Microsoft Sentinel (プレビュー)
AI が組み込まれたクラウドネイティブの SIEM により、最も重要なことに集中できます
このコネクタは、次の製品および地域で利用可能です。
| サービス | クラス | リージョン |
|---|---|---|
| Logic Apps | Standard | すべての Logic Apps 地域 |
| Contact | |
|---|---|
| 件名 | マイクロソフト |
| URL | Microsoft LogicApps サポート |
| Connector Metadata | |
|---|---|
| 発行元 | Microsoft |
| Web サイト | https://azure.microsoft.com/services/azure-sentinel/ |
Microsoft Sentinel コネクタ
コネクタの詳細
このコネクタの使用方法に関する詳細情報:
認証
Mcirosoft Sentinel コネクタのトリガーとアクションは、関連するワークスペースで必要な権限 (読み取りおよび/または書き込み) を持つ ID の代わりに操作できます。 コネクタは複数の ID タイプをサポートします :
必要なアクセス許可
| ロール / コネクタのコンポーネント | トリガー | 「Get」アクション | インシデントの更新、 コメントを追加 |
|---|---|---|---|
| Microsoft Sentinel 閲覧者 | ✓ | ✓ | ✗ |
| Microsoft Sentinel 応答者/共同作成者 | ✓ | ✓ | ✓ |
Microsoft Sentinel のアクセス許可について。
既知の問題と制限事項
"トリガーの実行" ボタンを使用して Microsoft Sentinel トリガーによって呼び出されたロジック アプリをトリガーできない
ユーザーは、ロジック アプリ サービスの 概要 ブレードにある トリガーの実行 ボタンを使用して、Microsoft Sentinel プレイブックをトリガーすることはできません。
Azure Logic Apps は、POST REST 呼び出しによってトリガーされ、その本文がトリガーの入力となります。 Microsoft Sentinel トリガーで始まる Logic Apps では、呼び出しの本文に Microsoft Sentinel の アラート または インシデント の内容が表示されることを想定しています。 Logic Apps の概要ブレードから呼び出しが行われる場合、呼び出しの本文が空であるため、エラーが生成されます。
Microsoft Sentinel プレイブックをトリガーする唯一の適切な方法は次のとおりです:
- Microsoft Sentinel の手動トリガー
- Microsoft Sentinel での分析ルール (直接または自動化ルールによる) の自動応答
- 既存の Logic Apps 実行ブレードで「再送信」ボタンを使用
- Logic Apps エンドポイントを直接呼び出す (本文としてアラート/インシデントを添付する)
並列の For each ループで同じインシデントを更新する
For each ループは既定で並列実行するように設定されていますが、簡単に 順次実行するように設定 できます。 for each ループが同じ Microsoft Sentinel インシデントを別の繰り返しで更新する可能性がある場合は、順次実行するように構成する必要があります。
アラートの元のクエリの復元は、現在 Logic Apps ではサポートされていません
スケジュールされたアラート分析ルールによってキャプチャされたイベントを取得するための Azure Monitor Logs コネクタの使用は、一貫して信頼できるものではありません。
- Azure Monitor Logs は、カスタム時間範囲の定義をサポートしていません。 まったく同じクエリ結果を復元するには、元のクエリとまったく同じ時間範囲を定義する必要があります。
- ルールがプレイブックをトリガーした後、Log Analytics ワークスペースにアラートが表示されるのが遅れる場合があります。
利用可能リソース
Microsoft Sentinel ドキュメント
- プレイブックによる高度な自動化
- チュートリアル: Microsoft Sentinel の自動化ルールでプレイブックを使用する
- Microsoft Sentinel にプレイブックを認証する
- プレイブックでトリガーとアクションを使用する
Microsoft Sentinel の参照
Azure Logic Apps
接続の作成
コネクタは、次の認証タイプをサポートしています:
| 既定 | 接続を作成するためのパラメーター。 | すべての地域 | 共有不可 |
既定
適用できるもの: すべての領域
接続を作成するためのパラメーター。
これは共有可能な接続ではありません。 パワー アプリが別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。
調整制限
| 名前 | 呼び出し | 更新期間 |
|---|---|---|
| 接続ごとの API 呼び出し | 600 | 60 秒 |
アクション
| ASI トリガーの登録を解除 [非推奨] |
サブスクライブ |
| アラート - インシデントを取得 |
選択したアラートに関連付けられているインシデントを返します |
| アラート - インシデントを取得 |
選択したアラートに関連付けられているインシデントを返します |
| インシデントからラベルを削除する (非推奨) [非推奨] |
選択したインシデントからラベルを削除します |
| インシデントから通知を削除する |
既存のインシデントから通知を削除します。 |
| インシデントにコメントを追加 (V2) |
選択したインシデントにコメントを追加 |
| インシデントにコメントを追加 (V3) |
選択したインシデントにコメントを追加 |
| インシデントにコメントを追加する [非推奨] |
このアクションは非推奨になりました。 代わりにインシデントにコメントを追加 (V3) を使用してください。
|
| インシデントにタスクを追加する |
既存のインシデントにタスクを追加する |
| インシデントにラベルを追加する (非推奨) [非推奨] |
選択したインシデントにラベルを追加します |
| インシデントに通知を追加する |
既存のインシデントに通知を追加します。 この通知は、他の通知と同様にインシデントに含まれ、ポータルに表示されます。 |
| インシデントのタイトルを変更する (V2) (非推奨) [非推奨] |
タイトルを選択したインシデントに変更します |
| インシデントのタイトルを変更する [非推奨] |
タイトルを選択したインシデントに変更します |
| インシデントの更新 |
提供されたフィールドでインシデントを更新します |
| インシデントの状態を変更する (非推奨) [非推奨] |
状態を選択したインシデントに変更します |
| インシデントの説明を変更する (V2) (非推奨) [非推奨] |
選択したインシデントに対する説明を変更します |
| インシデントの説明を変更する [非推奨] |
選択したインシデントに対する説明を変更します |
| インシデントの重要度を変更する (非推奨) [非推奨] |
重要度を選択したインシデントに変更します |
| インシデントを作成する |
指定されたフィールドでインシデントを作成する |
| インシデントを取得する |
ARM ID でインシデントを取得する |
| ウォッチリスト - ID (GUID) を指定してウォッチリストの項目を取得する |
ウォッチリスト - ウォッチリスト アイテムを取得する |
| ウォッチリスト - ウォッチリスト アイテムを削除する |
ウォッチリスト - ウォッチリスト アイテムを削除する |
| ウォッチリスト - ウォッチリストを削除する |
ウォッチリスト - ウォッチリストを削除する |
| ウォッチリスト - エイリアスでウォッチリストを取得する |
ウォッチリスト - エイリアスでウォッチリストを取得する |
| ウォッチリスト - データ (生コンテンツ) から新しいウォッチリストを作成する |
ウォッチリスト - データ (生コンテンツ) から新しいウォッチリストを作成する |
| ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する |
ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する |
| ウォッチリスト - 指定のウォッチリストのすべてのアイテムを取得する |
ウォッチリスト - 指定のウォッチリストのすべてのアイテムを取得する |
| ウォッチリスト - 指定のウォッチリストのすべての項目を取得する (V2) |
ウォッチリスト - 指定のウォッチリストのすべての項目を取得する (V2) |
| ウォッチリスト - 新しいウォッチリスト アイテムを追加する |
ウォッチリスト - 新しいウォッチリスト アイテムを追加する |
| ウォッチリスト - 既存のウォッチリスト アイテムを更新する |
ウォッチリスト - 既存のウォッチリスト アイテムを更新する |
| エンティティ - DNS の取得 |
アラートに関連付けられた DNS レコードのリストを返します |
|
エンティティ - File |
アラートに関連付けられているファイル ハッシュのリストを返します |
| エンティティ - IP を取得 |
アラートに関連付けられている IP のリストを返します |
| エンティティ - URL を取得 |
アラートに関連付けられている URL のリストを返します |
| エンティティ - アカウントの取得 |
アラートに関連付けられているアカウントのリストを返します |
| エンティティ - ホストを取得 |
アラートに関連付けられているホストのリストを返します |
| タスクを完了としてマークする |
タスクを完了としてマークする |
| ブックマーク (V2) - 新しいブックマークを作成 (json 入力) (プレビュー) |
ブックマーク (V2) - 有効な新しいブックマーク (JSON) を作成します。 |
| ブックマーク (V3) - 個別のフィールドを持つ新しいブックマークを作成します (プレビュー) |
ブックマーク (V3) - 新しいブックマークを作成します。 |
| ブックマーク - すべてのブックマークを取得 |
ブックマーク - 特定のワークスペースのすべてのブックマークを取得する |
| ブックマーク - ブックマークを削除 |
ブックマーク - ブックマークを削除 |
| ブックマーク - ブックマークを取得 |
