Incidents - List
모든 인시던트 가져오기
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}URI 매개 변수
| Name | In(다음 안에) | 필수 | 형식 | Description |
|---|---|---|---|---|
|
resource
|
path | True |
string |
리소스 그룹의 이름. 이름은 대소문자를 구분하지 않습니다. |
|
subscription
|
path | True |
string uuid |
대상 구독의 ID입니다. 값은 UUID여야 합니다. |
|
workspace
|
path | True |
string |
작업 영역의 이름 Regex pattern: |
|
api-version
|
query | True |
string |
이 작업에 사용할 API 버전입니다. |
|
$filter
|
query |
string |
부울 조건에 따라 결과를 필터링합니다. 선택 사항입니다. |
|
|
$orderby
|
query |
string |
결과를 정렬합니다. 선택 사항입니다. |
|
|
$skip
|
query |
string |
Skiptoken은 이전 작업에서 부분 결과를 반환한 경우에만 사용됩니다. 이전 응답에 nextLink 요소가 포함된 경우 nextLink 요소의 값에는 후속 호출에 사용할 시작점을 지정하는 skiptoken 매개 변수가 포함됩니다. 선택 사항입니다. |
|
|
$top
|
query |
integer int32 |
첫 번째 n 결과만 반환합니다. 선택 사항입니다. |
응답
| Name | 형식 | Description |
|---|---|---|
| 200 OK |
확인, 작업이 성공적으로 완료됨 |
|
| Other Status Codes |
작업이 실패한 이유를 설명하는 오류 응답입니다. |
보안
azure_auth
Azure Active Directory OAuth2 Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Name | Description |
|---|---|
| user_impersonation | 사용자 계정 가장 |
예제
Get all incidents.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1
Sample Response
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}정의
| Name | Description |
|---|---|
|
Attack |
이 경고 규칙에서 만든 경고의 심각도입니다. |
|
Cloud |
오류 응답 구조. |
|
Cloud |
오류 세부 정보입니다. |
|
created |
리소스를 만든 ID의 형식입니다. |
| Incident |
Azure Security Insights의 인시던트를 나타냅니다. |
|
Incident |
인시던트 추가 데이터 속성 모음. |
|
Incident |
인시던트가 닫힌 이유 |
|
Incident |
인시던트가 종료된 분류 이유 |
|
Incident |
인시던트 레이블을 나타냅니다. |
|
Incident |
레이블의 형식입니다. |
|
Incident |
모든 인시던트 나열 |
|
Incident |
인시던트가 할당된 사용자에 대한 정보 |
|
Incident |
인시던트의 심각도 |
|
Incident |
인시던트 상태 |
|
Owner |
인시던트가 할당된 소유자의 유형입니다. |
|
system |
리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다. |
AttackTactic
이 경고 규칙에서 만든 경고의 심각도입니다.
| Name | 형식 | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
오류 응답 구조.
| Name | 형식 | Description |
|---|---|---|
| error |
오류 데이터 |
CloudErrorBody
오류 세부 정보입니다.
| Name | 형식 | Description |
|---|---|---|
| code |
string |
오류의 식별자입니다. 코드는 고정이며 프로그래밍 방식으로 사용하기 위한 것입니다. |
| message |
string |
사용자 인터페이스에 표시하기에 적합한 오류를 설명하는 메시지입니다. |
createdByType
리소스를 만든 ID의 형식입니다.
| Name | 형식 | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
Incident
Azure Security Insights의 인시던트를 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| etag |
string |
Azure 리소스의 Etag |
| id |
string |
리소스에 대한 정규화된 리소스 ID입니다. 예 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| name |
string |
리소스의 이름입니다. |
| properties.additionalData |
인시던트에 대한 추가 데이터 |
|
| properties.classification |
인시던트가 닫힌 이유 |
|
| properties.classificationComment |
string |
인시던트가 닫힌 이유를 설명합니다. |
| properties.classificationReason |
인시던트가 종료된 분류 이유 |
|
| properties.createdTimeUtc |
string |
인시던트가 생성된 시간 |
| properties.description |
string |
인시던트에 대한 설명 |
| properties.firstActivityTimeUtc |
string |
인시던트에서 첫 번째 작업의 시간 |
| properties.incidentNumber |
integer |
순차 번호 |
| properties.incidentUrl |
string |
Azure Portal 인시던트에 대한 딥 링크 URL |
| properties.labels |
이 인시던트 관련 레이블 목록 |
|
| properties.lastActivityTimeUtc |
string |
인시던트에서 마지막 작업의 시간 |
| properties.lastModifiedTimeUtc |
string |
인시던트가 마지막으로 업데이트된 시간 |
| properties.owner |
인시던트가 할당된 사용자를 설명합니다. |
|
| properties.providerIncidentId |
string |
인시던트 공급자가 할당한 인시던트 ID |
| properties.providerName |
string |
인시던트 생성 원본 공급자의 이름 |
| properties.relatedAnalyticRuleIds |
string[] |
인시던트 관련 분석 규칙의 리소스 ID 목록 |
| properties.severity |
인시던트의 심각도 |
|
| properties.status |
인시던트 상태 |
|
| properties.title |
string |
인시던트 제목 |
| systemData |
createdBy 및 modifiedBy 정보가 포함된 Azure Resource Manager 메타데이터입니다. |
|
| type |
string |
리소스 형식입니다. 예: "Microsoft.Compute/virtualMachines" 또는 "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
인시던트 추가 데이터 속성 모음.
