Microsoft Sentinel (предварительная версия)
Cloud-native SIEM с встроенным искусственным интеллектом, чтобы сосредоточиться на том, что самое важное
Этот соединитель доступен в следующих продуктах и регионах:
| Услуга | Class | Регионы |
|---|---|---|
| Логические приложения | Стандарт | Все регионы Logic Apps |
| Контакт | |
|---|---|
| Имя | Microsoft |
| URL | https://docs.microsoft.com/en-us/connectors/azuresentinel/ |
| Метаданные соединителя | |
|---|---|
| Publisher | Microsoft |
| Веб-сайт | https://azure.microsoft.com/services/azure-sentinel/ |
| Политика конфиденциальности | https://privacy.microsoft.com/ |
| Категории | Безопасность |
Соединитель Microsoft Sentinel
Подробное описание соединителя
Дополнительные сведения об использовании этого соединителя:
- Проверка подлинности сборников схем в Azure Sentinel
- Использование триггеров и действий в сборниках схем
- Руководство. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
Authentication
Триггеры и действия в соединителе Mcirosoft Sentinel могут работать от имени любого удостоверения, имеющего необходимые разрешения (чтение и/или запись) в соответствующей рабочей области. Соединитель поддерживает несколько типов удостоверений:
- Управляемое удостоверение (предварительная версия)
- Пользователь Идентификатора Microsoft Entra
- Субъект-служба (приложение идентификатора Microsoft Entra)
Требуются разрешения
| Роли и компоненты соединителя | Triggers | Действия Get | Обновление инцидента, добавление комментария |
|---|---|---|---|
| Просмотрщик Microsoft Sentinel | ✓ | ✓ | ✗ |
| Участник ответа Microsoft Sentinel/ | ✓ | ✓ | ✓ |
Дополнительные сведения о разрешениях в Microsoft Sentinel.
Узнайте, как использовать различные параметры проверки подлинности.
Известные проблемы и ограничения
Не удается активировать приложение логики, вызываемое триггером Microsoft Sentinel, с помощью кнопки "Запуск триггера"
Пользователь не может использовать кнопку запуска в колонке "Обзор " службы Logic Apps для активации сборника схем Microsoft Sentinel.
Azure Logic Apps активируется вызовом POST REST, текст которого является входным для триггера. Logic Apps, начинающиеся с триггеров Microsoft Sentinel, ожидают просмотра содержимого оповещения Или инцидента Microsoft Sentinel в тексте вызова. При вызове из колонки "Обзор Logic Apps" текст вызова пуст, поэтому возникает ошибка.
Это единственный правильный способ активировать сборники схем Microsoft Sentinel:
- Ручной триггер в Microsoft Sentinel
- Автоматический ответ правила аналитики (непосредственно или через правило автоматизации) в Microsoft Sentinel
- Используйте кнопку "Повторная отправка" в существующей колонке запуска Logic Apps
- Вызов конечной точки Logic Apps напрямую (присоединение оповещения или инцидента в качестве тела)
Обновление одного и того же инцидента параллельно для каждого цикла
Для каждого цикла по умолчанию выполняется параллельно, но его можно легко задать для последовательного выполнения. Если для каждого цикла может обновляться один и тот же инцидент Microsoft Sentinel в отдельных итерациях, его следует настроить для последовательного выполнения.
Восстановление исходного запроса оповещения в настоящее время не поддерживается с помощью Logic Apps
Использование соединителя журналов Azure Monitor для получения событий, захваченных правилом аналитики запланированных оповещений, не является согласованно надежным.
- Журналы Azure Monitor не поддерживают определение настраиваемого диапазона времени. Для восстановления точно того же результата запроса требуется определить точно тот же диапазон времени, что и в исходном запросе.
- Оповещения могут быть отложены в рабочей области Log Analytics после того, как правило активирует сборник схем.
Доступны ресурсы
Документация Майкрософт Sentinel
- Расширенная автоматизация с помощью сборников схем
- Руководство. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
- Аутентификация плейбуков в Microsoft Sentinel
- Использование триггеров и действий в сборниках схем
Ссылки на Microsoft Sentinel
Приложения логики Azure
Создание подключения
Соединитель поддерживает следующие типы проверки подлинности:
| По умолчанию | Параметры для создания подключения. | Все регионы | Недоступен для совместного использования |
По умолчанию
Применимо: все регионы
Параметры для создания подключения.
Это недоступно для общего доступа. Если приложение power предоставляется другому пользователю, пользователю будет предложено явно создать новое подключение.
Ограничения регулирования
| Имя | Вызовы | Период обновления |
|---|---|---|
| Вызовы API для каждого подключения | 600 | 60 секунд |
Действия
| Аналитика угроз — отправка объектов STIX (предварительная версия) |
Отправка объектов STIX в массовом режиме с помощью API отправки аналитики угроз. |
| Аналитика угроз — передача индикаторов компрометации (версия 2) (предварительная версия) |
Массовое отправка индикаторов с помощью API показателей отправки аналитики угроз. |
| Аналитика угроз — передача индикаторов компрометации (не рекомендуется) |
Аналитика угроз — передача индикаторов компрометации |
| Добавление задачи в инцидент |
Добавляет задачу в существующий инцидент |
| Добавление комментария к инциденту (версия 2) |
Добавляет комментарий к выбранному инциденту |
| Добавление комментария к инциденту [DEPRECATED] |
Это действие устарело. Вместо этого используйте комментарий к инциденту (V3 ).
|
| Добавление меток в инцидент (не рекомендуется) [DEPRECATED] |
Добавление меток в выбранный инцидент |
| Добавление оповещения в инцидент |
Добавьте оповещение в существующий инцидент. Оповещение присоединяется к инциденту как любое другое оповещение и будет отображаться на портале. |
| Добавление примечания к инциденту (версия 3) |
Добавляет комментарий к выбранному инциденту |
| Закладки (версия 2) — создание новой закладки (входные данные json) (предварительная версия) |
Закладки (версия 2) — создание допустимой новой закладки (json). |
| Закладки (версия 3) — создает новую закладку с отдельными полями (предварительная версия) |
Закладки (V3) — создание новой закладки. |
| Закладки — получение всех закладок |
Закладки— получение всех закладок для данной рабочей области |
| Закладки — получение закладки |
Закладки — получение закладок по идентификатору |
| Закладки — создание новой закладки [DEPRECATED] |
Это действие устарело. Используйте закладки (V3) — создает новую закладку с отдельными полями .