ブックマーク - ID でブックマークを取得する |
| ブックマーク - 新規ブックマークを作成 (プレビュー) |
ブックマーク - 新しいブックマークを作成します。 |
| 脅威インテリジェンス - 侵害のインジケーターをアップロードする (廃止) |
脅威インテリジェンス - 侵害のインジケーターをアップロードする |
| 脅威インテリジェンス - 侵害のインジケーターをアップロードするCompromise (V2) (プレビュー) |
脅威インテリジェンス - 侵害のインジケーターをアップロードする |
ASI トリガーの登録を解除 [非推奨]
アラート - インシデントを取得
選択したアラートに関連付けられているインシデントを返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
アラート ID を指定
|
alertId | True | string |
システム通知 ID |
戻り値
Azure Security Insights のインシデントを表します。
- Body
- Incident
アラート - インシデントを取得
選択したアラートに関連付けられているインシデントを返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
アラート ID を指定
|
alertId | True | string |
システム アラート ID |
戻り値
- Body
- OldIncident
インシデントからラベルを削除する (非推奨) [非推奨]
選択したインシデントからラベルを削除します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
label
|
Label | True | string |
label |
戻り値
- 返答
- string
インシデントから通知を削除する
既存のインシデントから通知を削除します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID。 インシデントのトリガーや通知から取得する - インシデント アクションや Azure Monitor ログのクエリを取得します。 |
|
システム通知 ID
|
relatedResourceId | True | string |
インシデントに追加/インシデントから削除されるシステム アラート ID。 Azure Monitor Logs クエリまたはアラート トリガーから取得します。 例: dfc09ba0-c218-038d-2ad8-b198a0033bdb。 |
戻り値
- 返答
- string
インシデントにコメントを追加 (V2)
選択したインシデントにコメントを追加
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
コメントを指定
|
Value | True | string |
コメント値 |
戻り値
- 応答
- string
インシデントにコメントを追加 (V3)
選択したインシデントにコメントを追加
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID |
|
インシデント コメント メッセージ
|
message | True | html |
インシデント コメント メッセージ |
戻り値
インシデント コメント アイテムを表します
- インシデント コメント
- IncidentComment
インシデントにコメントを追加する [非推奨]
このアクションは非推奨になりました。 代わりにインシデントにコメントを追加 (V3) を使用してください。
選択したインシデントにコメントを追加
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
インシデント コメントの指定
|
comment | True | string |
インシデント コメント |
戻り値
- 応答
- string
インシデントにタスクを追加する
既存のインシデントにタスクを追加する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID |
|
肩書き
|
taskTitle | True | string |
タスク タイトル |
|
説明設定
|
taskDescription | html |
タスクの説明 |
戻り値
インシデント タスク項目を表します
- インシデント タスク
- IncidentTask
インシデントにラベルを追加する (非推奨) [非推奨]
選択したインシデントにラベルを追加します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
ラベル
|
Label | True | string |
ラベル |
戻り値
- 応答
- string
インシデントに通知を追加する
既存のインシデントに通知を追加します。 この通知は、他の通知と同様にインシデントに含まれ、ポータルに表示されます。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID。 インシデントのトリガーや通知から取得する - インシデント アクションや Azure Monitor ログのクエリを取得します。 |
|
システム通知 ID
|
relatedResourceId | True | string |
インシデントに追加/インシデントから削除されるシステム アラート ID。 Azure Monitor Logs クエリまたはアラート トリガーから取得します。 例: dfc09ba0-c218-038d-2ad8-b198a0033bdb。 |
戻り値
インシデント関係を表す
- Body
- IncidentRelation
インシデントのタイトルを変更する (V2) (非推奨) [非推奨]
タイトルを選択したインシデントに変更します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
タイトルの指定
|
Value | True | string |
タイトル値 |
戻り値
- 応答
- string
インシデントのタイトルを変更する [非推奨]
タイトルを選択したインシデントに変更します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
タイトルの指定
|
fieldValue | True | string |
タイトル値 |
戻り値
- 応答
- string
インシデントの更新
提供されたフィールドでインシデントを更新します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
更新するインシデント フィールドを指定します
|
body | True | dynamic |
更新するインシデント フィールド |
戻り値
Azure Security Insights のインシデントを表します。
- 本文
- Incident
インシデントの状態を変更する (非推奨) [非推奨]
状態を選択したインシデントに変更します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
ステータスを指定します
|
status | True | string |
状態の値 |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
インシデント状態変更者の動的スキーマ |
戻り値
- 応答
- string
インシデントの説明を変更する (V2) (非推奨) [非推奨]
選択したインシデントに対する説明を変更します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
説明の指定
|
Value | True | string |
説明の値 |
戻り値
- 応答
- string
インシデントの説明を変更する [非推奨]
選択したインシデントに対する説明を変更します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
説明を指定する
|
fieldValue | True | string |
説明の値 |
戻り値
- 応答
- string
インシデントの重要度を変更する (非推奨) [非推奨]
重要度を選択したインシデントに変更します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID を指定
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
リソース グループ |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
識別子
|
identifier | True | string |
インシデント / アラート |
|
アラート / インシデントを指定
|
id | True | string |
インシデント番号 / アラート ID を入力してください |
|
重要度の指定
|
severity | True | string |
重要度の値 |
戻り値
- 応答
- string
インシデントを作成する
指定されたフィールドでインシデントを作成する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション
|
subscriptionId | True | string |
サブスクリプションの選択 |
|
リソース グループ
|
resourceGroup | True | string |
リソース グループの選択 |
|
ワークスペース名
|
workspaceName | True | string |
ワークスペースを選択 |
|
インシデント フィールドを指定する
|
body | True | dynamic |
インシデント フィールド |
戻り値
Azure Security Insights のインシデントを表します。
- 本体
- Incident
インシデントを取得する
ARM ID でインシデントを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
インシデント ARM ID
|
incidentArmId | True | string |
インシデント ARM ID |
戻り値
Azure Security Insights のインシデントを表します。
- Body
- Incident
ウォッチリスト - ID (GUID) を指定してウォッチリストの項目を取得する
ウォッチリスト - ウォッチリスト アイテムを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
