperties
HuntingBookmark プロパティ JSON を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
表示される名前
|
displayName | string |
ブックマークの表示名 |
|
作成済み
|
created | date-time |
ブックマークの作成時刻 |
|
Updated
|
updated | date-time |
ブックマークの更新時刻 |
|
ユーザー情報によって作成
|
createdBy | CreatedByUserInfo |
UserInfo プロパティ JSON を表します。 |
|
ユーザー情報で更新
|
updatedBy | UpdatedByUserInfo |
UserInfo プロパティ JSON を表します。 |
|
イベント時間
|
eventTime | date-time |
ブックマークのイベント時刻 |
|
注記
|
notes | string |
ブックマークのメモ |
|
ラベル
|
labels | array of string |
ブックマークのラベル |
|
Query
|
query | string |
ブックマークのクエリ |
|
クエリ結果
|
queryResult | string |
ブックマークのクエリ結果 |
SecurityAlertProperties
アラート プロパティ JSON を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
親しみやすい名前
|
friendlyName | string |
グラフ項目の表示名。これは、グラフ項目インスタンスの人間が判読できる短い説明です。 このプロパティは省略可能であり、システムによって生成される場合があります。 |
|
表示される名前
|
alertDisplayName | string |
アラートの表示名 |
|
タイプ
|
alertType | string |
スケジュール アラートでは、これは分析ルール ID です。 |
|
URI
|
alertLink | string |
これは、Orignal ベンダーのアラートへのリンクです。 |
|
侵害されたエンティティ
|
compromisedEntity | string |
報告されているメイン エンティティの表示名。 |
|
信頼度
|
confidenceLevel | string |
このアラートの信頼度レベル。 |
|
Description
|
description | string |
アラートの説明。 |
|
終了時刻 (UTC)
|
endTimeUtc | date-time |
アラートの影響終了時刻 (アラートに影響を与える最後のイベントの時刻)。 |
|
プロバイダー ID
|
providerAlertId | string |
アラートを生成した製品内のアラートの識別子。 |
|
製品名
|
productName | string |
このアラートを発行した製品の名前。 |
|
修正手順
|
remediationSteps | array of string |
アラートを修復するために実行する手動アクション項目の一覧。 |
|
Severity
|
severity | AlertSeverity |
アラートの重大度 |
|
開始時刻
|
startTimeUtc | date-time |
アラートの影響の開始時刻 (アラートに影響を与える最初のイベントの時刻)。 |
|
ステータス
|
status | string |
アラートのライフサイクルの状態。 |
|
システム ID
|
systemAlertId | string |
製品のアラートの製品識別子を保持します。 |
|
方針
|
tactics | array of AttackTactic |
アラート戦術の一覧。 |
|
生成された時間
|
timeGenerated | date-time |
アラートが生成された時刻。 |
|
Query
|
additionalData.Query | string |
アラートをトリガーするかどうかを決定するために使用されるクエリ (アラートのスケジュールのみ)。 |
|
クエリの開始時刻
|
additionalData.Query Start Time UTC | string |
アラートをトリガーするかどうかを決定するために使用されるクエリの開始時刻 (アラートのスケジュールのみ)。 |
|
クエリの終了時刻
|
additionalData.Query End Time UTC | string |
アラートをトリガーするかどうかを決定するために使用されるクエリの開始時刻 (アラートのスケジュールのみ)。 |
|
クエリ演算子
|
additionalData.Trigger Operator | string |
アラートをトリガーするかどうかを決定するために使用されるオペレーター (アラートのスケジュールのみ)。 |
|
クエリのしきい値
|
additionalData.Trigger Threshold | string |
アラートをトリガーするかどうかを決定するために使用されるしきい値 (アラートのスケジュールのみ)。 |
|
カスタムの詳細
|
additionalData.Custom Details | string |
分析ルールによってアラートに追加されたカスタム イベントの詳細 (スケジュールされたアラートのみ)。 このフィールドを使用するには、"JSON の解析" アクションに従い、既存のアラートのサンプル ペイロードを使用してスキーマをシミュレートします。 |
|
リソース識別子
|
resourceIdentifiers | array of object |
アラートのリソース識別子 |
|
items
|
resourceIdentifiers | object |
アラート リソース識別子を表します。 |
インシデント
Azure Security Insights のインシデントを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
インシデント ARM ID
|
id | string |
インシデントの完全修飾 ARM ID。 |
|
インシデント ARM 名
|
name | string |
インシデントの ARM 名 (GUID) |
|
プロパティ
|
properties | IncidentProperties |
インシデント プロパティ JSON を表します。 |
FullIncident
ARM ID でインシデントを取得する
