Incidents - Create Or Update
Tworzy lub aktualizuje zdarzenie.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01
Parametry identyfikatora URI
Nazwa | W | Wymagane | Typ | Opis |
---|---|---|---|---|
incident
|
path | True |
string |
Identyfikator zdarzenia |
resource
|
path | True |
string |
Nazwa grupy zasobów. W nazwie jest uwzględniana wielkość liter. |
subscription
|
path | True |
string uuid |
Identyfikator subskrypcji docelowej. Wartość musi być identyfikatorem UUID. |
workspace
|
path | True |
string |
Nazwa obszaru roboczego. Regex pattern: |
api-version
|
query | True |
string |
Wersja interfejsu API do użycia dla tej operacji. |
Treść żądania
Nazwa | Wymagane | Typ | Opis |
---|---|---|---|
properties.severity | True |
Ważność zdarzenia |
|
properties.status | True |
Stan zdarzenia |
|
properties.title | True |
string |
Tytuł zdarzenia |
etag |
string |
Etag zasobu platformy Azure |
|
properties.classification |
Przyczyna zamknięcia zdarzenia |
||
properties.classificationComment |
string |
Opisuje przyczynę zamknięcia zdarzenia |
|
properties.classificationReason |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
||
properties.description |
string |
Opis zdarzenia |
|
properties.firstActivityTimeUtc |
string |
Czas pierwszego działania w zdarzeniu |
|
properties.labels |
Lista etykiet związanych z tym zdarzeniem |
||
properties.lastActivityTimeUtc |
string |
Czas ostatniego działania w zdarzeniu |
|
properties.owner |
Opisuje użytkownika, do którego przypisano zdarzenie |
Odpowiedzi
Nazwa | Typ | Opis |
---|---|---|
200 OK |
OK, operacja została pomyślnie ukończona |
|
201 Created |
Utworzone |
|
Other Status Codes |
Odpowiedź na błąd opisująca, dlaczego operacja nie powiodła się. |
Zabezpieczenia
azure_auth
Przepływ OAuth2 usługi Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nazwa | Opis |
---|---|
user_impersonation | personifikacja konta użytkownika |
Przykłady
Creates or updates an incident.
Sample Request
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}
Definicje
Nazwa | Opis |
---|---|
Attack |
Ważność alertów utworzonych przez tę regułę alertu. |
Cloud |
Struktura odpowiedzi na błędy. |
Cloud |
Szczegóły błędu. |
created |
Typ tożsamości, która utworzyła zasób. |
Incident |
Reprezentuje zdarzenie w usłudze Azure Security Insights. |
Incident |
Dodatkowa torba na właściwość danych zdarzeń. |
Incident |
Przyczyna zamknięcia zdarzenia |
Incident |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
Incident |
Reprezentuje etykietę zdarzenia |
Incident |
Typ etykiety |
Incident |
Informacje o użytkowniku, do których przypisano zdarzenie |
Incident |
Ważność zdarzenia |
Incident |
Stan zdarzenia |
Owner |
Typ właściciela, do któremu przypisano zdarzenie. |
system |
Metadane dotyczące tworzenia i ostatniej modyfikacji zasobu. |
AttackTactic
Ważność alertów utworzonych przez tę regułę alertu.
Nazwa | Typ | Opis |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Struktura odpowiedzi na błędy.
Nazwa | Typ | Opis |
---|---|---|
error |
Dane o błędach |
CloudErrorBody
Szczegóły błędu.
Nazwa | Typ | Opis |
---|---|---|
code |
string |
Identyfikator błędu. Kody są niezmienne i mają być używane programowo. |
message |
string |
Komunikat opisujący błąd, który ma być odpowiedni do wyświetlania w interfejsie użytkownika. |
createdByType
Typ tożsamości, która utworzyła zasób.
Nazwa | Typ | Opis |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Reprezentuje zdarzenie w usłudze Azure Security Insights.
Nazwa | Typ | Opis |
---|---|---|
etag |
string |
Etag zasobu platformy Azure |
id |
string |
W pełni kwalifikowany identyfikator zasobu dla zasobu. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
Nazwa zasobu |
properties.additionalData |
Dodatkowe dane dotyczące zdarzenia |
|
properties.classification |
Przyczyna zamknięcia zdarzenia |
|
properties.classificationComment |
string |
Opisuje przyczynę zamknięcia zdarzenia |
properties.classificationReason |
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia |
|
properties.createdTimeUtc |
string |
Czas utworzenia zdarzenia |
properties.description |
string |
Opis zdarzenia |
properties.firstActivityTimeUtc |
string |
Czas pierwszego działania w zdarzeniu |
properties.incidentNumber |
integer |
Liczba sekwencka |
properties.incidentUrl |
string |
Adres URL linku bezpośredniego do zdarzenia w Azure Portal |
properties.labels |
Lista etykiet związanych z tym zdarzeniem |
|
properties.lastActivityTimeUtc |
string |
Czas ostatniego działania w zdarzeniu |
properties.lastModifiedTimeUtc |
string |
Czas ostatniej aktualizacji zdarzenia |
properties.owner |
Opisuje użytkownika, do którego przypisano zdarzenie |
|
properties.providerIncidentId |
string |
Identyfikator zdarzenia przypisany przez dostawcę zdarzeń |
properties.providerName |
string |
Nazwa dostawcy źródłowego, który wygenerował zdarzenie |
properties.relatedAnalyticRuleIds |
string[] |
Lista identyfikatorów zasobów reguł analitycznych związanych ze zdarzeniem |
properties.severity |
Ważność zdarzenia |
|
properties.status |
Stan zdarzenia |
|
properties.title |
string |
Tytuł zdarzenia |
systemData |
Metadane usługi Azure Resource Manager zawierające informacje createdBy i modifiedBy. |
|
type |
string |
Typ zasobu. Np. "Microsoft.Compute/virtualMachines" lub "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Dodatkowa torba na właściwość danych zdarzeń.