Specify watchlist alias
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
ウォッチリスト アイテム ID を指定
|
watchlistItemId | True | string |
ウォッチリスト アイテムの一意識別子 (GUID) |
戻り値
Azure Security Insights の WatchlistItem を表します。
- Body
- WatchlistItem
ウォッチリスト - ウォッチリスト アイテムを削除する
ウォッチリスト - ウォッチリスト アイテムを削除する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
Specify watchlist alias
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
ウォッチリスト アイテム ID を指定
|
watchlistItemId | True | string |
ウォッチリスト アイテムの一意識別子 (GUID) |
戻り値
- 返答
- string
ウォッチリスト - ウォッチリストを削除する
ウォッチリスト - ウォッチリストを削除する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
Specify watchlist alias
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
- 返答
- string
ウォッチリスト - エイリアスでウォッチリストを取得する
ウォッチリスト - エイリアスでウォッチリストを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリスト エイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights のウォッチリストを表します。
- Body
- Watchlist
ウォッチリスト - データ (生コンテンツ) から新しいウォッチリストを作成する
ウォッチリスト - データ (生コンテンツ) から新しいウォッチリストを作成する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリスト エイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights のウォッチリストを表します。
- Body
- Watchlist
ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する
ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリスト エイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights のウォッチリストを表します。
- Body
- Watchlist
ウォッチリスト - 指定のウォッチリストのすべてのアイテムを取得する
ウォッチリスト - 指定のウォッチリストのすべてのアイテムを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
リソース グループの指定
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ウォッチリスト エイリアスを指定する
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
ウォッチリスト アイテムをすべて一覧表示します。
ウォッチリスト - 指定のウォッチリストのすべての項目を取得する (V2)
ウォッチリスト - 指定のウォッチリストのすべての項目を取得する (V2)
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
Specify watchlist alias
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
Skip Token
|
skipToken | string |
次の 100 項目セットのトークンをスキップして戻る |
戻り値
ウォッチリスト アイテムをすべて一覧表示します。
ウォッチリスト - 新しいウォッチリスト アイテムを追加する
ウォッチリスト - 新しいウォッチリスト アイテムを追加する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
Specify watchlist alias
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
戻り値
Azure Security Insights の WatchlistItem を表します。
- Body
- WatchlistItem
ウォッチリスト - 既存のウォッチリスト アイテムを更新する
ウォッチリスト - 既存のウォッチリスト アイテムを更新する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
Specify watchlist alias
|
watchlistAlias | True | string |
ウォッチリスト エイリアス |
|
ウォッチリスト アイテム ID を指定
|
watchlistItemId | True | string |
ウォッチリスト アイテムの一意識別子 (GUID) |
戻り値
Azure Security Insights の WatchlistItem を表します。
- Body
- WatchlistItem
エンティティ - DNS の取得
アラートに関連付けられた DNS レコードのリストを返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティ一覧
|
body | True | string |
エンティティ一覧 |
戻り値
アラートに関連付けられた DNS ドメインのリスト
- Body
- BatchResponseDNS
エンティティ - FileHashes を取得する
アラートに関連付けられているファイル ハッシュのリストを返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティ一覧
|
body | True | string |
エンティティ一覧 |
戻り値
アラートに関連付けられているファイル ハッシュのリスト
エンティティ - IP を取得
アラートに関連付けられている IP のリストを返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティ一覧
|
body | True | string |
エンティティ一覧 |
戻り値
アラートに関連付けられている IP のリスト
- 本文
- BatchResponseIP
エンティティ - URL を取得
アラートに関連付けられている URL のリストを返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティ一覧
|
body | True | string |
エンティティ一覧 |
戻り値
アラートに関連付けられている URL のリスト
- 本文
- BatchResponseUrl
エンティティ - アカウントの取得
アラートに関連付けられているアカウントのリストを返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティ一覧
|
body | True | string |
エンティティ一覧 |
戻り値
アラートに関連付けられているアカウントのリスト
- Body
- BatchResponseAccount
エンティティ - ホストを取得
アラートに関連付けられているホストのリストを返します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティ一覧
|
body | True | string |
エンティティ一覧 |
戻り値
アラートに関連付けられているホストのリスト
- 本文
- BatchResponseHost
タスクを完了としてマークする
タスクを完了としてマークする
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
タスクの ARM ID
|
taskArmId | True | string |
タスクの ARM ID |
戻り値
インシデント タスク項目を表します
- インシデント タスク
- IncidentTask
ブックマーク (V2) - 新しいブックマークを作成 (json 入力) (プレビュー)
ブックマーク (V2) - 有効な新しいブックマーク (JSON) を作成します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマークの表示名
|
displayName | True | string |
ブックマークの表示名 |
|
ブックマーク クエリ
|
bookmarkQuery | True | string |
ブックマーク クエリ (例、 'SecurityEvent | TimeGenerated > ago(1d) かつTimeGenerated < ago(2d) の場合') |
|
ブックマーク クエリ結果
|
bookmarkQueryResult | True | string |
ブックマーク クエリ結果 (例、 'セキュリティ イベント クエリ結果') |
|
ブックマークのメモ
|
bookmarkNotes | string |
ブックマーク メモ (例: 'マイ ブックマーク メモ') |
戻り値
Azure Security Insights のブックマークを表します。
- Body
- Bookmark
ブックマーク (V3) - 個別のフィールドを持つ新しいブックマークを作成します (プレビュー)
ブックマーク (V3) - 新しいブックマークを作成します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマークの表示名を指定する
|
bookmarkName | True | string |
ブックマーク表示名 (例、 'マイブックマーク') |
|
ブックマーク クエリを指定する
|
bookmarkQuery | True | string |
ブックマーク クエリ (例、 'SecurityEvent | TimeGenerated > ago(1d) かつTimeGenerated < ago(2d) の場合') |