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
インシデント ARM ID
|
id | string |
インシデントの完全修飾 ARM ID。 |
|
インシデント ARM 名
|
name | string |
インシデントの ARM 名 (GUID) |
|
プロパティ
|
properties | FullIncidentProperties |
インシデント プロパティ JSON を表します。 |
IncidentProperties
インシデント プロパティ JSON を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
追加データ
|
additionalData | IncidentAdditionalData |
インシデントの追加データ プロパティ バッグ。 |
|
インシデント分類
|
classification | string |
インシデントが閉じられた理由 |
|
インシデント分類コメント
|
classificationComment | string |
インシデントが閉じられた理由について説明します |
|
インシデント分類の理由
|
classificationReason | string |
インシデントが閉じられた分類の理由 |
|
インシデント作成時刻 (Utc)
|
createdTimeUtc | date-time |
インシデントが作成された時刻 |
|
インシデントの説明
|
description | string |
インシデントの説明 |
|
インシデントの最初のアクティビティ時間 (UTC)
|
firstActivityTimeUtc | date-time |
インシデントの最初のアクティビティの時刻 |
|
インシデント URL
|
incidentUrl | string |
Azure portal のインシデントへのディープ リンク URL |
|
プロバイダー インシデント ID
|
providerIncidentId | string |
インシデント プロバイダーによって割り当てられたインシデント ID |
|
Incident Sentinel ID
|
incidentNumber | integer |
Microsoft Sentinel でインシデントを識別するために使用されるシーケンシャル番号。 |
|
インシデント最終アクティビティ時間 (UTC)
|
lastActivityTimeUtc | date-time |
インシデントの最後のアクティビティの時刻 |
|
インシデントの重大度
|
severity | string |
インシデントの重大度 |
|
インシデントの状態
|
status | string |
インシデントの状態 |
|
インシデント タイトル
|
title | string |
インシデントのタイトル |
|
インシデント タグ
|
labels | array of IncidentLabel |
このインシデントに関連付けられているタグの一覧 |
|
インシデント最終変更時刻 (UTC)
|
lastModifiedTimeUtc | date-time |
インシデントが最後に更新された時刻 |
|
インシデント所有者
|
owner | IncidentOwnerInfo |
インシデントが割り当てられているユーザーに関する情報 |
|
インシデント関連の分析ルール ID
|
relatedAnalyticRuleIds | array of string |
インシデントに関連する分析ルールのリソース ID の一覧 |
|
Comments
|
Comments | array of IncidentComment |
このインシデントに関するコメントの一覧。 |
FullIncidentProperties
インシデント プロパティ JSON を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
追加データ
|
additionalData | IncidentAdditionalData |
インシデントの追加データ プロパティ バッグ。 |
|
インシデント分類
|
classification | string |
インシデントが閉じられた理由 |
|
インシデント分類コメント
|
classificationComment | string |
インシデントが閉じられた理由について説明します |
|
インシデント分類の理由
|
classificationReason | string |
インシデントが閉じられた分類の理由 |
|
インシデント作成時刻 (Utc)
|
createdTimeUtc | date-time |
インシデントが作成された時刻 |
|
インシデントの説明
|
description | string |
インシデントの説明 |
|
インシデントの最初のアクティビティ時間 (UTC)
|
firstActivityTimeUtc | date-time |
インシデントの最初のアクティビティの時刻 |
|
インシデント URL
|
incidentUrl | string |
Azure portal のインシデントへのディープ リンク URL |
|
プロバイダー インシデント ID
|
providerIncidentId | string |
インシデント プロバイダーによって割り当てられたインシデント ID |
|
Incident Sentinel ID
|
incidentNumber | integer |
Microsoft Sentinel でインシデントを識別するために使用されるシーケンシャル番号。 |
|
インシデント最終アクティビティ時間 (UTC)
|
lastActivityTimeUtc | date-time |
インシデントの最後のアクティビティの時刻 |
|
インシデントの重大度
|
severity | string |
インシデントの重大度 |
|
インシデントの状態
|
status | string |
インシデントの状態 |
|
インシデント タイトル
|
title | string |
インシデントのタイトル |
|
インシデント タグ
|
labels | array of IncidentLabel |
このインシデントに関連付けられているタグの一覧 |
|
インシデント最終変更時刻 (UTC)
|
lastModifiedTimeUtc | date-time |
インシデントが最後に更新された時刻 |
|
インシデント所有者
|
owner | IncidentOwnerInfo |
インシデントが割り当てられているユーザーに関する情報 |