Nazwa | Typ | Opis |
---|---|---|
alertProductNames |
string[] |
Lista nazw produktów alertów w zdarzeniu |
alertsCount |
integer |
Liczba alertów w zdarzeniu |
bookmarksCount |
integer |
Liczba zakładek w zdarzeniu |
commentsCount |
integer |
Liczba komentarzy w zdarzeniu |
providerIncidentUrl |
string |
Adres URL zdarzenia dostawcy do zdarzenia w portalu usługi Microsoft 365 Defender |
tactics |
Taktyka skojarzona ze zdarzeniem |
IncidentClassification
Przyczyna zamknięcia zdarzenia
Nazwa | Typ | Opis |
---|---|---|
BenignPositive |
string |
Incydent był łagodny pozytywny |
FalsePositive |
string |
Zdarzenie było fałszywie dodatnie |
TruePositive |
string |
Zdarzenie było prawdziwie dodatnie |
Undetermined |
string |
Klasyfikacja zdarzeń nie została określona |
IncidentClassificationReason
Przyczyna klasyfikacji, z powodu zamknięcia zdarzenia
Nazwa | Typ | Opis |
---|---|---|
InaccurateData |
string |
Przyczyna klasyfikacji była niedokładna |
IncorrectAlertLogic |
string |
Przyczyna klasyfikacji była nieprawidłowa logika alertu |
SuspiciousActivity |
string |
Przyczyna klasyfikacji była podejrzaną aktywnością |
SuspiciousButExpected |
string |
Przyczyna klasyfikacji była podejrzana, ale oczekiwana |
IncidentLabel
Reprezentuje etykietę zdarzenia
Nazwa | Typ | Opis |
---|---|---|
labelName |
string |
Nazwa etykiety |
labelType |
Typ etykiety |
IncidentLabelType
Typ etykiety
Nazwa | Typ | Opis |
---|---|---|
AutoAssigned |
string |
Etykieta automatycznie utworzona przez system |
User |
string |
Etykieta utworzona ręcznie przez użytkownika |
IncidentOwnerInfo
Informacje o użytkowniku, do których przypisano zdarzenie
Nazwa | Typ | Opis |
---|---|---|
assignedTo |
string |
Nazwa użytkownika, do której przypisano zdarzenie. |
string |
Wiadomość e-mail użytkownika, do której przypisano zdarzenie. |
|
objectId |
string |
Identyfikator obiektu użytkownika, do którym przypisano zdarzenie. |
ownerType |
Typ właściciela, do któremu przypisano zdarzenie. |
|
userPrincipalName |
string |
Główna nazwa użytkownika, do której przypisano zdarzenie. |
IncidentSeverity
Ważność zdarzenia
Nazwa | Typ | Opis |
---|---|---|
High |
string |
Wysoka ważność |
Informational |
string |
Ważność informacyjna |
Low |
string |
Niska ważność |
Medium |
string |
Średnia ważność |
IncidentStatus
Stan zdarzenia
Nazwa | Typ | Opis |
---|---|---|
Active |
string |
Aktywne zdarzenie, które jest obsługiwane |
Closed |
string |
Zdarzenie nieaktywne |
New |
string |
Aktywne zdarzenie, które nie jest obecnie obsługiwane |
OwnerType
Typ właściciela, do któremu przypisano zdarzenie.
Nazwa | Typ | Opis |
---|---|---|
Group |
string |
Typ właściciela zdarzenia jest grupą usługi AAD |
Unknown |
string |
Typ właściciela zdarzenia jest nieznany |
User |
string |
Typ właściciela zdarzenia to użytkownik usługi AAD |
systemData
Metadane dotyczące tworzenia i ostatniej modyfikacji zasobu.
Nazwa | Typ | Opis |
---|---|---|
createdAt |
string |
Sygnatura czasowa tworzenia zasobów (UTC). |
createdBy |
string |
Tożsamość, która utworzyła zasób. |
createdByType |
Typ tożsamości, która utworzyła zasób. |
|
lastModifiedAt |
string |
Sygnatura czasowa ostatniej modyfikacji zasobu (UTC) |
lastModifiedBy |
string |
Tożsamość, która ostatnio zmodyfikowała zasób. |
lastModifiedByType |
Typ tożsamości, która ostatnio zmodyfikowała zasób. |