|
ブックマーク クエリ結果を指定する
|
bookmarkQueryResult | True | string |
ブックマーク クエリ結果 (例、 'セキュリティ イベント クエリ結果') |
|
ブックマークのメモを指定する
|
bookmarkNotes | True | string |
ブックマーク メモ (例: 'マイ ブックマーク メモ') |
戻り値
Azure Security Insights のブックマークを表します。
- Body
- Bookmark
ブックマーク - すべてのブックマークを取得
ブックマーク - 特定のワークスペースのすべてのブックマークを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマークの数を指定する
|
numberOfBookmarks | True | integer |
返されるブックマークの数です。 0 または負の場合はすべてのブックマークを返します |
戻り値
ブックマークの一覧を取得します。
- Body
- BookmarkList
ブックマーク - ブックマークを削除
ブックマーク - ブックマークを削除
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマーク ID を指定する
|
bookmarkId | True | string |
ブックマークの ID |
戻り値
- 返答
- string
ブックマーク - ブックマークを取得
ブックマーク - ID でブックマークを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマーク ID を指定する
|
bookmarkId | True | string |
ブックマークの ID |
戻り値
Azure Security Insights のブックマークを表します。
- Body
- Bookmark
ブックマーク - 新規ブックマークを作成 (プレビュー)
ブックマーク - 新しいブックマークを作成します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Specify subscription id
|
subscriptionId | True | string |
サブスクリプション ID |
|
Specify resource group
|
resourceGroup | True | string |
Resource group |
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
|
ブックマーク ID を指定する
|
bookmarkId | True | string |
ブックマークの ID |
|
created
|
created | date-time |
ブックマークが作成された時刻 |
|
|
email
|
string |
ユーザーのメール。 |
||
|
名称
|
name | string |
ユーザーの名前。 |
|
|
objectId
|
objectId | uuid |
ユーザーのオブジェクト ID。 |
|
|
displayName
|
displayName | True | string |
ブックマークの表示名 |
|
labels
|
labels | string |
タグ付けとフィルターに使用するラベル。 |
|
|
メモ
|
notes | string |
ブックマークのメモ |
|
|
query
|
query | True | string |
ブックマークのクエリです。 |
|
queryResult
|
queryResult | string |
ブックマークのクエリ結果です。 |
|
|
updated
|
updated | date-time |
ブックマークの最終更新時刻 |
|
|
eventTime
|
eventTime | date-time |
ブックマーク イベントの時刻 |
|
|
queryStartTime
|
queryStartTime | date-time |
クエリの開始時刻 |
|
|
queryEndTime
|
queryEndTime | date-time |
クエリの終了時刻 |
|
|
インシデント ARM ID
|
id | string |
インシデントの完全修飾 ARM ID。 |
|
|
インシデント ARM 名
|
name | string |
インシデントの ARM 名 (GUID) |
|
|
インシデント アラート カウント
|
alertsCount | integer |
インシデント内のアラートの数 |
|
|
インシデント ブックマーク数
|
bookmarksCount | integer |
インシデント内のブックマークの数 |
|
|
インシデント コメント数
|
commentsCount | integer |
インシデントのコメント数 |
|
|
インシデント アラートの製品名
|
alertProductNames | array of string |
インシデント アラートの製品名のリスト |
|
|
プロバイダー インシデント URL
|
providerIncidentUrl | string |
Microsoft 365 Defender ポータルのインシデントへのプロバイダー インシデント URL |
|
|
インシデント戦略
|
Incident Tactics | string |
インシデントに関連付けられている戦略アイテムを表します |
|
|
インシデントの技術
|
techniques | array of string |
インシデントの戦術に関連付けられている技術 |
|
|
インシデントの分類
|
classification | string |
事件が終結した理由 |
|
|
インシデント分類コメント
|
classificationComment | string |
インシデントがクローズされた理由を説明します |
|
|
インシデント分類の理由
|
classificationReason | string |
インシデントがクローズされた分類理由 |
|
|
インシデント作成時間 UTC
|
createdTimeUtc | date-time |
インシデントが作成された時刻 |
|
|
インシデントの説明
|
description | string |
インシデントの説明 |
|
|
インシデントの最初のアクティビティ時間 UTC
|
firstActivityTimeUtc | date-time |
インシデントの最初のアクティビティの時間 |
|
|
インシデント URL
|
incidentUrl | string |
Azure ポータルのインシデントへのディープリンク URL |
|
|
Incident Sentinel ID
|
incidentNumber | integer |
Microsoft Sentinel でインシデントの識別に使用するシーケンス番号。 |
|
|
Incident Last Activity Time UTC
|
lastActivityTimeUtc | date-time |
インシデントの最後のアクティビティの時間 |
|
|
インシデントの重大度
|
severity | string |
インシデントの重大度 |
|
|
インシデント ステータス
|
status | string |
インシデントの状態 |
|
|
インシデント タイトル
|
title | string |
インシデントのタイトル |
|
|
件名
|
labelName | True | string |
タグの名前 |
|
タイプ
|
labelType | string |
タグの種類 |
|
|
インシデントの最終変更時刻 UTC
|
lastModifiedTimeUtc | date-time |
インシデントが最後に更新された時間 |
|
|
メール
|
string |
インシデントが割り当てられているユーザーのメール。 |
||
|
割り当て先
|
assignedTo | string |
インシデントが割り当てられているユーザーの名前。 (assignedTo フィールド) |
|
|
ObjectId
|
objectId | uuid |
インシデントが割り当てられているユーザーのオブジェクト ID。 |
|
|
ユーザー プリンシパル名
|
userPrincipalName | string |
インシデントが割り当てられているユーザーのユーザー プリンシパル名。 |
|
|
インシデント関連の分析ルール ID
|
relatedAnalyticRuleIds | array of string |
インシデントに関連する分析ルールのリソース ID のリスト |
|
|
ID
|
id | string |
コメントの完全修飾 ARM ID。 |
|
|
件名
|
name | string |
コメントの ARM 名 (GUID) |
|
|
properties
|
properties |
インシデント コメント プロパティ JSON を表します。 |
戻り値
Azure Security Insights のブックマークを表します。
- Body
- Bookmark
脅威インテリジェンス - 侵害のインジケーターをアップロードする (廃止)
脅威インテリジェンス - 侵害のインジケーターをアップロードする
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
戻り値
脅威インテリジェンス アップロード インジケーターからの応答。
脅威インテリジェンス - 侵害のインジケーターをアップロードするCompromise (V2) (プレビュー)
脅威インテリジェンス - 侵害のインジケーターをアップロードする
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ワークスペース ID の指定
|
workspaceId | True | string |
ワークスペース ID |
戻り値
脅威インテリジェンス アップロード インジケーターからの応答。
トリガー
| Microsoft Sentinel のインシデント |
Microsoft Sentinel インシデントに対する応答がトリガーされたとき。 このプレイブックは、新しいインシデントが作成、更新されたときに自動化ルールによってトリガーされます。 プレイブックは、アラートやエンティティを含む Microsoft Sentinel インシデントを入力として受け取ります。 |
| Microsoft Sentinel アラート |