|
| Закладки — удаление закладки |
Закладки — удаление закладки |
| Изменение заголовка инцидента [DEPRECATED] |
изменение заголовка для выбранного инцидента |
| Изменение названия инцидента (версия 2) (не рекомендуется) [DEPRECATED] |
изменение заголовка для выбранного инцидента |
| Изменение состояния инцидента (не рекомендуется) [DEPRECATED] |
изменение состояния выбранного инцидента |
| Обновление данных об инциденте |
Обновление инцидента с предоставленными полями |
| Описание инцидента изменения (версия 2) (не рекомендуется) [DEPRECATED] |
изменение описания выбранного инцидента |
| Описание инцидента изменения [НЕ РЕКОМЕНДУЕТСЯ] |
изменение описания выбранного инцидента |
| Получение инцидента |
Получение инцидента с помощью идентификатора ARM |
| Пометить задачу как завершенную |
Пометить задачу как завершенную |
| Предупреждение. Получение инцидента |
Возвращает инцидент, связанный с выбранным оповещением |
| Предупреждение. Получение инцидента |
Возвращает инцидент, связанный с выбранным оповещением |
| Серьезность инцидентов изменения (не рекомендуется) [DEPRECATED] |
изменение серьезности выбранного инцидента |
| Создание инцидента |
Создание инцидента с предоставленными полями |
| Списки наблюдения — добавление нового элемента списка наблюдения |
Списки наблюдения — добавление нового элемента списка наблюдения |
| Списки наблюдения — обновление существующего элемента списка наблюдения |
Списки наблюдения — обновление существующего элемента списка наблюдения |
| Списки наблюдения — получение всех элементов списка наблюдения для заданного списка наблюдения |
Списки наблюдения — получение всех элементов списка наблюдения для заданного списка наблюдения |
| Списки наблюдения — получение всех элементов списка наблюдения для заданного списка наблюдения (версия 2) |
Списки наблюдения — получение всех элементов списка наблюдения для заданного списка наблюдения (версия 2) |
| Списки наблюдения — получение списка наблюдения по псевдониму |
Списки наблюдения — получение списка наблюдения по псевдониму |
| Списки наблюдения — удаление списка наблюдения |
Списки наблюдения — удаление списка наблюдения |
| Списки наблюдения — удаление элемента списка наблюдения |
Списки наблюдения — удаление элемента списка наблюдения |
| Списки наблюдения — удаление элемента списка наблюдения (версия 2) |
Списки наблюдения — удаление элемента списка наблюдения (версия 2) |
| Списки наблюдения. Создание большого списка наблюдения с помощью URI SAS |
Списки наблюдения. Создание большого списка наблюдения с помощью URI SAS |
| Списки наблюдения. Создание большого списка наблюдения с помощью URI SAS (V2) |
Списки наблюдения. Создание большого списка наблюдения с помощью URI SAS (V2) |
| Списки наблюдения. Создание или обновление списка наблюдения с данными (необработанное содержимое) |
Списки наблюдения. Создание или обновление списка наблюдения с данными (необработанное содержимое) |
| Списки наблюдения. Создание или обновление списка наблюдения с данными (необработанное содержимое) (версия 2) |
Списки наблюдения. Создание или обновление списка наблюдения с данными (необработанное содержимое) (версия 2) |
| Списки наблюдения— получение элемента списка наблюдения по идентификатору (guid) |
Списки наблюдения — получение элемента списка наблюдения |
| Списки наблюдения— удаление списка наблюдения (версия 2) |
Удаляет заданный список наблюдения по псевдониму. |
| Сущности — получение DNS |
Возвращает список записей DNS, связанных с оповещением |
| Сущности. Получение IP-адресов |
Возвращает список IP-адресов, связанных с оповещением |
| Сущности. Получение URL-адресов |
Возвращает список URL-адресов, связанных с оповещением |
| Сущности. Получение узлов |
Возвращает список узлов, связанных с оповещением |
| Сущности. Получение учетных записей |
Возвращает список учетных записей, связанных с оповещением |
| Сущности. Получение хэшей файлов |
Возвращает список хэшей файлов, связанных с оповещением |
| Триггер ASI отменяет подписку [DEPRECATED] |
Unsubscribe |
| Удаление меток из инцидента (не рекомендуется) [DEPRECATED] |
Удаляет метки для выбранного инцидента |
| Удаление оповещений из инцидента |
Удалите оповещение из существующего инцидента. |
Аналитика угроз — отправка объектов STIX (предварительная версия)
Отправка объектов STIX в массовом режиме с помощью API отправки аналитики угроз.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
Возвращаемое значение
Ответ от API uplaod аналитики угроз. Это ошибки для недопустимых объектов в тексте запроса.
- Товары
- UploadApiValidationErrors
Аналитика угроз — передача индикаторов компрометации (версия 2) (предварительная версия)
Массовое отправка индикаторов с помощью API показателей отправки аналитики угроз.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
Возвращаемое значение
Ответ от API uplaod аналитики угроз. Это ошибки для недопустимых объектов в тексте запроса.
- Товары
- UploadApiValidationErrors
Аналитика угроз — передача индикаторов компрометации (не рекомендуется)
Аналитика угроз — передача индикаторов компрометации
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
Возвращаемое значение
Ответ от индикаторов uplaod аналитики угроз.
- Товары
- IndicatorValidationErrors
Добавление задачи в инцидент
Добавляет задачу в существующий инцидент
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор ARM инцидента
|
incidentArmId | True | string |
Идентификатор ARM инцидента |
|
Название
|
taskTitle | True | string |
Название задачи |
|
Description
|
taskDescription | html |
Описание задания |
Возвращаемое значение
Представляет элемент задачи инцидента
- Задача инцидента
- IncidentTask
Добавление комментария к инциденту (версия 2)
Добавляет комментарий к выбранному инциденту
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
Указание комментария
|
Value | True | string |
Значение примечания |
Возвращаемое значение
- response
- string
Добавление комментария к инциденту [DEPRECATED]
Это действие устарело. Вместо этого используйте комментарий к инциденту (V3 ).
Добавляет комментарий к выбранному инциденту
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
Указание комментария к инциденту
|
comment | True | string |
Комментарий инцидента |
Возвращаемое значение
- response
- string
Добавление меток в инцидент (не рекомендуется) [DEPRECATED]
Добавление меток в выбранный инцидент
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
label
|
Label | True | string |
label |
Возвращаемое значение
- response
- string
Добавление оповещения в инцидент
Добавьте оповещение в существующий инцидент. Оповещение присоединяется к инциденту как любое другое оповещение и будет отображаться на портале.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор ARM инцидента
|
incidentArmId | True | string |
Идентификатор ARM инцидента. Получение из триггера инцидента, оповещения — получение действия инцидента или запрос журналов Azure Monitor. |
|
Идентификатор системного оповещения
|
relatedResourceId | True | string |
Системный идентификатор генерации оповещений, который будет добавлен / удален в инцидент. Извлеките из запроса журналов Azure Monitor или триггера оповещения. Например: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Возвращаемое значение
Представляет отношение инцидента
- Тело
- IncidentRelation
Добавление примечания к инциденту (версия 3)
Добавляет комментарий к выбранному инциденту
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор ARM инцидента
|
incidentArmId | True | string |
Идентификатор ARM инцидента |
|
Сообщение о комментарии инцидента
|
message | True | html |
Сообщение о комментарии инцидента |
Возвращаемое значение
Представляет элемент комментария инцидента
- Комментарий к инциденту
- IncidentComment
Закладки (версия 2) — создание новой закладки (входные данные json) (предварительная версия)
Закладки (версия 2) — создание допустимой новой закладки (json).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Отображаемое имя закладки
|
displayName | True | string |
Отображаемое имя закладки |
|
Запрос закладки
|
bookmarkQuery | True | string |
Запрос закладок (например. 'SecurityEvent | where TimeGenerated > ago(1d) и TimeGenerated < ago(2d)') |
|
Результат запроса закладки
|
bookmarkQueryResult | True | string |
Результат запроса закладок (например, "Результат запроса события безопасности") |
|
Заметки о закладках
|
bookmarkNotes | string |
Заметки о закладках (например, "Мои заметки о закладках") |
Возвращаемое значение
Представляет закладку в Azure Security Insights.
