Entities Get Timeline - list
Linha do tempo para uma entidade.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{entityId}/getTimeline?api-version=2025-04-01-previewParâmetros de URI
| Nome | Em | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
entity
|
path | True |
string |
ID da entidade |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
O nome do grupo de recursos. O nome não diferencia maiúsculas de minúsculas. |
|
subscription
|
path | True |
string (uuid) |
A ID da assinatura de destino. O valor deve ser uma UUID. |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
O nome do espaço de trabalho. |
|
api-version
|
query | True |
string minLength: 1 |
A versão da API a ser usada para esta operação. |
Corpo da solicitação
| Nome | Obrigatório | Tipo | Description |
|---|---|---|---|
| endTime | True |
string (date-time) |
A data da linha do tempo final, portanto, os resultados retornados são anteriores a esta data. |
| startTime | True |
string (date-time) |
A data de início da linha do tempo, portanto, os resultados retornados são após essa data. |
| kinds |
Matriz de tipos de item da linha do tempo. |
||
| numberOfBucket |
integer (int32) |
O número de bucket para agregação de consultas de linha do tempo. |
Respostas
| Nome | Tipo | Description |
|---|---|---|
| 200 OK |
OKEY |
|
| Other Status Codes |
Resposta de erro que descreve por que a operação falhou. |
Segurança
azure_auth
Fluxo OAuth2 do Azure Active Directory
Tipo:
oauth2
Flow:
implicit
URL de Autorização:
https://login.microsoftonline.com/common/oauth2/authorize
Escopos
| Nome | Description |
|---|---|
| user_impersonation | representar sua conta de usuário |
Exemplos
Entity timeline
Solicitação de exemplo
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entities/e1d3d618-e11f-478b-98e3-bb381539a8e1/getTimeline?api-version=2025-04-01-preview
{
"numberOfBucket": 4,
"startTime": "2021-09-01T00:00:00.000Z",
"endTime": "2021-10-01T00:00:00.000Z"
}
Resposta de exemplo
{
"value": [
{
"kind": "SecurityAlert",
"description": "The alert description",
"azureResourceId": "4467341f-fb73-4f99-a9b3-29473532cf5a_bf7c3a2f-b743-6410-3ff0-ec64b5995d50",
"productName": "Azure Sentinel",
"displayName": "Alert display name",
"severity": "Medium",
"endTimeUtc": "2021-09-01T23:31:28.02Z",
"startTimeUtc": "2021-09-01T23:32:28.01Z",
"timeGenerated": "2021-09-01T23:37:25.8136594Z",
"alertType": "4467341f-fb73-4f99-a9b3-29473532cf5a_c93bf33e-055e-4972-9e7d-f84fe3fb61ae",
"Intent": "Discovery"
},
{
"kind": "Activity",
"queryId": "e0459780-ac9d-4b72-8bd4-fecf6b46a0a1",
"bucketStartTimeUTC": "2021-09-01T21:31:28.02Z",
"bucketEndTimeUTC": "2021-09-01T23:31:28.02Z",
"firstActivityTimeUTC": "2021-09-01T21:35:28.02Z",
"lastActivityTimeUTC": "2021-09-01T21:35:28.02Z",
"content": "he user has deleted the account 3 time(s)",
"title": "The user has deleted an account"
},
{
"kind": "Anomaly",
"azureResourceId": "4467341f-fb73-4f99-a9b3-29473532cf5a_d56430ef-f421-2c9c-0b7d-d082285843c6",
"description": "Anomalous private to public port scanning activity with high destination port count along with low port ratio. The ratios are normalized by multiplying them by 10,000 to get them to a more usable value between 0.0 and 1.0.",
"productName": "Azure Sentinel",
"displayName": "(Preview) Anomalous scanning activity",
"endTimeUtc": "2021-09-01T23:31:28.02Z",
"startTimeUtc": "2021-09-01T23:32:28.01Z",
"timeGenerated": "2021-09-01T23:37:25.8136594Z",
"vendor": "Microsoft",
"intent": "Discovery",
"techniques": [
"T1046"
],
"reasons": [
"High destination port count",
"Low port ratio"
]
}
],
"metaData": {
"totalCount": 6,
"aggregations": [
{
"count": 4,
"kind": "Activity"
},
{
"count": 2,
"kind": "SecurityAlert"
},
{
"count": 1,
"kind": "Anomaly"
}
],
"errors": [
{
"kind": "Activity",
"queryId": "11067f9f-d6a7-4488-887f-0ba564268879",
"errorMessage": "syntax error"
},
{
"kind": "SecurityAlert",
"errorMessage": "internal server error"
}
]
}
}Definições
| Nome | Description |
|---|---|
|
Activity |
Representa o item da linha do tempo da atividade. |
|
Alert |
A gravidade do alerta. |
|
Anomaly |
Representa o item da linha do tempo de anomalias. |
|
Bookmark |
Representa o item da linha do tempo do indicador. |
|
Cloud |
Estrutura de resposta de erro. |
|
Cloud |
Detalhes do erro. |
|
Entity |
O tipo de consulta de entidade |
|
Entity |
Os parâmetros necessários para executar a operação da linha do tempo na entidade fornecida. |
|
Entity |
A resposta da operação de resultado da linha do tempo da entidade. |
|
Kill |
A intenção do alerta. |
|
Security |
Representa o item da linha do tempo do alerta de segurança. |
|
Timeline |
informações de agregação de linha do tempo por tipo |
|
Timeline |
Erros de consulta da linha do tempo. |
|
Timeline |
Metadados de resultado de expansão. |
|
User |
Informações do usuário que fizeram alguma ação |
ActivityTimelineItem
Representa o item da linha do tempo da atividade.
