Delen via

Entities Get Timeline - list

  • Referentie
Service:
Sentinel
API-versie:
2024-01-01-preview

Tijdlijn voor een entiteit.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{entityId}/getTimeline?api-version=2024-01-01-preview

URI-parameters

Name In Vereist Type Description
entityId
 path True

string

entiteits-id
resourceGroupName
 path True

string

minLength: 1
maxLength: 90

De naam van de resourcegroep. De naam is niet hoofdlettergevoelig.
subscriptionId
 path True

string

minLength: 1

De id van het doelabonnement.
workspaceName
 path True

string

minLength: 1
maxLength: 90
pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

De naam van de werkruimte.
api-version
 query True

string

minLength: 1

De API-versie die voor deze bewerking moet worden gebruikt.

Aanvraagbody

Name Vereist Type Description
endTime True

string (date-time)

De einddatum van de tijdlijn, zodat de geretourneerde resultaten vóór deze datum vallen.
startTime True

string (date-time)

De begintijdlijndatum, zodat de geretourneerde resultaten na deze datum vallen.
kinds

EntityTimelineKind[]

Matrix van tijdlijnitemtypen.
numberOfBucket

integer (int32)

Het aantal buckets voor aggregatie van tijdlijnquery's.

Antwoorden

Name Type Description
200 OK

EntityTimelineResponse

OK
Other Status Codes

CloudError

Foutreactie waarin wordt beschreven waarom de bewerking is mislukt.

Beveiliging

azure_auth

Azure Active Directory OAuth2-stroom

Type: oauth2
Stroom: implicit
Autorisatie-URL: https://login.microsoftonline.com/common/oauth2/authorize

Bereiken

Name Description
user_impersonation Uw gebruikersaccount imiteren

Voorbeelden

Entity timeline

Voorbeeldaanvraag

POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1/getTimeline?api-version=2024-01-01-preview

{
  "numberOfBucket": 4,
  "startTime": "2021-09-01T00:00:00.000Z",
  "endTime": "2021-10-01T00:00:00.000Z"
}

Voorbeeldrespons

Statuscode:
200 
{
  "value": [
    {
      "kind": "SecurityAlert",
      "description": "The alert description",
      "azureResourceId": "4467341f-fb73-4f99-a9b3-29473532cf5a_bf7c3a2f-b743-6410-3ff0-ec64b5995d50",
      "productName": "Azure Sentinel",
      "displayName": "Alert display name",
      "severity": "Medium",
      "endTimeUtc": "2021-09-01T23:31:28.02Z",
      "startTimeUtc": "2021-09-01T23:32:28.01Z",
      "timeGenerated": "2021-09-01T23:37:25.8136594Z",
      "alertType": "4467341f-fb73-4f99-a9b3-29473532cf5a_c93bf33e-055e-4972-9e7d-f84fe3fb61ae",
      "Intent": "Discovery"
    },
    {
      "kind": "Activity",
      "queryId": "e0459780-ac9d-4b72-8bd4-fecf6b46a0a1",
      "bucketStartTimeUTC": "2021-09-01T21:31:28.02Z",
      "bucketEndTimeUTC": "2021-09-01T23:31:28.02Z",
      "firstActivityTimeUTC": "2021-09-01T21:35:28.02Z",
      "lastActivityTimeUTC": "2021-09-01T21:35:28.02Z",
      "content": "he user has deleted the account 3 time(s)",
      "title": "The user has deleted an account"
    },
    {
      "kind": "Anomaly",
      "azureResourceId": "4467341f-fb73-4f99-a9b3-29473532cf5a_d56430ef-f421-2c9c-0b7d-d082285843c6",
      "description": "Anomalous private to public port scanning activity with high destination port count along with low port ratio. The ratios are normalized by multiplying them by 10,000 to get them to a more usable value between 0.0 and 1.0.",
      "productName": "Azure Sentinel",
      "displayName": "(Preview) Anomalous scanning activity",
      "endTimeUtc": "2021-09-01T23:31:28.02Z",
      "startTimeUtc": "2021-09-01T23:32:28.01Z",
      "timeGenerated": "2021-09-01T23:37:25.8136594Z",
      "vendor": "Microsoft",
      "intent": "Discovery",
      "techniques": [
        "T1046"
      ],
      "reasons": [
        "High destination port count",
        "Low port ratio"
      ]
    }
  ],
  "metaData": {
    "totalCount": 6,
    "aggregations": [
      {
        "count": 4,
        "kind": "Activity"
      },
      {
        "count": 2,
        "kind": "SecurityAlert"
      },
      {
        "count": 1,
        "kind": "Anomaly"
      }
    ],
    "errors": [
      {
        "kind": "Activity",
        "queryId": "11067f9f-d6a7-4488-887f-0ba564268879",
        "errorMessage": "syntax error"
      },
      {
        "kind": "SecurityAlert",
        "errorMessage": "internal server error"
      }
    ]
  }
}