Microsoft Sentinel アラートに対する応答がトリガーされたとき。 このプレイブックは、新しいアラートが作成されたときの分析ルールによって、または手動でトリガーされることによってトリガーされます。 プレイブックは、入力としてアラートを受け取ります。 |
| Microsoft Sentinel アラートに対する応答がトリガーされたとき [非推奨] |
Microsoft Sentinel アラートに対する応答がトリガーされたとき。 このプレイブックは、Microsoft Sentinel Real Time を使用するか Azure からトリガーされる必要があります |
| Microsoft Sentinel エンティティ |
Microsoft Sentinel エンティティでプレイブックを実行する |
Microsoft Sentinel のインシデント
Microsoft Sentinel インシデントに対する応答がトリガーされたとき。 このプレイブックは、新しいインシデントが作成、更新されたときに自動化ルールによってトリガーされます。 プレイブックは、アラートやエンティティを含む Microsoft Sentinel インシデントを入力として受け取ります。
戻り値
Microsoft Sentinel アラート
Microsoft Sentinel アラートに対する応答がトリガーされたとき。 このプレイブックは、新しいアラートが作成されたときの分析ルールによって、または手動でトリガーされることによってトリガーされます。 プレイブックは、入力としてアラートを受け取ります。
戻り値
- Body
- Alert
Microsoft Sentinel アラートに対する応答がトリガーされたとき [非推奨]
Microsoft Sentinel アラートに対する応答がトリガーされたとき。 このプレイブックは、Microsoft Sentinel Real Time を使用するか Azure からトリガーされる必要があります
戻り値
- Body
- Alert
Microsoft Sentinel エンティティ
Microsoft Sentinel エンティティでプレイブックを実行する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティ型
|
entityType | True | string |
エンティティ型 |
戻り値
定義
IndicatorValidationErrorsV2
脅威インテリジェンス アップロード インジケーターからの応答。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
脅威インテリジェンス アップロード インジケーターからの応答。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
アラートに関連付けられているアカウントのリスト
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
アラートに関連付けられているアカウントのリスト |
勘定科目
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
件名
|
Name | string |
アカウント名 |
|
NT ドメイン
|
NTDomain | string |
アラート形式で表示される NETBIOS ドメイン名 |
|
DnsDomain
|
DnsDomain | string |
完全修飾ドメイン DNS 名 |
|
UPN サフィックス
|
UPNSuffix | string |
ユーザー プリンシパル名のサフィックス |
|
SID
|
Sid | string |
アカウントのセキュリティ識別子、例 : S-1-5-18 |
|
Microsoft Entra ID のテナント ID
|
AadTenantId | string |
Microsoft Entra ID テナント ID (わかっている場合) |
|
Microsoft Entra ID ユーザー ID
|
AadUserId | string |
Microsoft Entra ID ユーザー ID (わかっている場合) |
|
PUID
|
PUID | string |
Microsoft Entra ID パスポート ユーザー ID (わかっている場合) |
|
ドメインに参加していますか
|
IsDomainJoined | boolean |
これがドメイン アカウントであるかどうかを判断します |
|
ObjectGuid
|
ObjectGuid | string |
objectGUID 属性は、Microsoft Entra ID によって割り当てられた、オブジェクトの一意識別子である単一値の属性です |
BatchResponseUrl
アラートに関連付けられている URL のリスト
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
URL
|
URLs | array of UrlEntity |
アラートに関連付けられている URL のリスト |
UrlEntity
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
URL
|
Url | string |
BatchResponseHost
アラートに関連付けられているホストのリスト
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ホスト
|
Hosts | array of Host |
アラートに関連付けられているホストのリスト |
ホスト
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
DNS ドメイン
|
DnsDomain | string |
このホストが属する DNS ドメイン |
|
NT ドメイン
|
NTDomain | string |
このホストが属する NT ドメイン |
|
ホスト名
|
HostName | string |
ドメイン サフィックスのないホスト名 |
|
NetBiosName
|
NetBiosName | string |
ホスト名 (windows2000 より前) |
|
OMSAgentID
|
OMSAgentID | string |
ホストに OMS エージェントがインストールされている場合は、OMS エージェント ID |
|
OSFamily
|
OSFamily | string |
次のいずれかの値 : Linux、Windows、Android、IOS |
|
OSVersion
|
OSVersion | string |
オペレーティング システムのフリー テキスト表現 |
|
ドメインに参加していますか
|
IsDomainJoined | boolean |
このホストがドメインに属しているかどうかを判別します |
|
AzureID
|
AzureID | string |
わかっている場合は、VM のAzure リソース ID |
BatchResponseIP
アラートに関連付けられている IP のリスト
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
IP
|
IPs | array of IP |
アラートに関連付けられている IP のリスト |
IP
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Address
|
Address | string |
IP アドレス |
BatchResponseDNS
アラートに関連付けられた DNS ドメインのリスト
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
DNS ドメイン
|
Dnsresolutions | array of DNS |
アラートに関連付けられた DNS ドメインのリスト |
DNS
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Domain Name
|
DomainName | string |
アラートに関連付けられた DNS レコードの名前 |
BatchResponseFileHash
アラートに関連付けられているファイル ハッシュのリスト
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
アラートに関連付けられているファイル ハッシュのリスト |
FileHash
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
値
|
Value | string |
ファイル ハッシュ値 |
|
アルゴリズム
|
Algorithm | string |
ファイル ハッシュ アルゴリズム タイプ |
OldIncident
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
プロパティ
|
properties | OldIncidentProperties |
OldIncidentProperties
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ステータス
|
Status | string |
インシデントの状態 |
|
ラベル
|
Labels | array of |
インシデントのラベル |
|
敬称
|
Title | string |
インシデントのタイトル |
|
内容
|
Description | string |
インシデントの説明 |
|
終了時刻 UTC
|
EndTimeUtc | string |
インシデントが終わった時間 |
|
開始時間 UTC
|
StartTimeUtc | string |
インシデントの開始時間 |
|
最終更新時刻 UTC
|
LastUpdatedTimeUtc | string |
インシデントの更新時間 |
|
数
|
CaseNumber | string |
インシデントの数 |
|
時間の作成 UTC
|
CreatedTimeUtc | string |
インシデントが作成された時間 |
|
重要度
|
Severity | string |
インシデントの重大度 |
|
関連するアラート ID
|
RelatedAlertIds | array of |
インシデントの関連するアラート ID |
IncidentAdditionalData
インシデント追加データ プロパティ バッグ。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
インシデント アラート カウント
|
alertsCount | integer |
インシデント内のアラートの数 |
|
インシデント ブックマーク数
|
