Incidents - List
Hiermee haalt u alle incidenten op.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}URI-parameters
| Name | In | Vereist | Type | Description |
|---|---|---|---|---|
|
resource
|
path | True |
string |
De naam van de resourcegroep. De naam is niet hoofdlettergevoelig. |
|
subscription
|
path | True |
string uuid |
De id van het doelabonnement. De waarde moet een UUID zijn. |
|
workspace
|
path | True |
string |
De naam van de werkruimte. Regex-patroon: |
|
api-version
|
query | True |
string |
De API-versie die voor deze bewerking moet worden gebruikt. |
|
$filter
|
query |
string |
Filtert de resultaten op basis van een Booleaanse voorwaarde. Optioneel. |
|
|
$orderby
|
query |
string |
Hiermee sorteert u de resultaten. Optioneel. |
|
|
$skip
|
query |
string |
Skiptoken wordt alleen gebruikt als een eerdere bewerking een gedeeltelijk resultaat heeft geretourneerd. Als een eerder antwoord een nextLink-element bevat, bevat de waarde van het element nextLink een skiptoken-parameter die een beginpunt aangeeft dat moet worden gebruikt voor volgende aanroepen. Optioneel. |
|
|
$top
|
query |
integer int32 |
Retourneert alleen de eerste n resultaten. Optioneel. |
Antwoorden
| Name | Type | Description |
|---|---|---|
| 200 OK |
OK, de bewerking is voltooid |
|
| Other Status Codes |
Foutreactie waarin wordt beschreven waarom de bewerking is mislukt. |
Beveiliging
azure_auth
Azure Active Directory OAuth2-stroom
Type:
oauth2
Stroom:
implicit
Autorisatie-URL:
https://login.microsoftonline.com/common/oauth2/authorize
Bereiken
| Name | Description |
|---|---|
| user_impersonation | uw gebruikersaccount imiteren |
Voorbeelden
Get all incidents.
Voorbeeldaanvraag
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1
Voorbeeldrespons
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}Definities
| Name | Description |
|---|---|
|
Attack |
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt. |
|
Cloud |
Structuur van foutreacties. |
|
Cloud |
Foutdetails. |
|
created |
Het type identiteit waarmee de resource is gemaakt. |
| Incident |
Vertegenwoordigt een incident in Azure Security Insights. |
|
Incident |
Incident aanvullende gegevenseigenschapsverzameling. |
|
Incident |
De reden waarom het incident is gesloten |
|
Incident |
De classificatiereden waarom het incident is gesloten met |
|
Incident |
Vertegenwoordigt een incidentlabel |
|
Incident |
Het type label |
|
Incident |
Alle incidenten weergeven. |
|
Incident |
Informatie over de gebruiker waaraan een incident is toegewezen |
|
Incident |
De ernst van het incident |
|
Incident |
De status van het incident |
|
Owner |
Het type eigenaar waaraan het incident is toegewezen. |
|
system |
Metagegevens met betrekking tot het maken en laatste wijzigen van de resource. |
AttackTactic
De ernst van waarschuwingen die met deze waarschuwingsregel zijn gemaakt.
| Name | Type | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Structuur van foutreacties.
| Name | Type | Description |
|---|---|---|
| error |
Foutgegevens |
CloudErrorBody
Foutdetails.
| Name | Type | Description |
|---|---|---|
| code |
string |
Een id voor de fout. Codes zijn invariant en zijn bedoeld om programmatisch te worden gebruikt. |
| message |
string |
Een bericht met een beschrijving van de fout, bedoeld om te worden weergegeven in een gebruikersinterface. |
createdByType
Het type identiteit waarmee de resource is gemaakt.
| Name | Type | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
Incident
Vertegenwoordigt een incident in Azure Security Insights.
| Name | Type | Description |
|---|---|---|
| etag |
string |
Etag van de Azure-resource |
| id |
string |
Volledig gekwalificeerde resource-id voor de resource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| name |
string |
De naam van de resource |
| properties.additionalData |
Aanvullende gegevens over het incident |
|
| properties.classification |
De reden waarom het incident is gesloten |
|
| properties.classificationComment |
string |
Beschrijft de reden waarom het incident is gesloten |
| properties.classificationReason |
De classificatiereden waarom het incident is gesloten met |
|
| properties.createdTimeUtc |
string |
Het tijdstip waarop het incident is gemaakt |
| properties.description |
string |
De beschrijving van het incident |
| properties.firstActivityTimeUtc |
string |
Het tijdstip van de eerste activiteit in het incident |
| properties.incidentNumber |
integer |
Een volgnummer |
| properties.incidentUrl |
string |
De dieptekoppelings-URL naar het incident in Azure Portal |
| properties.labels |
Lijst met labels die relevant zijn voor dit incident |
|
| properties.lastActivityTimeUtc |
string |
Het tijdstip van de laatste activiteit in het incident |
| properties.lastModifiedTimeUtc |
string |
De laatste keer dat het incident is bijgewerkt |
| properties.owner |
Beschrijft een gebruiker waaraan het incident is toegewezen |
|
| properties.providerIncidentId |
string |
De incident-id die is toegewezen door de incidentprovider |
| properties.providerName |
string |
De naam van de bronprovider die het incident heeft gegenereerd |
| properties.relatedAnalyticRuleIds |
string[] |
Lijst met resource-id's van analyseregels met betrekking tot het incident |
| properties.severity |
De ernst van het incident |
|
| properties.status |
De status van het incident |
|
| properties.title |
string |
De titel van het incident |
| systemData |
Azure Resource Manager metagegevens met informatie over createdBy en modifiedBy. |
|
| type |
string |
Het type resource. Bijvoorbeeld 'Microsoft.Compute/virtualMachines' of 'Microsoft.Storage/storageAccounts' |
IncidentAdditionalData
Incident aanvullende gegevenseigenschapsverzameling.