Definities

Name Description
ActivityTimelineItem

Vertegenwoordigt het item Activiteitstijdlijn.
AlertSeverity

De ernst van de waarschuwing.
AnomalyTimelineItem

Vertegenwoordigt anomalietijdlijnitem.
BookmarkTimelineItem

Vertegenwoordigt tijdlijnitem voor bladwijzers.
CloudError

Structuur van foutreacties.
CloudErrorBody

Foutdetails.
EntityTimelineKind

Het type entiteitsquery
EntityTimelineParameters

De parameters die nodig zijn om de tijdlijnbewerking uit te voeren op de opgegeven entiteit.
EntityTimelineResponse

Het resultaatbewerkingsantwoord voor de entiteitstijdlijn.
KillChainIntent

De intentie van de waarschuwing.
SecurityAlertTimelineItem

Vertegenwoordigt tijdlijnitem voor beveiligingswaarschuwingen.
TimelineAggregation

tijdlijnaggregatiegegevens per soort
TimelineError

Tijdlijnqueryfouten.
TimelineResultsMetadata

Metagegevens van uitbreidingsresultaat.
UserInfo

Gebruikersgegevens die actie hebben ondernomen

ActivityTimelineItem

Object

Vertegenwoordigt het item Activiteitstijdlijn.

Name Type Description
bucketEndTimeUTC

string (date-time)

De eindtijd van de groeperingsbucket.
bucketStartTimeUTC

string (date-time)

De begintijd van de groeperingsbucket.
content

string

De inhoud van de activiteitstijdlijn.
firstActivityTimeUTC

string (date-time)

De tijd van de eerste activiteit in de groepeerbucket.
kind string:

Activity

Het type entiteitsquery.
lastActivityTimeUTC

string (date-time)

De tijd van de laatste activiteit in de groepeerbucket.
queryId

string

De activiteitsquery-id.
title

string

De titel van de activiteitstijdlijn.

AlertSeverity

Inventarisatie

De ernst van de waarschuwing.

Waarde Description
High

Hoge ernst
Informational

Ernst van informatie
Low

Lage ernst
Medium

Gemiddelde ernst

AnomalyTimelineItem

Object

Vertegenwoordigt anomalietijdlijnitem.

Name Type Description
azureResourceId

string

De anomalie-azure-resource-id.
description

string

De anomaliebeschrijving.
displayName

string

De anomalienaam.
endTimeUtc

string (date-time)

De afwijkingseindtijd.
intent

string

De intentie van de anomalie.
kind string:

Anomaly

Het type entiteitsquery.
productName

string

De naam van het anomalieproduct.
reasons

string[]

De redenen die de anomalie veroorzaken.
startTimeUtc

string (date-time)

De afwijkende begintijd.
techniques

string[]

De technieken van de anomalie.
timeGenerated

string (date-time)

De anomalie gegenereerde tijd.
vendor

string

De naam van de anomalieleverancier.

BookmarkTimelineItem

Object

Vertegenwoordigt tijdlijnitem voor bladwijzers.

Name Type Description
azureResourceId

string

De azure-resource-id van de bladwijzer.
createdBy

UserInfo

Beschrijft een gebruiker die de bladwijzer heeft gemaakt
displayName

string

De weergavenaam van de bladwijzer.
endTimeUtc

string (date-time)

De eindtijd van de bladwijzer.
eventTime

string (date-time)

De gebeurtenistijd van de bladwijzer.
kind string:

Bookmark

Het type entiteitsquery.
labels

string[]

Lijst met labels die relevant zijn voor deze bladwijzer
notes

string

De notities van de bladwijzer
startTimeUtc

string (date-time)

De begintijd van de bladwijzer.

CloudError

Object

Structuur van foutreacties.

Name Type Description
error

CloudErrorBody

Foutgegevens

CloudErrorBody

Object

Foutdetails.