- Тело
- Bookmark
Закладки (версия 3) — создает новую закладку с отдельными полями (предварительная версия)
Закладки (V3) — создание новой закладки.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание отображаемого имени закладки
|
bookmarkName | True | string |
Отображаемое имя закладки (например, моя закладка) |
|
Указание запроса закладки
|
bookmarkQuery | True | string |
Запрос закладок (например. 'SecurityEvent | where TimeGenerated > ago(1d) и TimeGenerated < ago(2d)') |
|
Указание результата запроса закладки
|
bookmarkQueryResult | True | string |
Результат запроса закладок (например, "Результат запроса события безопасности") |
|
Указание заметок закладок
|
bookmarkNotes | True | string |
Заметки о закладках (например, "Мои заметки о закладках") |
Возвращаемое значение
Представляет закладку в Azure Security Insights.
- Тело
- Bookmark
Закладки — получение всех закладок
Закладки— получение всех закладок для данной рабочей области
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание количества закладок
|
numberOfBookmarks | True | integer |
Количество возвращаемых закладок. 0 или отрицательные значения для возврата всех закладок |
Возвращаемое значение
Список всех закладок.
- Тело
- BookmarkList
Закладки — получение закладки
Закладки — получение закладок по идентификатору
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание идентификатора закладки
|
bookmarkId | True | string |
Идентификатор закладки |
Возвращаемое значение
Представляет закладку в Azure Security Insights.
- Тело
- Bookmark
Закладки — создание новой закладки [DEPRECATED]
Это действие устарело. Используйте закладки (V3) — создает новую закладку с отдельными полями .
Закладки — создает новую закладку.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание идентификатора закладки
|
bookmarkId | True | string |
Идентификатор закладки |
|
создано
|
created | date-time |
Время создания закладки |
|
|
электронная почта
|
string |
Сообщение электронной почты пользователя. |
||
|
имя
|
name | string |
Имя пользователя. |
|
|
objectId
|
objectId | uuid |
Идентификатор объекта пользователя. |
|
|
отображаемое имя
|
displayName | True | string |
Отображаемое имя закладки |
|
labels
|
labels | string |
Метка, которая будет использоваться для тега и фильтрации. |
|
|
заметки
|
notes | string |
Заметки закладки |
|
|
query
|
query | True | string |
Запрос закладки. |
|
queryResult
|
queryResult | string |
Результат запроса закладки. |
|
|
Обновлено
|
updated | date-time |
При последнем обновлении закладки |
|
|
время события
|
eventTime | date-time |
Время события закладки |
|
|
queryStartTime
|
queryStartTime | date-time |
Время начала запроса |
|
|
queryEndTime
|
queryEndTime | date-time |
Время окончания запроса |
|
|
Идентификатор ARM инцидента
|
id | string |
Полный идентификатор ARM инцидента. |
|
|
Имя ARM инцидента
|
name | string |
Имя ARM инцидента (GUID) |
|
|
Число оповещений об инцидентах
|
alertsCount | integer |
Количество оповещений в инциденте |
|
|
Число закладок инцидентов
|
bookmarksCount | integer |
Количество закладок в инциденте |
|
|
Количество комментариев инцидентов
|
commentsCount | integer |
Количество комментариев в инциденте |
|
|
Имена продуктов оповещений об инциденте
|
alertProductNames | array of string |
Список имен продуктов оповещений в инциденте |
|
|
URL-адрес инцидента поставщика
|
providerIncidentUrl | string |
URL-адрес инцидента на портале Microsoft Defender |
|
|
Объединенный номер инцидента
|
mergedIncidentNumber | string |
Число инцидентов, с которым был объединен текущий инцидент |
|
|
Url-адрес объединенного инцидента
|
mergedIncidentUrl | string |
URL-адрес инцидента, в который был объединен текущий инцидент |
|
|
Тактика инцидентов
|
Incident Tactics | string |
Представляет элемент тактики, связанный с инцидентом |
|
|
Методы инцидентов
|
techniques | array of string |
Методы, связанные с тактикой инцидента |
|
|
Классификация инцидентов
|
classification | string |
Причина, по которой инцидент был закрыт |
|
|
Комментарий классификации инцидентов
|
classificationComment | string |
Описывает причину закрытия инцидента |
|
|
Причина классификации инцидентов
|
classificationReason | string |
Причина классификации инцидента была закрыта |
|
|
Время создания инцидента в формате UTC
|
createdTimeUtc | date-time |
Время создания инцидента |
|
|
Описание инцидента
|
description | string |
Описание инцидента |
|
|
Первое действие инцидента в формате UTC
|
firstActivityTimeUtc | date-time |
Время первого действия в инциденте |
|
|
URL-адрес инцидента
|
incidentUrl | string |
URL-адрес глубокой ссылки на инцидент на портале Azure |
|
|
Идентификатор инцидента поставщика
|
providerIncidentId | string |
Идентификатор инцидента, назначенный поставщиком инцидентов |
|
|
Идентификатор Sentinel инцидента
|
incidentNumber | integer |
Последовательное число, используемое для идентификации инцидента в Microsoft Sentinel. |
|
|
Время последнего действия инцидента в формате UTC
|
lastActivityTimeUtc | date-time |
Время последнего действия в инциденте |
|
|
Серьезность инцидентов
|
severity | string |
Серьезность инцидента |
|
|
Состояние инцидента
|
status | string |
Состояние инцидента |
|
|
Название инцидента
|
title | string |
Название инцидента |
|
|
Имя
|
labelName | True | string |
Имя тега |
|
Тип
|
labelType | string |
Тип тега |
|
|
Время последнего изменения инцидента в формате UTC
|
lastModifiedTimeUtc | date-time |
Последний раз, когда инцидент был обновлен |
|
|
Адрес электронной почты
|
string |
Адрес электронной почты пользователя, которому назначен инцидент. |
||
|
Assigned To
|
assignedTo | string |
Имя пользователя, которому назначен инцидент. (поле assignedTo) |
|
|
ObjectId (идентификатор объекта)
|
objectId | uuid |
Идентификатор объекта пользователя, которому назначен инцидент. |
|
|
Основное имя пользователя
|
userPrincipalName | string |
Имя участника-пользователя, которому назначен инцидент. |
|
|
Идентификаторы правил аналитики инцидентов
|
relatedAnalyticRuleIds | array of string |
Список идентификаторов ресурсов правил аналитики, связанных с инцидентом |
|
|
Идентификатор
|
id | string |
Полный идентификатор ARM комментария. |
|
|
Имя
|
name | string |
Имя ARM комментария (GUID) |
|
|
properties
|
properties |
Представляет свойства комментариев инцидента JSON. |
Возвращаемое значение
Представляет закладку в Azure Security Insights.