bookmarksCount | integer |
インシデント内のブックマークの数 |
|
インシデント コメント数
|
commentsCount | integer |
インシデントのコメント数 |
|
インシデント アラートの製品名
|
alertProductNames | array of string |
インシデント アラートの製品名のリスト |
|
プロバイダー インシデント URL
|
providerIncidentUrl | string |
Microsoft 365 Defender ポータルのインシデントへのプロバイダー インシデント URL |
|
インシデント戦略
|
tactics | array of AttackTactic |
インシデントに関連する戦略 |
|
インシデントの技術
|
techniques | array of string |
インシデントの戦術に関連付けられている技術 |
IncidentLabel
インシデント タグを表します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
件名
|
labelName | string |
タグの名前 |
|
タイプ
|
labelType | string |
タグの種類 |
IncidentOwnerInfo
インシデントが割り当てられているユーザーに関する情報
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
電子メール
|
string |
インシデントが割り当てられているユーザーのメール。 |
|
|
割り当て先
|
assignedTo | string |
インシデントが割り当てられているユーザーの名前。 (assignedTo フィールド) |
|
ObjectId
|
objectId | uuid |
インシデントが割り当てられているユーザーのオブジェクト ID。 |
|
ユーザー プリンシパル名
|
userPrincipalName | string |
インシデントが割り当てられているユーザーのユーザー プリンシパル名。 |
AttackTactic
AlertSeverity
HuntingBookmark
ハンティング ブックマーク アイテムを表します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ARM ID
|
id | string |
ブックマークの完全修飾 ARM ID。 |
|
ARM 名
|
name | string |
ブックマークの ARM 名 (GUID) |
|
プロパティ
|
properties | HuntingBookmarkProperties |
HuntingBookmark プロパティ JSON を表します。 |
セキュリティー アラート
セキュリティ アラート アイテムを表します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ARM ID
|
id | string |
アラートの完全修飾 ARM ID。 |
|
ARM 名
|
name | string |
アラートの ARM 名 (GUID) |
|
プロパティ
|
properties | SecurityAlertProperties |
アラート プロパティ JSON を表します。 |
HuntingBookmarkProperties
HuntingBookmark プロパティ JSON を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
表示名
|
displayName | string |
ブックマークの表示名 |
|
作成日
|
created | date-time |
ブックマークの作成時刻 |
|
更新日
|
updated | date-time |
ブックマークの更新時刻 |
|
ユーザー情報によって作成
|
createdBy | CreatedByUserInfo |
UserInfo プロパティ JSON を表します。 |
|
ユーザー情報によって更新
|
updatedBy | UpdatedByUserInfo |
UserInfo プロパティ JSON を表します。 |
|
イベント時間
|
eventTime | date-time |
ブックマークのイベント時間 |
|
メモ
|
notes | string |
ブックマークのメモ |
|
ラベル
|
labels | array of string |
ブックマークのラベル |
|
Query
|
query | string |
ブックマークのクエリ |
|
クエリ結果
|
queryResult | string |
ブックマークのクエリ結果 |
SecurityAlertProperties
アラート プロパティ JSON を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
フレンドリ名
|
friendlyName | string |
グラフ アイテム インスタンスの、人間が読める短い説明であるグラフ アイテムの表示名。 このプロパティはオプションであり、システムによって生成される場合があります。 |
|
表示名
|
alertDisplayName | string |
アラートの表示名 |
|
タイプ
|
alertType | string |
スケジュール アラートでは、これは分析ルール ID です。 |
|
URI
|
alertLink | string |
これは、元のベンダーのアラートへのリンクです。 |
|
侵害されたエンティティ
|
compromisedEntity | string |
報告されているメイン エンティティの表示名。 |
|
信頼レベル
|
confidenceLevel | string |
このアラートの信頼レベル。 |
|
内容
|
description | string |
アラートの説明。 |
|
終了時間 UTC
|
endTimeUtc | date-time |
通知の影響終了時刻 (通知に影響を与えた最後のイベントの時刻)。 |
|
プロバイダー ID
|
providerAlertId | string |
アラートを生成した製品内のアラートの識別子。 |
|
製品名
|
productName | string |
このアラートを発行した製品の名前。 |
|
修復の手順
|
remediationSteps | array of string |
アラートを修正するために実行する手動アクション アイテムのリスト。 |
|
重要度
|
severity | AlertSeverity |
アラートの重大度 |
|
開始時間
|
startTimeUtc | date-time |
通知の影響開始時刻 (通知に影響を与えた最初のイベントの時刻)。 |
|
ステータス
|
status | string |
アラートのライフサイクル ステータス。 |
|
システム ID
|
systemAlertId | string |
製品の通知を表す製品識別子を保持します。 |
|
戦略
|
tactics | array of AttackTactic |
アラート戦略のリスト。 |
|
生成された時間
|
timeGenerated | date-time |
通知が生成された時刻。 |
|
Query
|
additionalData.Query | string |
アラートをトリガーするかどうかを決定するために使用されるクエリ (アラートのスケジュールのみ)。 |
|
クエリ開始時間
|
additionalData.Query Start Time UTC | string |
アラートをトリガーするかどうかを決定するために使用されるクエリの開始時刻 (アラートのスケジュールのみ)。 |
|
クエリ終了時間
|
additionalData.Query End Time UTC | string |
アラートをトリガーするかどうかを決定するために使用されるクエリの開始時刻 (アラートのスケジュールのみ)。 |
|
クエリ演算子
|
additionalData.Trigger Operator | string |
オペレーターは、アラートをトリガーするかどうかを決定するために使用しました (アラートのスケジュールのみ)。 |
|
クエリのしきい値
|
additionalData.Trigger Threshold | string |
アラートをトリガーするかどうかを決定するために使用されるしきい値 (アラートのスケジュールのみ)。 |
|
カスタム詳細
|
additionalData.Custom Details | string |
分析ルールによってアラートに追加されたカスタム イベントの詳細 (スケジュールされたアラートのみ)。 このフィールドを使用するには、「JSON の解析」アクションを実行し、既存のアラートのサンプル ペイロードを使用してスキーマをシミュレートします。 |
|
リソース識別子
|
resourceIdentifiers | array of object |
アラートのリソース識別子 |
|
項目
|
resourceIdentifiers | object |
アラート リソース識別子を表します。 |
インシデント
Azure Security Insights のインシデントを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
インシデント ARM ID
|
id | string |
インシデントの完全修飾 ARM ID。 |
|
インシデント ARM 名
|
name | string |
インシデントの ARM 名 (GUID) |
|
プロパティ
|
properties | IncidentProperties |
インシデント プロパティ JSON を表します。 |
FullIncident
ARM ID でインシデントを取得する
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
インシデント ARM ID
|
id | string |
インシデントの完全修飾 ARM ID。 |
|
インシデント ARM 名
|
name | string |
インシデントの ARM 名 (GUID) |
|
プロパティ
|
properties | FullIncidentProperties |
インシデント プロパティ JSON を表します。 |
IncidentProperties
インシデント プロパティ JSON を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
additionalData
|
additionalData | IncidentAdditionalData |