|
インシデント関連の分析ルール ID
|
relatedAnalyticRuleIds | array of string |
インシデントに関連する分析ルールのリソース ID の一覧 |
|
Comments
|
Comments | array of IncidentComment |
このインシデントに関するコメントの一覧。 |
|
Alerts
|
Alerts | array of SecurityAlert |
このインシデントに関連するアラートの一覧。 |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
このインシデントに関連するブックマークの一覧。 |
|
Entities
|
relatedEntities | string |
インシデントに関連するエンティティの一覧には、さまざまな種類のエンティティを含めることができます |
IncidentEventNotification
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
更新されたフィールド名
|
incidentUpdates.updatedFields | array of string |
インシデントで更新されたフィールドの名前 |
|
更新時刻
|
incidentUpdates.updatedTime | date-time |
インシデント更新イベントの時刻 |
|
情報源
|
incidentUpdates.updatedBy.source | string |
インシデントを更新したアクター: ユーザー、外部アプリケーション、プレイブック、オートメーション ルール、Microsoft 365 Defender またはアラート グループ |
|
名前
|
incidentUpdates.updatedBy.name | string |
インシデントを更新したユーザー、アプリケーション、自動化ルール、またはプレイブックの名前 |
|
インシデント アラート
|
incidentUpdates.alerts | array of SecurityAlert |
このインシデントに追加されたアラートの一覧。 |
|
インシデント タグ
|
incidentUpdates.labels | array of IncidentLabel |
このインシデントに追加されたタグの一覧 |
|
インシデントコメント
|
incidentUpdates.comments | array of IncidentComment |
このインシデントに追加されたコメントの一覧。 |
|
インシデント戦術
|
incidentUpdates.tactics | array of AttackTactic |
インシデントに関連する戦術 |
|
サブスクリプション ID
|
workspaceInfo.SubscriptionId | string |
Microsoft Sentinel ワークスペースのサブスクリプション ID |
|
リソース グループ名
|
workspaceInfo.ResourceGroupName | string |
Microsoft Sentinel ワークスペースのリソース グループ |
|
ワークスペース名
|
workspaceInfo.WorkspaceName | string |
Microsoft Sentinel ワークスペース名 |
|
ワークスペース ID
|
workspaceId | string |
インシデントのワークスペース ID。 |
|
オブジェクト
|
object | FullIncident |
ARM ID でインシデントを取得する |
CreatedByUserInfo
UpdatedByUserInfo
アラート
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
製品名
|
ProductName | string |
このアラートを発行した製品の名前 |
|
アラートの種類
|
AlertType | string |
アラートの種類名 |
|
開始時刻 (UTC)
|
StartTimeUtc | date-time |
アラートの開始時刻 (最初に発生したイベントが検出されたとき) |
|
終了時刻 (UTC)
|
EndTimeUtc | date-time |
アラートの終了時刻 (最後に発生したイベントが検出されたとき) |
|
生成時刻 (UTC)
|
TimeGenerated | date-time |
アラートが生成された時刻 |
|
Severity
|
Severity | string |
プロバイダーによって報告されるアラートの重大度 |
|
プロバイダー アラート ID
|
ProviderAlertId | string |
プロバイダーによって設定された特定のアラート インスタンスの一意の ID |
|
システム アラート ID
|
SystemAlertId | string |
特定のアラート インスタンスの一意の ID |
|
アラートの表示名
|
AlertDisplayName | string |
アラートの表示名 |
|
Description
|
Description | string |
アラートの説明 |
|
Entities
|
Entities | string |
アラートに関連するエンティティの一覧には、複数のエンティティの種類を含めることができます |
|
拡張プロパティ
|
ExtendedProperties | string |
ユーザーに表示されるフィールドの一覧 |
|
ワークスペース ID
|
WorkspaceId | string |
アラートのワークスペースの ID |
|
リソースグループ
|
WorkspaceResourceGroup | string |
アラートのアラート リソース グループ |
|
サブスクリプション ID
|
WorkspaceSubscriptionId | string |
アラートのサブスクリプションの ID |
|
拡張リンク
|
ExtendedLinks | array of object |
アラートに関連するリンクの一覧には、複数の種類を含めることができます |
IncidentComment
インシデント コメント アイテムを表します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
コメントの完全修飾 ARM ID。 |
|
名前
|
name | string |
コメントの ARM 名 (GUID) |
|
プロパティ
|
properties | IncidentCommentProperties |