| Nome | Tipo | Description |
|---|---|---|
| bucketEndTimeUTC |
string (date-time) |
A hora de término do bucket de agrupamento. |
| bucketStartTimeUTC |
string (date-time) |
A hora de início do bucket de agrupamento. |
| content |
string |
O conteúdo da linha do tempo da atividade. |
| firstActivityTimeUTC |
string (date-time) |
A hora da primeira atividade no bucket de agrupamento. |
| kind |
string:
Activity |
O tipo de tipo de consulta de entidade. |
| lastActivityTimeUTC |
string (date-time) |
A hora da última atividade no bucket de agrupamento. |
| queryId |
string |
A ID da consulta de atividade. |
| title |
string |
O título da linha do tempo da atividade. |
AlertSeverity
A gravidade do alerta.
| Valor | Description |
|---|---|
| High |
Alta gravidade |
| Informational |
Severidade informativa |
| Low |
Baixa gravidade |
| Medium |
Gravidade média |
AnomalyTimelineItem
Representa o item da linha do tempo de anomalias.
| Nome | Tipo | Description |
|---|---|---|
| azureResourceId |
string |
A ID de recurso do Azure de anomalias. |
| description |
string |
A descrição da anomalia. |
| displayName |
string |
O nome da anomalia. |
| endTimeUtc |
string (date-time) |
A hora de término da anomalia. |
| intent |
string |
A intenção da anomalia. |
| kind |
string:
Anomaly |
O tipo de tipo de consulta de entidade. |
| productName |
string |
O nome do produto de anomalias. |
| reasons |
string[] |
As razões que causam a anomalia. |
| startTimeUtc |
string (date-time) |
A hora de início da anomalia. |
| techniques |
string[] |
As técnicas da anomalia. |
| timeGenerated |
string (date-time) |
O tempo gerado pela anomalia. |
| vendor |
string |
O nome do fornecedor de anomalias. |
BookmarkTimelineItem
Representa o item da linha do tempo do indicador.
| Nome | Tipo | Description |
|---|---|---|
| azureResourceId |
string |
A ID do recurso do azure do indicador. |
| createdBy |
Descreve um usuário que criou o indicador |
|
| displayName |
string |
O nome de exibição do indicador. |
| endTimeUtc |
string (date-time) |
A hora de término do indicador. |
| eventTime |
string (date-time) |
A hora do evento do indicador. |
| kind |
string:
Bookmark |
O tipo de tipo de consulta de entidade. |
| labels |
string[] |
Lista de rótulos relevantes para este indicador |
| notes |
string |
As anotações do indicador |
| startTimeUtc |
string (date-time) |
A hora de início do indicador. |
CloudError
Estrutura de resposta de erro.
| Nome | Tipo | Description |
|---|---|---|
| error |
Dados de erro |
CloudErrorBody
Detalhes do erro.
| Nome | Tipo | Description |
|---|---|---|
| code |
string |
Um identificador para o erro. Os códigos são invariáveis e devem ser consumidos programaticamente. |
| message |
string |
Uma mensagem que descreve o erro, destinada a ser adequada para exibição em uma interface do usuário. |
EntityTimelineKind
O tipo de consulta de entidade
| Valor | Description |
|---|---|
| Activity |
atividade |
| Anomaly |
anomalia |
| Bookmark |
favoritos |
| SecurityAlert |
alertas de segurança |
EntityTimelineParameters
Os parâmetros necessários para executar a operação da linha do tempo na entidade fornecida.
| Nome | Tipo | Description |
|---|---|---|
| endTime |
string (date-time) |
A data da linha do tempo final, portanto, os resultados retornados são anteriores a esta data. |
| kinds |
Matriz de tipos de item da linha do tempo. |
|
| numberOfBucket |
integer (int32) |
O número de bucket para agregação de consultas de linha do tempo. |
| startTime |
string (date-time) |
A data de início da linha do tempo, portanto, os resultados retornados são após essa data. |
EntityTimelineResponse
A resposta da operação de resultado da linha do tempo da entidade.
| Nome | Tipo | Description |
|---|---|---|
| metaData |
Os metadados dos resultados da operação da linha do tempo. |
|
| value | EntityTimelineItem[]: |
Os valores de resultado da linha do tempo. |
KillChainIntent
A intenção do alerta.