インシデント追加データ プロパティ バッグ。 |
|
インシデントの分類
|
classification | string |
事件が終結した理由 |
|
インシデント分類コメント
|
classificationComment | string |
インシデントがクローズされた理由を説明します |
|
インシデント分類の理由
|
classificationReason | string |
インシデントがクローズされた分類理由 |
|
インシデント作成時間 UTC
|
createdTimeUtc | date-time |
インシデントが作成された時刻 |
|
インシデントの説明
|
description | string |
インシデントの説明 |
|
インシデントの最初のアクティビティ時間 UTC
|
firstActivityTimeUtc | date-time |
インシデントの最初のアクティビティの時間 |
|
インシデント URL
|
incidentUrl | string |
Azure ポータルのインシデントへのディープリンク URL |
|
Incident Sentinel ID
|
incidentNumber | integer |
Microsoft Sentinel でインシデントの識別に使用するシーケンス番号。 |
|
Incident Last Activity Time UTC
|
lastActivityTimeUtc | date-time |
インシデントの最後のアクティビティの時間 |
|
インシデントの重大度
|
severity | string |
インシデントの重大度 |
|
インシデント ステータス
|
status | string |
インシデントの状態 |
|
インシデント タイトル
|
title | string |
インシデントのタイトル |
|
インシデント タグ
|
labels | array of IncidentLabel |
このインシデントに関連するタグのリスト |
|
インシデントの最終変更時刻 UTC
|
lastModifiedTimeUtc | date-time |
インシデントが最後に更新された時間 |
|
インシデント オーナー
|
owner | IncidentOwnerInfo |
インシデントが割り当てられているユーザーに関する情報 |
|
インシデント関連の分析ルール ID
|
relatedAnalyticRuleIds | array of string |
インシデントに関連する分析ルールのリソース ID のリスト |
|
コメント
|
Comments | array of IncidentComment |
この事件に関するコメントのリスト。 |
FullIncidentProperties
インシデント プロパティ JSON を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
additionalData
|
additionalData | IncidentAdditionalData |
インシデント追加データ プロパティ バッグ。 |
|
インシデントの分類
|
classification | string |
事件が終結した理由 |
|
インシデント分類コメント
|
classificationComment | string |
インシデントがクローズされた理由を説明します |
|
インシデント分類の理由
|
classificationReason | string |
インシデントがクローズされた分類理由 |
|
インシデント作成時間 UTC
|
createdTimeUtc | date-time |
インシデントが作成された時刻 |
|
インシデントの説明
|
description | string |
インシデントの説明 |
|
インシデントの最初のアクティビティ時間 UTC
|
firstActivityTimeUtc | date-time |
インシデントの最初のアクティビティの時間 |
|
インシデント URL
|
incidentUrl | string |
Azure ポータルのインシデントへのディープリンク URL |
|
Incident Sentinel ID
|
incidentNumber | integer |
Microsoft Sentinel でインシデントの識別に使用するシーケンス番号。 |
|
Incident Last Activity Time UTC
|
lastActivityTimeUtc | date-time |
インシデントの最後のアクティビティの時間 |
|
インシデントの重大度
|
severity | string |
インシデントの重大度 |
|
インシデント ステータス
|
status | string |
インシデントの状態 |
|
インシデント タイトル
|
title | string |
インシデントのタイトル |
|
インシデント タグ
|
labels | array of IncidentLabel |
このインシデントに関連するタグのリスト |
|
インシデントの最終変更時刻 UTC
|
lastModifiedTimeUtc | date-time |
インシデントが最後に更新された時間 |
|
インシデント オーナー
|
owner | IncidentOwnerInfo |
インシデントが割り当てられているユーザーに関する情報 |
|
インシデント関連の分析ルール ID
|
relatedAnalyticRuleIds | array of string |
インシデントに関連する分析ルールのリソース ID のリスト |
|
コメント
|
Comments | array of IncidentComment |
この事件に関するコメントのリスト。 |
|
アラート
|
Alerts | array of SecurityAlert |
このインシデントに関連するアラートのリスト。 |
|
ブックマーク
|
Bookmarks | array of HuntingBookmark |
このインシデントに関連するブックマークのリスト。 |
|
エンティティ
|
relatedEntities | string |
インシデントに関連するエンティティのリスト。さまざまなタイプのエンティティを含めることができます |
IncidentEventNotification
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
更新されたフィールド名
|
incidentUpdates.updatedFields | array of string |
インシデントで更新されたフィールドの名前 |
|
時間の更新
|
incidentUpdates.updatedTime | date-time |
インシデントの更新イベントの時刻 |
|
Source
|
incidentUpdates.updatedBy.source | string |
インシデントを更新したアクター: ユーザー、外部アプリケーション、プレイブック、自動化ルール、Microsoft 365 Defender、通知グループ |
|
件名
|
incidentUpdates.updatedBy.name | string |
インシデントを更新したユーザー、アプリケーション、自動化ルール、またはプレイブックの名前 |
|
インシデント通知数
|
incidentUpdates.alerts | array of SecurityAlert |
このインシデントに追加された通知の一覧です。 |
|
インシデント タグ
|
incidentUpdates.labels | array of IncidentLabel |
このインシデントに追加されたタグの一覧 |
|
インシデント コメント数
|
incidentUpdates.comments | array of IncidentComment |
このインシデントに追加されたコメントの一覧です。 |
|
インシデント戦略
|
incidentUpdates.tactics | array of AttackTactic |
インシデントに関連する戦略 |
|
Subscription ID
|
workspaceInfo.SubscriptionId | string |
Microsoft Sentinel ワークスペースのサブスクリプション ID |
|
Resource Group Name
|
workspaceInfo.ResourceGroupName | string |
Microsoft Sentinel ワークスペースのリソース グループ |
|
Workspace Name
|
workspaceInfo.WorkspaceName | string |
Microsoft Sentinel のワークスペース名 |
|
Workspace ID
|
workspaceId | string |
インシデントのワークスペース ID。 |
|
オブジェクト
|
object | FullIncident |
ARM ID でインシデントを取得する |
CreatedByUserInfo
UpdatedByUserInfo
Alert
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
製品名
|
ProductName | string |
このアラートを発行した製品の名前 |
|
アラートの種類
|
AlertType | string |
アラートのタイプ名 |
|
開始時間 (UTC)
|
StartTimeUtc | date-time |
最初の寄与イベントが検出されたときのアラートの開始時刻 |
|
終了時間 (UTC)
|
EndTimeUtc | date-time |
最後の寄与イベントが検出されたときのアラートの終了時間 |
|
生成された時間 (UTC)
|
TimeGenerated | date-time |
アラートが生成された時刻 |
|
重要度
|
Severity | string |
プロバイダーによって報告されたアラートの重大度 |
|
プロバイダー アラート ID
|
ProviderAlertId | string |
プロバイダーによって設定された特定のアラート インスタンスの一意の ID |
|
システム アラート ID
|
SystemAlertId | string |
特定のアラート インスタンスの一意 ID |
|
アラート表示名
|
AlertDisplayName | string |
アラートの表示名 |
|
内容
|
Description | string |
アラートの説明 |
|
エンティティ
|
Entities | string |