インシデント コメント プロパティ JSON を表します。 |
IncidentCommentProperties
IncidentTask
インシデント タスク アイテムを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
タスクの完全修飾 ARM ID。 |
|
名前
|
name | string |
タスクの ARM 名 |
|
プロパティ
|
properties | IncidentTaskProperties |
インシデント タスクのプロパティを表します。 |
IncidentTaskProperties
IncidentRelation
インシデント関係を表します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
インシデント関係の完全修飾 ARM ID。 |
|
名前
|
name | string |
インシデント関係の ARM 名 |
|
プロパティ
|
properties | IncidentRelationProperties |
インシデント関係プロパティ JSON を表します。 |
IncidentRelationProperties
Watchlist
Azure Security Insights のウォッチリストを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
プロパティ
|
properties | WatchlistProperties |
ウォッチリストのプロパティについて説明します |
WatchlistV2
Azure Security Insights のウォッチリストを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
プロパティ
|
properties | WatchlistPropertiesV2 |
ウォッチリストのプロパティについて説明します |
WatchlistProperties
ウォッチリストのプロパティについて説明します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
ウォッチリストの ID (Guid) |
|
ディスプレイ名
|
displayName | string |
ウォッチリストの表示名 |
|
プロバイダ
|
provider | string |
ウォッチリストのプロバイダー |
|
ソース
|
source | string |
ウォッチリストのソース |
|
作成済み
|
created | date-time |
ウォッチリストが作成された時刻 |
|
更新
|
updated | date-time |
ウォッチリストが最後に更新された時刻 |
|
createdBy
|
createdBy | UserInfo |
何らかのアクションを行ったユーザー情報 |
|
更新されました
|
updatedBy | UserInfo |
何らかのアクションを行ったユーザー情報 |
|
説明
|
description | string |
ウォッチリストの説明 |
|
watchlistType
|
watchlistType | string |
ウォッチリストの型 |
|
watchlistAlias
|
watchlistAlias | string |
ウォッチリストのエイリアス |
|
isDeleted
|
isDeleted | boolean |
ウォッチリストが削除されたかどうかを示すフラグ |
|
labels
|
labels | array of Label |
このウォッチリストに関連するラベルの一覧 |
|
defaultDuration
|
defaultDuration | duration |
ウォッチリストの既定の期間 (ISO 8601 期間形式) |
|
tenantId
|
tenantId | string |
ウォッチリストが属する tenantId |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
ヘッダーの前にスキップする csv/tsv コンテンツ内の行数 |
|
rawContent
|
rawContent | string |
作成するウォッチリスト項目を表す生コンテンツ。 csv/tsv コンテンツ タイプの場合、エンドポイントによって解析されるファイルのコンテンツです |
|
itemsSearchKey
|
itemsSearchKey | string |
検索キーは、他のデータとの結合にウォッチリストを使用する場合にクエリのパフォーマンスを最適化するために使用されます。 たとえば、IP アドレスを持つ列を指定された SearchKey フィールドに設定し、IP アドレスによって他のイベント データに結合するときに、このフィールドをキー フィールドとして使用します。 |
|
コンテンツタイプ
|
contentType | string |
生コンテンツのコンテンツ タイプ。 例: text/csv または text/tsv |
|
uploadStatus
|
uploadStatus | string |
ウォッチリストのアップロードの状態: 新規、InProgress、または Complete。 Pls 注: ウォッチリストのアップロード状態が InProgress と等しい場合、ウォッチリストを削除できません |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
ウォッチリスト内のウォッチリストアイテムの数 |
WatchlistPropertiesV2
ウォッチリストのプロパティについて説明します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
ウォッチリストの ID (Guid) |
|
ディスプレイ名
|
displayName | string |
ウォッチリストの表示名 |
|
プロバイダ
|
provider | string |
ウォッチリストのプロバイダー |
|
ソース
|
source | string |
ウォッチリストのファイル名 ("source" と呼ばれます) |
|
sourceType
|
sourceType | string |
ウォッチリストの sourceType |
|
作成済み
|
created | date-time |
ウォッチリストが作成された時刻 |
|
更新
|
updated | date-time |
ウォッチリストが最後に更新された時刻 |
|
createdBy
|
createdBy | UserInfo |