- Тело
- Bookmark
Закладки — удаление закладки
Закладки — удаление закладки
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание идентификатора закладки
|
bookmarkId | True | string |
Идентификатор закладки |
Возвращаемое значение
- response
- string
Изменение заголовка инцидента [DEPRECATED]
изменение заголовка для выбранного инцидента
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
Указание заголовка
|
fieldValue | True | string |
Значение заголовка |
Возвращаемое значение
- response
- string
Изменение названия инцидента (версия 2) (не рекомендуется) [DEPRECATED]
изменение заголовка для выбранного инцидента
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
Указание заголовка
|
Value | True | string |
Значение заголовка |
Возвращаемое значение
- response
- string
Изменение состояния инцидента (не рекомендуется) [DEPRECATED]
изменение состояния выбранного инцидента
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
Указание состояния
|
status | True | string |
Значение состояния |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Динамическая схема изменения состояния инцидента |
Возвращаемое значение
- response
- string
Обновление данных об инциденте
Обновление инцидента с предоставленными полями
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание полей инцидентов для обновления
|
body | True | dynamic |
Поля инцидентов для обновления |
Возвращаемое значение
Представляет инцидент в Azure Security Insights.
- Тело
- Incident
Описание инцидента изменения (версия 2) (не рекомендуется) [DEPRECATED]
изменение описания выбранного инцидента
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
Указание описания
|
Value | True | string |
Значение описания |
Возвращаемое значение
- response
- string
Описание инцидента изменения [НЕ РЕКОМЕНДУЕТСЯ]
изменение описания выбранного инцидента
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
Указание описания
|
fieldValue | True | string |
Значение описания |
Возвращаемое значение
- response
- string
Получение инцидента
Получение инцидента с помощью идентификатора ARM
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор ARM инцидента
|
incidentArmId | True | string |
Идентификатор ARM инцидента |
Возвращаемое значение
Представляет инцидент в Azure Security Insights.
- Тело
- Incident
Пометить задачу как завершенную
Пометить задачу как завершенную
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор arm задачи
|
taskArmId | True | string |
Идентификатор arm задачи |
Возвращаемое значение
Представляет элемент задачи инцидента
- Задача инцидента
- IncidentTask
Предупреждение. Получение инцидента
Возвращает инцидент, связанный с выбранным оповещением
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание идентификатора оповещения
|
alertId | True | string |
Идентификатор системного оповещения |
Возвращаемое значение
Представляет инцидент в Azure Security Insights.
- Тело
- Incident
Предупреждение. Получение инцидента
Возвращает инцидент, связанный с выбранным оповещением
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание идентификатора оповещения
|
alertId | True | string |
Идентификатор системного оповещения |
Возвращаемое значение
- Тело
- OldIncident
Серьезность инцидентов изменения (не рекомендуется) [DEPRECATED]
изменение серьезности выбранного инцидента
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
Указание серьезности
|
severity | True | string |
Значение серьезности |
Возвращаемое значение
- response
- string
Создание инцидента
Создание инцидента с предоставленными полями
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Выбор подписки |
|
Группа ресурсов
|
resourceGroup | True | string |
Выбор группы ресурсов |
|
Имя рабочей области
|
workspaceName | True | string |
Выбор рабочей области |
|
Указание полей инцидента
|
body | True | dynamic |
Поля инцидентов |
Возвращаемое значение
Представляет инцидент в Azure Security Insights.
- Тело
- Incident
Списки наблюдения — добавление нового элемента списка наблюдения
Списки наблюдения — добавление нового элемента списка наблюдения
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Возвращаемое значение
Представляет watchlistItem в Azure Security Insights.
- Тело
- WatchlistItem
Списки наблюдения — обновление существующего элемента списка наблюдения
Списки наблюдения — обновление существующего элемента списка наблюдения
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
|
Указание идентификатора элемента списка наблюдения
|
watchlistItemId | True | string |
Уникальный идентификатор элемента списка отслеживания (GUID) |
Возвращаемое значение
Представляет watchlistItem в Azure Security Insights.
- Тело
- WatchlistItem
Списки наблюдения — получение всех элементов списка наблюдения для заданного списка наблюдения
Списки наблюдения — получение всех элементов списка наблюдения для заданного списка наблюдения
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Возвращаемое значение
Список всех элементов списка наблюдения.
- response
- WatchlistItemList
Списки наблюдения — получение всех элементов списка наблюдения для заданного списка наблюдения (версия 2)
Списки наблюдения — получение всех элементов списка наблюдения для заданного списка наблюдения (версия 2)
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
|
Пропуск маркера
|
skipToken | string |
Пропустить маркер для следующего набора из 100 элементов, чтобы вернуться |
Возвращаемое значение
Список всех элементов списка наблюдения.
- response
- WatchlistItemList
Списки наблюдения — получение списка наблюдения по псевдониму
Списки наблюдения — получение списка наблюдения по псевдониму
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Возвращаемое значение
Представляет список наблюдения в Службе "Аналитика безопасности Azure".
- Тело
- Watchlist
Списки наблюдения — удаление списка наблюдения
Списки наблюдения — удаление списка наблюдения
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Возвращаемое значение
- response
- string
Списки наблюдения — удаление элемента списка наблюдения
Списки наблюдения — удаление элемента списка наблюдения
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
|
Указание идентификатора элемента списка наблюдения
|
watchlistItemId | True | string |
Уникальный идентификатор элемента списка отслеживания (GUID) |
Возвращаемое значение
- response
- string
Списки наблюдения — удаление элемента списка наблюдения (версия 2)
Списки наблюдения — удаление элемента списка наблюдения (версия 2)
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
|
Указание идентификатора элемента списка наблюдения
|
watchlistItemId | True | string |
Уникальный идентификатор элемента списка отслеживания (GUID) |
Возвращаемое значение
- response
- string
Списки наблюдения. Создание большого списка наблюдения с помощью URI SAS
Списки наблюдения. Создание большого списка наблюдения с помощью URI SAS
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Возвращаемое значение
Представляет список наблюдения в Службе "Аналитика безопасности Azure".
- Тело
- Watchlist
Списки наблюдения. Создание большого списка наблюдения с помощью URI SAS (V2)
Списки наблюдения. Создание большого списка наблюдения с помощью URI SAS (V2)
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Возвращаемое значение
Представляет список наблюдения в Службе "Аналитика безопасности Azure".
- Тело
- WatchlistV2
Списки наблюдения. Создание или обновление списка наблюдения с данными (необработанное содержимое)
Списки наблюдения. Создание или обновление списка наблюдения с данными (необработанное содержимое)
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Возвращаемое значение
Представляет список наблюдения в Службе "Аналитика безопасности Azure".
- Тело
- Watchlist
Списки наблюдения. Создание или обновление списка наблюдения с данными (необработанное содержимое) (версия 2)
Списки наблюдения. Создание или обновление списка наблюдения с данными (необработанное содержимое) (версия 2)
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Возвращаемое значение
Представляет список наблюдения в Службе "Аналитика безопасности Azure".
- Тело
- WatchlistV2
Списки наблюдения— получение элемента списка наблюдения по идентификатору (guid)
Списки наблюдения — получение элемента списка наблюдения
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
|
Указание идентификатора элемента списка наблюдения
|
watchlistItemId | True | string |
Уникальный идентификатор элемента списка отслеживания (GUID) |
Возвращаемое значение
Представляет watchlistItem в Azure Security Insights.