| Name | Type | Description |
|---|---|---|
| alertProductNames |
string[] |
Lijst met productnamen van waarschuwingen in het incident |
| alertsCount |
integer |
Het aantal waarschuwingen in het incident |
| bookmarksCount |
integer |
Het aantal bladwijzers in het incident |
| commentsCount |
integer |
Het aantal opmerkingen in het incident |
| providerIncidentUrl |
string |
De url van het providerincident naar het incident in de Microsoft 365 Defender-portal |
| tactics |
De tactieken die zijn gekoppeld aan het incident |
IncidentClassification
De reden waarom het incident is gesloten
| Name | Type | Description |
|---|---|---|
| BenignPositive |
string |
Incident was goedaardig positief |
| FalsePositive |
string |
Incident was fout-positief |
| TruePositive |
string |
Incident was terecht positief |
| Undetermined |
string |
Incidentclassificatie is onbepaald |
IncidentClassificationReason
De classificatiereden waarom het incident is gesloten met
| Name | Type | Description |
|---|---|---|
| InaccurateData |
string |
De classificatiereden was onnauwkeurige gegevens |
| IncorrectAlertLogic |
string |
De classificatiereden was een onjuiste waarschuwingslogica |
| SuspiciousActivity |
string |
De reden van de classificatie was verdachte activiteit |
| SuspiciousButExpected |
string |
Classificatiereden was verdacht, maar verwacht |
IncidentLabel
Vertegenwoordigt een incidentlabel
| Name | Type | Description |
|---|---|---|
| labelName |
string |
De naam van het label |
| labelType |
Het type label |
IncidentLabelType
Het type label
| Name | Type | Description |
|---|---|---|
| AutoAssigned |
string |
Label dat automatisch door het systeem wordt gemaakt |
| User |
string |
Label dat handmatig is gemaakt door een gebruiker |
IncidentList
Alle incidenten weergeven.
| Name | Type | Description |
|---|---|---|
| nextLink |
string |
URL voor het ophalen van de volgende set incidenten. |
| value |
Incident[] |
Matrix van incidenten. |
IncidentOwnerInfo
Informatie over de gebruiker waaraan een incident is toegewezen
| Name | Type | Description |
|---|---|---|
| assignedTo |
string |
De naam van de gebruiker waaraan het incident is toegewezen. |
|
string |
Het e-mailadres van de gebruiker waaraan het incident is toegewezen. |
|
| objectId |
string |
De object-id van de gebruiker waaraan het incident is toegewezen. |
| ownerType |
Het type eigenaar waaraan het incident is toegewezen. |
|
| userPrincipalName |
string |
De user principal name van de gebruiker waaraan het incident is toegewezen. |
IncidentSeverity
De ernst van het incident
| Name | Type | Description |
|---|---|---|
| High |
string |
Hoge ernst |
| Informational |
string |
Informatieve ernst |
| Low |
string |
Lage ernst |
| Medium |
string |
Gemiddelde ernst |
IncidentStatus
De status van het incident
| Name | Type | Description |
|---|---|---|
| Active |
string |
Een actief incident dat wordt verwerkt |
| Closed |
string |
Een niet-actief incident |
| New |
string |
Een actief incident dat momenteel niet wordt verwerkt |
OwnerType
Het type eigenaar waaraan het incident is toegewezen.
| Name | Type | Description |
|---|---|---|
| Group |
string |
Het type eigenaar van het incident is een AAD-groep |
| Unknown |
string |
Het type eigenaar van het incident is onbekend |
| User |
string |
Het type eigenaar van het incident is een AAD-gebruiker |
systemData
Metagegevens met betrekking tot het maken en laatste wijzigen van de resource.
| Name | Type | Description |
|---|---|---|
| createdAt |
string |
Het tijdstempel van het maken van resources (UTC). |
| createdBy |
string |
De identiteit waarmee de resource is gemaakt. |
| createdByType |
Het type identiteit waarmee de resource is gemaakt. |
|
| lastModifiedAt |
string |
De tijdstempel van de laatste wijziging van de resource (UTC) |
| lastModifiedBy |
string |
De identiteit die de resource het laatst heeft gewijzigd. |
| lastModifiedByType |
Het type identiteit dat de resource het laatst heeft gewijzigd. |