何らかのアクションを行ったユーザー情報 |
|
更新されました
|
updatedBy | UserInfo |
何らかのアクションを行ったユーザー情報 |
|
説明
|
description | string |
ウォッチリストの説明 |
|
watchlistType
|
watchlistType | string |
ウォッチリストの型 |
|
watchlistAlias
|
watchlistAlias | string |
ウォッチリストのエイリアス |
|
isDeleted
|
isDeleted | boolean |
ウォッチリストが削除されたかどうかを示すフラグ |
|
labels
|
labels | array of Label |
このウォッチリストに関連するラベルの一覧 |
|
defaultDuration
|
defaultDuration | duration |
ウォッチリストの既定の期間 (ISO 8601 期間形式) |
|
tenantId
|
tenantId | string |
ウォッチリストが属する tenantId |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
ヘッダーの前にスキップする csv/tsv コンテンツ内の行数 |
|
rawContent
|
rawContent | string |
作成するウォッチリスト項目を表す生コンテンツ。 csv/tsv コンテンツ タイプの場合、エンドポイントによって解析されるファイルのコンテンツです |
|
itemsSearchKey
|
itemsSearchKey | string |
検索キーは、他のデータとの結合にウォッチリストを使用する場合にクエリのパフォーマンスを最適化するために使用されます。 たとえば、IP アドレスを持つ列を指定された SearchKey フィールドに設定し、IP アドレスによって他のイベント データに結合するときに、このフィールドをキー フィールドとして使用します。 |
|
コンテンツタイプ
|
contentType | string |
生コンテンツのコンテンツ タイプ。 例: text/csv または text/tsv |
|
uploadStatus
|
uploadStatus | string |
ウォッチリストのアップロードの状態: 新規、InProgress、または Complete。 Pls 注: ウォッチリストのアップロード状態が InProgress と等しい場合、ウォッチリストを削除できません |
WatchlistItemList
WatchlistItem
Azure Security Insights の WatchlistItem を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
WatchlistItem の完全な ARM ID
|
id | string |
ウォッチリスト アイテムの完全修飾 ID。 |
|
WatchlistItem の一意の ID
|
name | string |
WatchlistItem ID (GUID) に対応します |
|
WatchlistItem etag
|
etag | string |
etag (GUID) に対応します |
|
WatchlistItem 型
|
type | string |
WatchlistItem 型に対応します |
|
value
|
value | object |
ウォッチリスト項目エンティティの詳細。 |
Bookmark
Azure Security Insights のブックマークを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
プロパティ
|
properties | BookmarkProperties |
ブックマークのプロパティについて説明します |
BookmarkList
すべてのブックマークを一覧表示します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
nextLink
|
nextLink | string |
URL を使用して、次のケース セットをフェッチします。 |
|
value
|
value | array of Bookmark |
ブックマークの配列。 |
BookmarkProperties
ブックマークのプロパティについて説明します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
作成済み
|
created | date-time |
ブックマークが作成された時刻 |
|
createdBy
|
createdBy | UserInfo |
何らかのアクションを行ったユーザー情報 |
|
ディスプレイ名
|
displayName | string |
ブックマークの表示名 |
|
labels
|
labels | array of Label |
このブックマークに関連するラベルの一覧 |
|
注釈
|
notes | string |
ブックマークのメモ |
|
クエリ
|
query | string |
ブックマークのクエリ。 |
|
queryResult
|
queryResult | string |
ブックマークのクエリ結果。 |
|
更新
|
updated | date-time |
ブックマークが最後に更新された時刻 |
|
更新されました
|
updatedBy | UserInfo |
何らかのアクションを行ったユーザー情報 |
|
イベント時間
|
eventTime | date-time |
ブックマーク イベント時間 |
|
queryStartTime
|
queryStartTime | date-time |
クエリの開始時刻 |
|
queryEndTime
|
queryEndTime | date-time |
クエリの終了時刻 |
|
incidentInfo
|
incidentInfo | Incident |
Azure Security Insights のインシデントを表します。 |
UserInfo
何らかのアクションを行ったユーザー情報
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
メール
|
string |
ユーザーの電子メール。 |
|
|
名前
|
name | string |
ユーザーの名前です。 |
|
objectId
|
objectId | uuid |
ユーザーのオブジェクト ID。 |
ラベル
文字列
これは基本的なデータ型 'string' です。