- Тело
- WatchlistItem
Списки наблюдения— удаление списка наблюдения (версия 2)
Удаляет заданный список наблюдения по псевдониму.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Указание псевдонима списка наблюдения
|
watchlistAlias | True | string |
Псевдоним списка наблюдения |
Сущности — получение DNS
Возвращает список записей DNS, связанных с оповещением
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Список сущностей
|
body | True | string |
Список сущностей |
Возвращаемое значение
Список доменов DNS, связанных с оповещением
- Тело
- BatchResponseDNS
Сущности. Получение IP-адресов
Возвращает список IP-адресов, связанных с оповещением
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Список сущностей
|
body | True | string |
Список сущностей |
Возвращаемое значение
Список IP-адресов, связанных с оповещением
- Тело
- BatchResponseIP
Сущности. Получение URL-адресов
Возвращает список URL-адресов, связанных с оповещением
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Список сущностей
|
body | True | string |
Список сущностей |
Возвращаемое значение
Список URL-адресов, связанных с оповещением
- Тело
- BatchResponseUrl
Сущности. Получение узлов
Возвращает список узлов, связанных с оповещением
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Список сущностей
|
body | True | string |
Список сущностей |
Возвращаемое значение
Список узлов, связанных с оповещением
- Тело
- BatchResponseHost
Сущности. Получение учетных записей
Возвращает список учетных записей, связанных с оповещением
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Список сущностей
|
body | True | string |
Список сущностей |
Возвращаемое значение
Список учетных записей, связанных с оповещением
- Тело
- BatchResponseAccount
Сущности. Получение хэшей файлов
Возвращает список хэшей файлов, связанных с оповещением
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Список сущностей
|
body | True | string |
Список сущностей |
Возвращаемое значение
Список хэшей файлов, связанных с оповещением
Триггер ASI отменяет подписку [DEPRECATED]
Удаление меток из инцидента (не рекомендуется) [DEPRECATED]
Удаляет метки для выбранного инцидента
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Указание идентификатора подписки
|
subscriptionId | True | string |
Идентификатор подписки |
|
Указание группы ресурсов
|
resourceGroup | True | string |
Группа ресурсов |
|
Указание идентификатора рабочей области
|
workspaceId | True | string |
Идентификатор рабочей области |
|
Идентификатор
|
identifier | True | string |
Инцидент / оповещение |
|
Указание оповещений и инцидентов
|
id | True | string |
Укажите номер инцидента / идентификатор оповещения |
|
label
|
Label | True | string |
label |
Возвращаемое значение
- response
- string
Удаление оповещений из инцидента
Удалите оповещение из существующего инцидента.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор ARM инцидента
|
incidentArmId | True | string |
Идентификатор ARM инцидента. Получение из триггера инцидента, оповещения — получение действия инцидента или запрос журналов Azure Monitor. |
|
Идентификатор системного оповещения
|
relatedResourceId | True | string |
Системный идентификатор генерации оповещений, который будет добавлен / удален в инцидент. Извлеките из запроса журналов Azure Monitor или триггера оповещения. Например: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Возвращаемое значение
- response
- string
Триггеры
| Инцидент Microsoft Sentinel |
Когда активируется ответ на инцидент Microsoft Sentinel. Эта сборник схем запускается правилом автоматизации при создании или обновлении нового инцидента. Сборник схем получает инцидент Microsoft Sentinel в качестве входных данных, включая оповещения и сущности. |
| Оповещение Microsoft Sentinel |
При активации ответа на оповещение Microsoft Sentinel. Эта сборник схем активируется правилом аналитики при создании нового оповещения или активации вручную. Сборник схем получает оповещение в качестве входных данных. |
| При активации ответа на оповещение Microsoft Sentinel [DEPRECATED] |
При активации ответа на оповещение Microsoft Sentinel. Этот сборник схем должен быть активирован с помощью Microsoft Sentinel в режиме реального времени или из Azure |
| Сущность Microsoft Sentinel |
Запуск сборника схем в сущности Microsoft Sentinel |
Инцидент Microsoft Sentinel
Когда активируется ответ на инцидент Microsoft Sentinel. Эта сборник схем запускается правилом автоматизации при создании или обновлении нового инцидента. Сборник схем получает инцидент Microsoft Sentinel в качестве входных данных, включая оповещения и сущности.
Возвращаемое значение
Оповещение Microsoft Sentinel
При активации ответа на оповещение Microsoft Sentinel. Эта сборник схем активируется правилом аналитики при создании нового оповещения или активации вручную. Сборник схем получает оповещение в качестве входных данных.
Возвращаемое значение
- Тело
- Alert
При активации ответа на оповещение Microsoft Sentinel [DEPRECATED]
При активации ответа на оповещение Microsoft Sentinel. Этот сборник схем должен быть активирован с помощью Microsoft Sentinel в режиме реального времени или из Azure
Возвращаемое значение
- Тело
- Alert
Сущность Microsoft Sentinel
Запуск сборника схем в сущности Microsoft Sentinel
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Тип сущности
|
entityType | True | string |
Тип сущности |
Возвращаемое значение
Определения
UploadApiValidationErrors
Ответ от API uplaod аналитики угроз. Это ошибки для недопустимых объектов в тексте запроса.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
ИндикаторValidationErrors
Ответ от индикаторов uplaod аналитики угроз.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Список учетных записей, связанных с оповещением
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Список учетных записей, связанных с оповещением |
Счет
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Имя
|
Name | string |
Имя учетной записи |
|
Домен NT
|
NTDomain | string |
Доменное имя NETBIOS, отображаемого в формате генерации оповещений |
|
DnsDomain
|
DnsDomain | string |
Полное доменное DNS-имя |
|
Суффикс имени участника-участника
|
UPNSuffix | string |
Суффикс имени участника-пользователя |
|
SID
|
Sid | string |
Идентификатор безопасности учетной записи, например S-1-5-18 |
|
Идентификатор клиента Microsoft Entra ID
|
AadTenantId | string |
Идентификатор клиента Идентификатора Microsoft Entra, если он известен |
|
Идентификатор пользователя Идентификатора Microsoft Entra
|
AadUserId | string |
Идентификатор пользователя Идентификатора записи Майкрософт, если он известен |
|
PUID
|
PUID | string |
Идентификатор пользователя Microsoft Entra ID Passport, если он известен |
|
Присоединено к домену
|
IsDomainJoined | boolean |
Определяет, является ли это учетной записью домена |
|
ObjectGuid
|
ObjectGuid | string |
Атрибут objectGUID — это атрибут с одним значением, который является уникальным идентификатором объекта, назначенным идентификатором Microsoft Entra ID. |
BatchResponseUrl
Список URL-адресов, связанных с оповещением
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
URL-адреса
|
URLs | array of UrlEntity |
Список URL-адресов, связанных с оповещением |
UrlEntity
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
URL-адрес
|
Url | string |
BatchResponseHost
Список узлов, связанных с оповещением
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Список узлов, связанных с оповещением |
Host
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Домен DNS
|
DnsDomain | string |
ДОМЕН DNS, к которому принадлежит этот узел |
|
Домен NT
|
NTDomain | string |
Домен NT, к которому принадлежит этот узел |
|
Имя хоста
|
HostName | string |
Имя узла без суффикса домена |
|
NetBiosName
|
NetBiosName | string |
Имя узла (предварительная версия windows2000) |
|
OMSAgentID
|
OMSAgentID | string |
Идентификатор агента OMS, если у узла установлен агент OMS |
|
OSFamily
|
OSFamily | string |
Одно из следующих значений: Linux, Windows, Android, IOS |
|
Версия ОС
|
OSVersion | string |