Name Type Description
code

string

Een id voor de fout. Codes zijn invariant en zijn bedoeld om programmatisch te worden gebruikt.
message

string

Een bericht met een beschrijving van de fout, bedoeld om te worden weergegeven in een gebruikersinterface.

EntityTimelineKind

Inventarisatie

Het type entiteitsquery

Waarde Description
Activity

activiteit
Anomaly

anomalie
Bookmark

Bladwijzers
SecurityAlert

beveiligingswaarschuwingen

EntityTimelineParameters

Object

De parameters die nodig zijn om de tijdlijnbewerking uit te voeren op de opgegeven entiteit.

Name Type Description
endTime

string (date-time)

De einddatum van de tijdlijn, zodat de geretourneerde resultaten vóór deze datum vallen.
kinds

EntityTimelineKind[]

Matrix van tijdlijnitemtypen.
numberOfBucket

integer (int32)

Het aantal buckets voor aggregatie van tijdlijnquery's.
startTime

string (date-time)

De begintijdlijndatum, zodat de geretourneerde resultaten na deze datum vallen.

EntityTimelineResponse

Object

Het resultaatbewerkingsantwoord voor de entiteitstijdlijn.

Name Type Description
metaData

TimelineResultsMetadata

De metagegevens uit de resultaten van de tijdlijnbewerking.
value EntityTimelineItem[]:

De resultaatwaarden van de tijdlijn.

KillChainIntent

Inventarisatie

De intentie van de waarschuwing.

Waarde Description
Collection

Verzameling bestaat uit technieken die worden gebruikt voor het identificeren en verzamelen van informatie, zoals gevoelige bestanden, van een doelnetwerk vóór exfiltratie. Deze categorie omvat ook locaties in een systeem of netwerk waar de kwaadwillende persoon kan zoeken naar informatie om te exfiltreren.
CommandAndControl

De opdracht- en controletactiek geeft aan hoe kwaadwillende personen communiceren met systemen die onder hun controle vallen binnen een doelnetwerk.
CredentialAccess

Referentietoegang vertegenwoordigt technieken die leiden tot toegang tot of controle over systeem-, domein- of servicereferenties die worden gebruikt in een bedrijfsomgeving. Kwaadwillende personen proberen waarschijnlijk legitieme referenties te verkrijgen van gebruikers- of beheerdersaccounts (lokale systeembeheerder of domeingebruikers met beheerderstoegang) voor gebruik in het netwerk. Met voldoende toegang binnen een netwerk kan een kwaadwillende persoon accounts maken voor later gebruik binnen de omgeving.
DefenseEvasion

Verdedigingsontduiking bestaat uit technieken die een kwaadwillende persoon kan gebruiken om detectie te omzeilen of andere verdediging te voorkomen. Soms zijn deze acties hetzelfde als of variaties van technieken in andere categorieën die het extra voordeel hebben van het afkeren van een bepaalde verdediging of beperking.
Discovery

Detectie bestaat uit technieken waarmee de kwaadwillende persoon kennis kan krijgen over het systeem en het interne netwerk. Wanneer kwaadwillenden toegang krijgen tot een nieuw systeem, moeten ze zelf navigeren naar waar ze nu controle over hebben en welke voordelen het gebruik van dat systeem bieden aan hun huidige doelstelling of algemene doelen tijdens de inbraak. Het besturingssysteem biedt veel systeemeigen hulpprogramma's die helpen in deze fase voor het verzamelen van informatie na inbreuk.
Execution

De uitvoeringstactiek vertegenwoordigt technieken die resulteren in de uitvoering van door aanvallers beheerde code op een lokaal of extern systeem. Deze tactiek wordt vaak gebruikt in combinatie met zijdelingse bewegingen om de toegang tot externe systemen in een netwerk uit te breiden.
Exfiltration

Exfiltratie verwijst naar technieken en kenmerken die resulteren in of helpen bij het verwijderen van bestanden en informatie uit een doelnetwerk. Deze categorie omvat ook locaties in een systeem of netwerk waar de kwaadwillende persoon kan zoeken naar informatie om te exfiltreren.
Exploitation

Exploitatie is de fase waarin een aanvaller voet aan de slag kan gaan met de aangevallen resource. Deze fase is niet alleen van toepassing op rekenhosts, maar ook voor resources zoals gebruikersaccounts, certificaten, enzovoort. Aanvallers kunnen na deze fase vaak de resource beheren.
Impact