アラートに関連するエンティティのリストには、複数のエンティティ タイプを含めることができます |
|
拡張プロパティ
|
ExtendedProperties | string |
ユーザーに表示されるフィールドのリスト |
|
ワークスペース ID
|
WorkspaceId | string |
アラートのワークスペースの ID |
|
リソース グループ
|
WorkspaceResourceGroup | string |
アラートのアラート リソース グループ |
|
サブスクリプション ID
|
WorkspaceSubscriptionId | string |
アラートのサブスクリプションの ID |
|
拡張リンク
|
ExtendedLinks | array of object |
アラートに関連するリンクのリストには、複数のタイプを含めることができます |
IncidentComment
インシデント コメント アイテムを表します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
コメントの完全修飾 ARM ID。 |
|
件名
|
name | string |
コメントの ARM 名 (GUID) |
|
プロパティ
|
properties | IncidentCommentProperties |
インシデント コメント プロパティ JSON を表します。 |
IncidentCommentProperties
IncidentTask
インシデント タスク項目を表します
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
タスクの完全修飾 ARM ID です。 |
|
件名
|
name | string |
タスクの ARM 名 |
|
properties
|
properties | IncidentTaskProperties |
インシデント タスクのプロパティを表します。 |
IncidentTaskProperties
IncidentRelation
インシデント関係を表す
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
インシデント関係の完全修飾 ARM ID。 |
|
件名
|
name | string |
インシデント関係の ARM 名 |
|
properties
|
properties | IncidentRelationProperties |
インシデント関係プロパティの JSON を表します。 |
IncidentRelationProperties
Watchlist
Azure Security Insights のウォッチリストを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
properties
|
properties | WatchlistProperties |
ウォッチリストのプロパティを説明する |
WatchlistProperties
ウォッチリストのプロパティを説明する
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
ウォッチリストの id (GUID) |
|
displayName
|
displayName | string |
ウォッチリストの表示名 |
|
provider
|
provider | string |
ウォッチリストのプロバイダー |
|
source
|
source | string |
ウォッチリストのソース |
|
created
|
created | date-time |
ウォッチリストを作成した時間 |
|
updated
|
updated | date-time |
ウォッチリストを最後に更新した時刻 |
|
createdBy
|
createdBy | UserInfo |
何かアクションを行ったユーザーの情報 |
|
updatedBy
|
updatedBy | UserInfo |
何かアクションを行ったユーザーの情報 |
|
description
|
description | string |
ウォッチリストの説明 |
|
watchlistType
|
watchlistType | string |
ウォッチリストの種類 |
|
watchlistAlias
|
watchlistAlias | string |
ウォッチリストのエイリアス |
|
isDeleted
|
isDeleted | boolean |
ウォッチリストが削除済みかどうかを示すフラグ |
|
labels
|
labels | array of Label |
このウォッチリストに関連するラベルの一覧 |
|
defaultDuration
|
defaultDuration | duration |
ウォッチリストの既定期間 (ISO 8601 期間形式) |
|
tenantId
|
tenantId | string |
ウォッチリストが属する tenantId |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
ヘッダーの前にスキップする csv/tsv コンテンツが含む行数 |
|
rawContent
|
rawContent | string |
作成するウォッチリスト アイテムを表す生コンテンツ。 csv/tsv コンテンツ タイプの場合、エンドポイントによって解析されるのはファイルのコンテンツです |
|
itemsSearchKey
|
itemsSearchKey | string |
検索キーは、他のデータとの結合にウォッチリストを使用するときにクエリのパフォーマンスを最適化するために使用されます。 たとえば、IP アドレスを含む列を指定された SearchKey フィールドとして有効にし、このフィールドをキー フィールドとして使用して IP アドレスで他のイベント データと結合します。 |
|
contentType
|
contentType | string |
生コンテンツのコンテンツ タイプ。 例: text/csv または text/tsv |
|
uploadStatus
|
uploadStatus | string |
ウォッチリストのアップロードのステータ: New、InProgress、または Complete。 注意: ウォッチリストのアップロード ステータスが InProgress と等しい場合、ウォッチリストを削除することはできません |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
ウォッチリスト内のウォッチリスト アイテムの件数 |
WatchlistItemList
WatchlistItem
Azure Security Insights の WatchlistItem を表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
WatchlistItem の完全 ARM ID
|
id | string |
ウォッチリストの項目の完全修飾 ID です。 |
|
WatchlistItem の一意の ID
|
name | string |
WatchlistItem ID (GUID) に対応します |
|
WatchlistItem etag
|
etag | string |
etag (GUID) に対応 |
|
WatchlistItem タイプ
|
type | string |
WatchlistItem タイプに対応します |
|
価値
|
value | object |
ウォッチリスト項目のエンティティ詳細です。 |
ブックマーク
Azure Security Insights のブックマークを表します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
properties
|
properties | BookmarkProperties |
ブックマークのプロパティを記述する |
BookmarkList
ブックマークの一覧を取得します。
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
nextLink
|
nextLink | string |
サポート案件の次のセットを取り込む URL です。 |
|
価値
|
value | array of Bookmark |
ブックマークの配列です。 |
BookmarkProperties
ブックマークのプロパティを記述する
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
created
|
created | date-time |
ブックマークが作成された時刻 |
|
createdBy
|
createdBy | UserInfo |
何かアクションを行ったユーザーの情報 |
|
displayName
|
displayName | string |
ブックマークの表示名 |
|
labels
|
labels | array of Label |
このブックマークに関連するラベルの一覧 |
|
メモ
|
notes | string |
ブックマークのメモ |
|
query
|
query | string |
ブックマークのクエリです。 |
|
queryResult
|
queryResult | string |
ブックマークのクエリ結果です。 |
|
updated
|
updated | date-time |
ブックマークの最終更新時刻 |
|
updatedBy
|
updatedBy | UserInfo |
何かアクションを行ったユーザーの情報 |
|
eventTime
|
eventTime | date-time |
ブックマーク イベントの時刻 |
|
queryStartTime
|
queryStartTime | date-time |
クエリの開始時刻 |
|
queryEndTime
|
queryEndTime | date-time |
クエリの終了時刻 |
|
incidentInfo
|
incidentInfo | Incident |
Azure Security Insights のインシデントを表します。 |
UserInfo
何かアクションを行ったユーザーの情報
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
email
|
string |
ユーザーのメール。 |
|
|
name
|
name | string |
ユーザーの名前。 |
|
objectId
|
objectId | uuid |
ユーザーのオブジェクト ID。 |
Label
string
これは基本的なデータ型 '文字列' です。