Свободное текстовое представление операционной системы |
|
Присоединено к домену
|
IsDomainJoined | boolean |
Определяет, принадлежит ли этот узел домену. |
|
AzureID
|
AzureID | string |
Идентификатор ресурса Azure виртуальной машины, если он известен |
BatchResponseIP
Список IP-адресов, связанных с оповещением
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
IP-адреса
|
IPs | array of IP |
Список IP-адресов, связанных с оповещением |
IP
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Address
|
Address | string |
IP-адрес |
BatchResponseDNS
Список доменов DNS, связанных с оповещением
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Домены DNS
|
Dnsresolutions | array of DNS |
Список доменов DNS, связанных с оповещением |
DNS
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Имя домена
|
DomainName | string |
Имя записи DNS, связанной с оповещением |
BatchResponseFileHash
Список хэшей файлов, связанных с оповещением
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
Список хэшей файлов, связанных с оповещением |
FileHash
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Ценность
|
Value | string |
Хэш-значение файла |
|
Алгоритм
|
Algorithm | string |
Типы хэш-алгоритмов файлов |
OldIncident
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
properties
|
properties | OldIncidentProperties |
OldIncidentProperties
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Состояние
|
Status | string |
Состояние инцидента |
|
Наклейки
|
Labels | array of |
Метки инцидента |
|
Название
|
Title | string |
Название инцидента |
|
Description
|
Description | string |
Описание инцидента |
|
Время окончания utc
|
EndTimeUtc | string |
Время окончания инцидента |
|
Время начала utc
|
StartTimeUtc | string |
Время начала инцидента |
|
Время последнего обновления в формате UTC
|
LastUpdatedTimeUtc | string |
Время обновления инцидента |
|
Number
|
CaseNumber | string |
Количество инцидента |
|
Время создания в формате UTC
|
CreatedTimeUtc | string |
Время создания инцидента |
|
Severity
|
Severity | string |
Серьезность инцидента |
|
Связанные идентификаторы оповещений
|
RelatedAlertIds | array of |
Связанные идентификаторы оповещений инцидента |
IncidentAdditionalData
Инцидент с дополнительным контейнером свойств данных.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Число оповещений об инцидентах
|
alertsCount | integer |
Количество оповещений в инциденте |
|
Число закладок инцидентов
|
bookmarksCount | integer |
Количество закладок в инциденте |
|
Количество комментариев инцидентов
|
commentsCount | integer |
Количество комментариев в инциденте |
|
Имена продуктов оповещений об инциденте
|
alertProductNames | array of string |
Список имен продуктов оповещений в инциденте |
|
URL-адрес инцидента поставщика
|
providerIncidentUrl | string |
URL-адрес инцидента на портале Microsoft Defender |
|
Объединенный номер инцидента
|
mergedIncidentNumber | string |
Число инцидентов, с которым был объединен текущий инцидент |
|
Url-адрес объединенного инцидента
|
mergedIncidentUrl | string |
URL-адрес инцидента, в который был объединен текущий инцидент |
|
Тактика инцидентов
|
tactics | array of AttackTactic |
Тактика, связанная с инцидентом |
|
Методы инцидентов
|
techniques | array of string |
Методы, связанные с тактикой инцидента |
IncidentLabel
Представляет тег инцидента
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Имя
|
labelName | string |
Имя тега |
|
Тип
|
labelType | string |
Тип тега |
IncidentOwnerInfo
Сведения о пользователе, которому назначен инцидент
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Адрес электронной почты
|
string |
Адрес электронной почты пользователя, которому назначен инцидент. |
|
|
Assigned To
|
assignedTo | string |
Имя пользователя, которому назначен инцидент. (поле assignedTo) |
|
ObjectId (идентификатор объекта)
|
objectId | uuid |
Идентификатор объекта пользователя, которому назначен инцидент. |
|
Основное имя пользователя
|
userPrincipalName | string |
Имя участника-пользователя, которому назначен инцидент. |
AttackTactic
Представляет элемент тактики, связанный с инцидентом
Представляет элемент тактики, связанный с инцидентом
AlertSeverity
HuntingBookmark
Представляет элемент закладки охоты
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор ARM
|
id | string |
Полный идентификатор ARM закладки. |
|
Имя ARM
|
name | string |
Имя ARM закладки (GUID) |
|
properties
|
properties | HuntingBookmarkProperties |
Представляет JSON свойств HuntingBookmark. |
Предупреждение о безопасности
Представляет элемент оповещения системы безопасности
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор ARM
|
id | string |
Полный идентификатор ARM оповещения. |
|
Имя ARM
|
name | string |
Имя ARM оповещения (GUID) |
|
properties
|
properties | SecurityAlertProperties |
Представляет свойства оповещений JSON. |
HuntingBookmarkProperties
Представляет JSON свойств HuntingBookmark.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Отображаемое имя
|
displayName | string |
Отображаемое имя закладки |
|
Создано
|
created | date-time |
Время создания закладки |
|
Updated
|
updated | date-time |
Обновленное время закладки |
|
Создание сведений о пользователе
|
createdBy | CreatedByUserInfo |
Представляет JSON свойств UserInfo. |
|
Обновлены сведениями пользователя
|
updatedBy | UpdatedByUserInfo |
Представляет JSON свойств UserInfo. |
|
Время события
|
eventTime | date-time |
Время события закладки |
|
Примечания.
|
notes | string |
Заметки закладки |
|
Наклейки
|
labels | array of string |
Метки закладки |
|
Query
|
query | string |
Запрос закладки |
|
Результат запроса
|
queryResult | string |
Результат запроса закладки |
SecurityAlertProperties
Представляет свойства оповещений JSON.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Дружественное имя
|
friendlyName | string |
Отображаемое имя элемента графа, которое является коротким удобочитаемым описанием экземпляра элемента графа. Это свойство является необязательным и может быть создано системой. |
|
Отображаемое имя
|
alertDisplayName | string |
Отображаемое имя оповещения |
|
Тип
|
alertType | string |
В оповещении расписания это идентификатор правила аналитики. |
|
URI
|
alertLink | string |
Это ссылка на оповещение в поставщике orignal. |
|
Скомпрометированная сущность
|
compromisedEntity | string |
Отображаемое имя основной сущности, о которой поступает информация. |
|
Уровень вероятности
|
confidenceLevel | string |
Уровень достоверности этого оповещения. |
|
Description
|
description | string |
Описание оповещения. |
|
Время окончания UTC
|
endTimeUtc | date-time |
Время окончания действия оповещения (время последнего события, которое вносит вклад в оповещение). |
|
Идентификатор провайдера
|
providerAlertId | string |
Идентификатор оповещения внутри продукта, создавшего оповещение. |
|
Название продукта
|
productName | string |
Имя продукта, опубликованного в этом оповещении. |
|
Действия по исправлению
|
remediationSteps | array of string |
Список элементов действий вручную, которые необходимо предпринять для исправления оповещения. |
|
Severity
|
severity | AlertSeverity |
Серьезность оповещения |
|
Время начала
|
startTimeUtc | date-time |
Время начала оповещения (время первого события, которое вносит вклад в оповещение). |
|
Состояние
|
status | string |
Состояние жизненного цикла оповещения. |
|
Идентификатор системы
|
systemAlertId | string |
Содержит идентификатор продукта оповещения для продукта. |
|
Tactics
|
tactics | array of AttackTactic |
Список тактик оповещений. |
|
Время создания
|
timeGenerated | date-time |
Время создания оповещения. |
|
Query
|
additionalData.Query | string |
Запрос, используемый для определения того, следует ли активировать оповещение (только расписание оповещений). |
|
Время начала запроса
|
additionalData.Query Start Time UTC | string |
Время начала запроса, используемого для определения того, следует ли активировать оповещение (только расписание оповещений). |
|
Время окончания запроса
|
additionalData.Query End Time UTC | string |