Het primaire doel van de impact is het rechtstreeks verminderen van de beschikbaarheid of integriteit van een systeem, service of netwerk; inclusief manipulatie van gegevens die van invloed zijn op een bedrijf of operationeel proces. Dit zou vaak verwijzen naar technieken zoals losgeld-ware, defacement, gegevensmanipulatie en andere.
LateralMovement

Laterale beweging bestaat uit technieken waarmee een kwaadwillende persoon externe systemen op een netwerk kan openen en beheren en kan, maar niet noodzakelijkerwijs, uitvoering van hulpprogramma's op externe systemen omvatten. De laterale verplaatsingstechnieken kunnen een kwaadwillende persoon in staat stellen informatie van een systeem te verzamelen zonder extra hulpprogramma's nodig te hebben, zoals een hulpprogramma voor externe toegang. Een kwaadwillende persoon kan zijdelingse verplaatsing gebruiken voor veel doeleinden, waaronder het uitvoeren van hulpprogramma's op afstand, het draaien naar extra systemen, toegang tot specifieke informatie of bestanden, toegang tot aanvullende referenties of om een effect te veroorzaken.
Persistence

Persistentie is elke wijziging van toegang, actie of configuratie in een systeem dat een aanvaller een permanente aanwezigheid op dat systeem geeft. Kwaadwillende personen moeten vaak de toegang tot systemen behouden door onderbrekingen, zoals het opnieuw opstarten van het systeem, het verlies van referenties of andere fouten waarvoor een hulpprogramma voor externe toegang nodig is om opnieuw op te starten of een alternatieve backdoor om weer toegang te krijgen.
PrivilegeEscalation

Escalatie van bevoegdheden is het resultaat van acties waarmee een kwaadwillende persoon een hoger machtigingsniveau voor een systeem of netwerk kan verkrijgen. Bepaalde hulpprogramma's of acties vereisen een hoger bevoegdheidsniveau om te werken en zijn waarschijnlijk op veel punten in een bewerking nodig. Gebruikersaccounts met machtigingen voor toegang tot specifieke systemen of het uitvoeren van specifieke functies die nodig zijn voor kwaadwillende personen om hun doelstelling te bereiken, kunnen ook worden beschouwd als een escalatie van bevoegdheden.
Probing

Testen kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht een kwaadwillende bedoeling of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen voorafgaand aan exploitatie. Deze stap wordt meestal gedetecteerd als een poging die afkomstig is van buiten het netwerk om het doelsysteem te scannen en een manier te vinden.
Unknown

De standaardwaarde.

SecurityAlertTimelineItem

Object

Vertegenwoordigt tijdlijnitem voor beveiligingswaarschuwingen.

Name Type Description
alertType

string

De naam van het waarschuwingstype.
azureResourceId

string

De azure-resource-id van de waarschuwing.
description

string

De beschrijving van de waarschuwing.
displayName

string

De naam van de waarschuwing.
endTimeUtc

string (date-time)

De eindtijd van de waarschuwing.
intent

KillChainIntent

De intentie van de waarschuwing.
kind string:

SecurityAlert

Het type entiteitsquery.
productName

string

De productnaam van de waarschuwing.
severity

AlertSeverity

De ernst van de waarschuwing.
startTimeUtc

string (date-time)

De begintijd van de waarschuwing.
techniques

string[]

De technieken van de waarschuwing.
timeGenerated

string (date-time)

De gegenereerde tijd van de waarschuwing.

TimelineAggregation

Object

tijdlijnaggregatiegegevens per soort

Name Type Description
count

integer (int32)

het totale aantal gevonden items voor een soort
kind

EntityTimelineKind

het type query

TimelineError

Object

Tijdlijnqueryfouten.

Name Type Description
errorMessage

string

het foutbericht
kind

EntityTimelineKind

het type query
queryId

string

de query-id

TimelineResultsMetadata

Object

Metagegevens van uitbreidingsresultaat.

Name Type Description
aggregations

TimelineAggregation[]

tijdlijnaggregatie per soort
errors

TimelineError[]

informatie over de foutquery's
totalCount

integer (int32)

het totale aantal gevonden items voor de tijdlijnaanvraag

UserInfo

Object

Gebruikersgegevens die actie hebben ondernomen

Name Type Description
email

string

Het e-mailadres van de gebruiker.
name

string

De naam van de gebruiker.
objectId

string (uuid)

De object-id van de gebruiker.