| Name | 형식 | Description |
|---|---|---|
| alertProductNames |
string[] |
인시던트에 있는 경고의 제품 이름 목록 |
| alertsCount |
integer |
인시던트 경고 수 |
| bookmarksCount |
integer |
인시던트에 있는 책갈피 수 |
| commentsCount |
integer |
인시던트에 대한 댓글 수 |
| providerIncidentUrl |
string |
Microsoft 365 Defender 포털에서 인시던트에 대한 공급자 인시던트 URL |
| tactics |
인시던트 관련 전술 |
IncidentClassification
인시던트가 닫힌 이유
| Name | 형식 | Description |
|---|---|---|
| BenignPositive |
string |
인시던트가 양성이었습니다. |
| FalsePositive |
string |
인시던트가 가양성이었습니다. |
| TruePositive |
string |
인시던트가 참 긍정이었습니다. |
| Undetermined |
string |
인시던트 분류가 결정되지 않았습니다. |
IncidentClassificationReason
인시던트가 종료된 분류 이유
| Name | 형식 | Description |
|---|---|---|
| InaccurateData |
string |
분류 이유가 부정확한 데이터였습니다. |
| IncorrectAlertLogic |
string |
분류 이유가 잘못된 경고 논리였습니다. |
| SuspiciousActivity |
string |
분류 이유가 의심스러운 활동이었습니다. |
| SuspiciousButExpected |
string |
분류 이유가 의심스럽지만 예상됨 |
IncidentLabel
인시던트 레이블을 나타냅니다.
| Name | 형식 | Description |
|---|---|---|
| labelName |
string |
레이블의 이름 |
| labelType |
레이블의 형식입니다. |
IncidentLabelType
레이블의 형식입니다.
| Name | 형식 | Description |
|---|---|---|
| AutoAssigned |
string |
시스템에서 자동으로 만든 레이블 |
| User |
string |
사용자가 수동으로 만든 레이블 |
IncidentList
모든 인시던트 나열
| Name | 형식 | Description |
|---|---|---|
| nextLink |
string |
다음 인시던트 집합을 가져오는 URL입니다. |
| value |
Incident[] |
인시던트 배열입니다. |
IncidentOwnerInfo
인시던트가 할당된 사용자에 대한 정보
| Name | 형식 | Description |
|---|---|---|
| assignedTo |
string |
인시던트가 할당된 사용자의 이름입니다. |
|
string |
인시던트가 할당된 사용자의 이메일입니다. |
|
| objectId |
string |
인시던트가 할당된 사용자의 개체 ID입니다. |
| ownerType |
인시던트가 할당된 소유자의 유형입니다. |
|
| userPrincipalName |
string |
인시던트가 할당된 사용자의 사용자 계정 이름입니다. |
IncidentSeverity
인시던트의 심각도
| Name | 형식 | Description |
|---|---|---|
| High |
string |
높은 심각도 |
| Informational |
string |
정보 심각도 |
| Low |
string |
낮은 심각도 |
| Medium |
string |
중간 심각도 |
IncidentStatus
인시던트 상태
| Name | 형식 | Description |
|---|---|---|
| Active |
string |
처리 중인 활성 인시던트 |
| Closed |
string |
비활성 인시던트 |
| New |
string |
현재 처리되지 않는 활성 인시던트 |
OwnerType
인시던트가 할당된 소유자의 유형입니다.
| Name | 형식 | Description |
|---|---|---|
| Group |
string |
인시던트 소유자 유형이 AAD 그룹입니다. |
| Unknown |
string |
인시던트 소유자 유형을 알 수 없음 |
| User |
string |
인시던트 소유자 유형이 AAD 사용자입니다. |
systemData
리소스 만들기 및 마지막 수정과 관련된 메타데이터입니다.
| Name | 형식 | Description |
|---|---|---|
| createdAt |
string |
UTC(리소스 만들기)의 타임스탬프입니다. |
| createdBy |
string |
리소스를 만든 ID입니다. |
| createdByType |
리소스를 만든 ID의 형식입니다. |
|
| lastModifiedAt |
string |
리소스 마지막 수정의 타임스탬프(UTC) |
| lastModifiedBy |
string |
리소스를 마지막으로 수정한 ID입니다. |
| lastModifiedByType |
리소스를 마지막으로 수정한 ID 유형입니다. |