Время начала запроса, используемого для определения того, следует ли активировать оповещение (только расписание оповещений). |
|
Оператор запроса
|
additionalData.Trigger Operator | string |
Оператор, используемый для определения того, следует ли активировать оповещение (только расписание оповещений). |
|
Пороговое значение запроса
|
additionalData.Trigger Threshold | string |
Пороговое значение, используемое для определения того, следует ли активировать оповещение (только расписание оповещений). |
|
Пользовательские сведения
|
additionalData.Custom Details | string |
Пользовательские сведения о событии, добавленные в оповещение правилами аналитики (только запланированные оповещения). Чтобы использовать это поле, выполните действие "Анализ JSON" и используйте пример полезных данных из существующего оповещения для имитации схемы. |
|
Идентификаторы ресурсов
|
resourceIdentifiers | array of object |
Идентификаторы ресурсов оповещения |
|
items
|
resourceIdentifiers | object |
Представляет идентификатор ресурса оповещения. |
Инцидент
Представляет инцидент в Azure Security Insights.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор ARM инцидента
|
id | string |
Полный идентификатор ARM инцидента. |
|
Имя ARM инцидента
|
name | string |
Имя ARM инцидента (GUID) |
|
properties
|
properties | IncidentProperties |
Представляет JSON свойств инцидента. |
FullIncident
Получение инцидента с помощью идентификатора ARM
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор ARM инцидента
|
id | string |
Полный идентификатор ARM инцидента. |
|
Имя ARM инцидента
|
name | string |
Имя ARM инцидента (GUID) |
|
properties
|
properties | FullIncidentProperties |
Представляет JSON свойств инцидента. |
ИнцидентыProperties
Представляет JSON свойств инцидента.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
дополнительные данные
|
additionalData | IncidentAdditionalData |
Инцидент с дополнительным контейнером свойств данных. |
|
Классификация инцидентов
|
classification | string |
Причина, по которой инцидент был закрыт |
|
Комментарий классификации инцидентов
|
classificationComment | string |
Описывает причину закрытия инцидента |
|
Причина классификации инцидентов
|
classificationReason | string |
Причина классификации инцидента была закрыта |
|
Время создания инцидента в формате UTC
|
createdTimeUtc | date-time |
Время создания инцидента |
|
Описание инцидента
|
description | string |
Описание инцидента |
|
Первое действие инцидента в формате UTC
|
firstActivityTimeUtc | date-time |
Время первого действия в инциденте |
|
URL-адрес инцидента
|
incidentUrl | string |
URL-адрес глубокой ссылки на инцидент на портале Azure |
|
Идентификатор инцидента поставщика
|
providerIncidentId | string |
Идентификатор инцидента, назначенный поставщиком инцидентов |
|
Идентификатор Sentinel инцидента
|
incidentNumber | integer |
Последовательное число, используемое для идентификации инцидента в Microsoft Sentinel. |
|
Время последнего действия инцидента в формате UTC
|
lastActivityTimeUtc | date-time |
Время последнего действия в инциденте |
|
Серьезность инцидентов
|
severity | string |
Серьезность инцидента |
|
Состояние инцидента
|
status | string |
Состояние инцидента |
|
Название инцидента
|
title | string |
Название инцидента |
|
Теги инцидентов
|
labels | array of IncidentLabel |
Список тегов, связанных с этим инцидентом |
|
Время последнего изменения инцидента в формате UTC
|
lastModifiedTimeUtc | date-time |
Последний раз, когда инцидент был обновлен |
|
Владелец инцидента
|
owner | IncidentOwnerInfo |
Сведения о пользователе, которому назначен инцидент |
|
Идентификаторы правил аналитики инцидентов
|
relatedAnalyticRuleIds | array of string |
Список идентификаторов ресурсов правил аналитики, связанных с инцидентом |
|
Comments
|
Comments | array of IncidentComment |
Список комментариев по этому инциденту. |
FullIncidentProperties
Представляет JSON свойств инцидента.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
дополнительные данные
|
additionalData | IncidentAdditionalData |
Инцидент с дополнительным контейнером свойств данных. |
|
Классификация инцидентов
|
classification | string |
Причина, по которой инцидент был закрыт |
|
Комментарий классификации инцидентов
|
classificationComment | string |
Описывает причину закрытия инцидента |
|
Причина классификации инцидентов
|
classificationReason | string |
Причина классификации инцидента была закрыта |
|
Время создания инцидента в формате UTC
|
createdTimeUtc | date-time |
Время создания инцидента |
|
Описание инцидента
|
description | string |
Описание инцидента |
|
Первое действие инцидента в формате UTC
|
firstActivityTimeUtc | date-time |
Время первого действия в инциденте |
|
URL-адрес инцидента
|
incidentUrl | string |
URL-адрес глубокой ссылки на инцидент на портале Azure |
|
Идентификатор инцидента поставщика
|
providerIncidentId | string |
Идентификатор инцидента, назначенный поставщиком инцидентов |
|
Идентификатор Sentinel инцидента
|
incidentNumber | integer |
Последовательное число, используемое для идентификации инцидента в Microsoft Sentinel. |
|
Время последнего действия инцидента в формате UTC
|
lastActivityTimeUtc | date-time |
Время последнего действия в инциденте |
|
Серьезность инцидентов
|
severity | string |
Серьезность инцидента |
|
Состояние инцидента
|
status | string |
Состояние инцидента |
|
Название инцидента
|
title | string |
Название инцидента |
|
Теги инцидентов
|
labels | array of IncidentLabel |
Список тегов, связанных с этим инцидентом |
|
Время последнего изменения инцидента в формате UTC
|
lastModifiedTimeUtc | date-time |
Последний раз, когда инцидент был обновлен |
|
Владелец инцидента
|
owner | IncidentOwnerInfo |
Сведения о пользователе, которому назначен инцидент |
|
Идентификаторы правил аналитики инцидентов
|
relatedAnalyticRuleIds | array of string |
Список идентификаторов ресурсов правил аналитики, связанных с инцидентом |
|
Comments
|
Comments | array of IncidentComment |
Список комментариев по этому инциденту. |
|
Уведомления
|
Alerts | array of SecurityAlert |
Список оповещений, связанных с этим инцидентом. |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
Список закладок, связанных с этим инцидентом. |
|
Entities
|
relatedEntities | string |
Список сущностей, связанных с инцидентом, может содержать сущности различных типов. |
ИнцидентEventNotification
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Обновленные имена полей
|
incidentUpdates.updatedFields | array of string |
Имена полей, обновленных в инциденте |
|
Время обновления
|
incidentUpdates.updatedTime | date-time |
Время события обновления инцидента |
|
Исходный материал
|
incidentUpdates.updatedBy.source | string |
Субъект, который обновил инцидент: пользователь, внешнее приложение, сборник схем, правило автоматизации, Защитник Microsoft 365 или группирование оповещений |
|
Имя
|
incidentUpdates.updatedBy.name | string |
Имя пользователя, приложения, правила автоматизации или сборник схем, которые обновили инцидент |
|
Оповещения об инцидентах
|
incidentUpdates.alerts | array of SecurityAlert |
Список оповещений, добавленных в этот инцидент. |
|
Теги инцидентов
|
incidentUpdates.labels | array of IncidentLabel |
Список тегов, добавленных в этот инцидент |
|
Комментарии к инцидентам
|
incidentUpdates.comments | array of IncidentComment |
Список комментариев, добавленных в этот инцидент. |
|
Тактика инцидентов
|
incidentUpdates.tactics | array of AttackTactic |
Тактика, связанная с инцидентом |
|
ID подписки
|
workspaceInfo.SubscriptionId | string |
Идентификатор подписки рабочей области Microsoft Sentinel |
|
Имя группы ресурсов
|
workspaceInfo.ResourceGroupName | string |
Группа ресурсов рабочей области Microsoft Sentinel |
|
Имя рабочей области
|
workspaceInfo.WorkspaceName | string |
Имя рабочей области Microsoft Sentinel |
|
Идентификатор рабочей области
|
workspaceId | string |
Идентификатор рабочей области инцидента. |
|
объект
|
object | FullIncident |
Получение инцидента с помощью идентификатора ARM |
CreatedByUserInfo
Представляет JSON свойств UserInfo.