| Valor | Description |
|---|---|
| Collection |
A coleção consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração. Essa categoria também abrange locais em um sistema ou rede em que o adversário pode procurar informações para exfiltrar. |
| CommandAndControl |
A tática de comando e controle representa como os adversários se comunicam com sistemas sob seu controle dentro de uma rede de destino. |
| CredentialAccess |
O acesso à credencial representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço que são usadas em um ambiente empresarial. Os adversários provavelmente tentarão obter credenciais legítimas de usuários ou contas de administrador (administrador do sistema local ou usuários de domínio com acesso de administrador) para usar na rede. Com acesso suficiente em uma rede, um adversário pode criar contas para uso posterior dentro do ambiente. |
| DefenseEvasion |
A evasão de defesa consiste em técnicas que um adversário pode usar para evitar a detecção ou evitar outras defesas. Às vezes, essas ações são iguais ou variações de técnicas em outras categorias que têm o benefício adicional de subverter uma defesa ou mitigação específica. |
| Discovery |
A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna. Quando os adversários obtêm acesso a um novo sistema, eles devem navegar até o que agora têm controle e quais benefícios operando desse sistema dão ao seu objetivo atual ou metas gerais durante a intrusão. O sistema operacional fornece muitas ferramentas nativas que ajudam nessa fase de coleta de informações pós-comprometimento. |
| Execution |
A tática de execução representa técnicas que resultam na execução de código controlado pelo adversário em um sistema local ou remoto. Essa tática geralmente é usada em conjunto com a movimentação lateral para expandir o acesso a sistemas remotos em uma rede. |
| Exfiltration |
Exfiltração refere-se a técnicas e atributos que resultam ou ajudam o adversário a remover arquivos e informações de uma rede de destino. Essa categoria também abrange locais em um sistema ou rede em que o adversário pode procurar informações para exfiltrar. |
| Exploitation |
A exploração é o estágio em que um invasor consegue se basear no recurso atacado. Esse estágio é aplicável não apenas para hosts de computação, mas também para recursos como contas de usuário, certificados etc. Os adversários geralmente poderão controlar o recurso após esse estágio. |
| Impact |
O objetivo principal da intenção de impacto é reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo operacional ou comercial. Isso geralmente se refere a técnicas como resgate-ware, desfiguração, manipulação de dados e outros. |
| LateralMovement |
O movimento lateral consiste em técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e pode, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de ferramentas adicionais, como uma ferramenta de acesso remoto. Um adversário pode usar a movimentação lateral para muitas finalidades, incluindo execução remota de ferramentas, dinamização para sistemas adicionais, acesso a informações ou arquivos específicos, acesso a credenciais adicionais ou para causar um efeito. |
| Persistence |
Persistência é qualquer alteração de acesso, ação ou configuração para um sistema que fornece a um adversário uma presença persistente nesse sistema. Os adversários geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exigiriam uma ferramenta de acesso remoto para reiniciar ou fazer backdoor alternativo para que eles recuperem o acesso. |
| PrivilegeEscalation |
O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede. Determinadas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos ao longo de uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários alcancem seu objetivo também podem ser consideradas um escalonamento de privilégios. |
| Probing |
A investigação pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada ou de uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Essa etapa geralmente é detectada como uma tentativa originária de fora da rede na tentativa de verificar o sistema de destino e encontrar uma maneira de entrar. |
| Unknown |
O valor padrão. |
SecurityAlertTimelineItem
Representa o item da linha do tempo do alerta de segurança.
| Nome | Tipo | Description |
|---|---|---|
| alertType |
string |
O nome do tipo de alerta. |
| azureResourceId |
string |
A ID do recurso do azure de alerta. |
| description |
string |
A descrição do alerta. |
| displayName |
string |
O nome do alerta. |
| endTimeUtc |
string (date-time) |
A hora de término do alerta. |
| intent |
A intenção do alerta. |
|
| kind |
string:
Security |
O tipo de tipo de consulta de entidade. |
| productName |
string |
O nome do produto de alerta. |
| severity |
A gravidade do alerta. |
|
| startTimeUtc |
string (date-time) |
A hora de início do alerta. |
| techniques |
string[] |
As técnicas do alerta. |
| timeGenerated |
string (date-time) |
O tempo gerado pelo alerta. |
TimelineAggregation
informações de agregação de linha do tempo por tipo
| Nome | Tipo | Description |
|---|---|---|
| count |
integer (int32) |
o total de itens encontrados para um tipo |
| kind |
o tipo de consulta |
TimelineError
Erros de consulta da linha do tempo.
| Nome | Tipo | Description |
|---|---|---|
| errorMessage |
string |
a mensagem de erro |
| kind |
o tipo de consulta |
|
| queryId |
string |
a ID da consulta |
TimelineResultsMetadata
Metadados de resultado de expansão.
| Nome | Tipo | Description |
|---|---|---|
| aggregations |
agregação de linha do tempo por tipo |
|
| errors |
informações sobre as consultas de falha |
|
| totalCount |
integer (int32) |
o total de itens encontrados para a solicitação de linha do tempo |
UserInfo
Informações do usuário que fizeram alguma ação
| Nome | Tipo | Description |
|---|---|---|
|
string |
O email do usuário. |
|
| name |
string |
O nome do usuário. |
| objectId |
string (uuid) |
A ID do objeto do usuário. |