Представляет JSON свойств UserInfo.
UpdatedByUserInfo
Представляет JSON свойств UserInfo.
Представляет JSON свойств UserInfo.
Alert
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Название продукта
|
ProductName | string |
Имя продукта, опубликованного в этом оповещении |
|
Тип оповещения
|
AlertType | string |
Имя типа оповещения |
|
Время начала (UTC)
|
StartTimeUtc | date-time |
Время начала оповещения, когда обнаружено первое событие, которое способствовало |
|
Время окончания (UTC)
|
EndTimeUtc | date-time |
Время окончания оповещения, когда обнаружено последнее событие, которое способствовало |
|
Время создания (UTC)
|
TimeGenerated | date-time |
Время создания оповещения |
|
Severity
|
Severity | string |
Серьезность оповещения, как сообщается поставщиком |
|
Идентификатор оповещения поставщика
|
ProviderAlertId | string |
Уникальный идентификатор для конкретного экземпляра оповещения, заданного поставщиком |
|
Идентификатор системного оповещения
|
SystemAlertId | string |
Уникальный идентификатор для конкретного экземпляра оповещения |
|
Отображаемое имя оповещения
|
AlertDisplayName | string |
Отображаемое имя оповещения |
|
Description
|
Description | string |
Описание предупреждения |
|
Entities
|
Entities | string |
Список сущностей, связанных с оповещением, может включать несколько типов сущностей. |
|
Расширенные свойства
|
ExtendedProperties | string |
Список полей, которые будут представлены пользователю |
|
Идентификатор рабочей области
|
WorkspaceId | string |
Идентификатор рабочей области оповещения |
|
Группа ресурсов
|
WorkspaceResourceGroup | string |
группа ресурсов оповещений оповещения |
|
ID подписки
|
WorkspaceSubscriptionId | string |
Идентификатор подписки оповещения |
|
Расширенные ссылки
|
ExtendedLinks | array of object |
Список ссылок, связанных с оповещением, может включать несколько типов. |
IncidentComment
Представляет элемент комментария инцидента
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор
|
id | string |
Полный идентификатор ARM комментария. |
|
Имя
|
name | string |
Имя ARM комментария (GUID) |
|
properties
|
properties | IncidentCommentProperties |
Представляет свойства комментариев инцидента JSON. |
IncidentCommentProperties
Представляет свойства комментариев инцидента JSON.
Представляет свойства комментариев инцидента JSON.
ИнцидентTask
Представляет элемент задачи инцидента
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор
|
id | string |
Полный идентификатор ARM задачи. |
|
Имя
|
name | string |
Имя ARM задачи |
|
properties
|
properties | IncidentTaskProperties |
Представляет свойства задачи инцидента. |
IncidentTaskProperties
ИнцидентRelation
Представляет отношение инцидента
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор
|
id | string |
Полный идентификатор ARM отношения инцидента. |
|
Имя
|
name | string |
Имя ARM отношения инцидента |
|
properties
|
properties | IncidentRelationProperties |
Представляет свойства отношения инцидентов JSON. |
ИнцидентRelationProperties
Watchlist
Представляет список наблюдения в Службе "Аналитика безопасности Azure".
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
properties
|
properties | WatchlistProperties |
Описание свойств списка наблюдения |
WatchlistV2
Представляет список наблюдения в Службе "Аналитика безопасности Azure".
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
properties
|
properties | WatchlistPropertiesV2 |
Описание свойств списка наблюдения |
WatchlistProperties
Описание свойств списка наблюдения
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
Идентификатор (guid) списка наблюдения |
|
отображаемое имя
|
displayName | string |
Отображаемое имя списка наблюдения |
|
provider
|
provider | string |
Поставщик списка наблюдения |
|
source
|
source | string |
Источник списка наблюдения |
|
создано
|
created | date-time |
Время создания списка наблюдения |
|
Обновлено
|
updated | date-time |
Последний раз, когда список наблюдения был обновлен |
|
создано кем
|
createdBy | UserInfo |
Сведения о пользователе, которые сделали некоторые действия |
|
обновленоBy
|
updatedBy | UserInfo |
Сведения о пользователе, которые сделали некоторые действия |
|
описание
|
description | string |
Описание списка наблюдения |
|
watchlistType
|
watchlistType | string |
Тип списка наблюдения |
|
watchlistAlias
|
watchlistAlias | string |
Псевдоним списка наблюдения |
|
isDeleted
|
isDeleted | boolean |
Флаг, указывающий, удаляется ли список отслеживания. |
|
labels
|
labels | array of Label |
Список меток, относящихся к этому списку наблюдения |
|
defaultDuration
|
defaultDuration | duration |
Длительность списка наблюдения по умолчанию (в формате длительности ISO 8601) |
|
tenantId
|
tenantId | string |
Идентификатор клиента, к которому принадлежит список наблюдения |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Количество строк в содержимом csv/tsv, пропускаемых перед заголовком |
|
rawContent
|
rawContent | string |
Необработанное содержимое, представляющее элементы списка для создания. В случае типа контента csv/tsv это содержимое файла, который будет анализироваться конечной точкой. |
|
itemsSearchKey
|
itemsSearchKey | string |
Ключ поиска используется для оптимизации производительности запросов при использовании списков наблюдения для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле в качестве ключевого поля при присоединении к другим данным события по IP-адресу. |
|
Тип контента
|
contentType | string |
Тип контента необработанного содержимого. Пример: text/csv или text/tsv |
|
uploadStatus
|
uploadStatus | string |
Состояние отправки списка наблюдения: New, InProgress или Complete. Примечание pls. Если состояние отправки списка наблюдения равно InProgress, список наблюдения не может быть удален. |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
Количество элементов списка наблюдения в списке наблюдения |
WatchlistPropertiesV2
Описание свойств списка наблюдения
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
Идентификатор (guid) списка наблюдения |
|
отображаемое имя
|
displayName | string |
Отображаемое имя списка наблюдения |
|
provider
|
provider | string |
Поставщик списка наблюдения |
|
source
|
source | string |
Имя файла списка наблюдения с именем source |
|
sourceType
|
sourceType | string |
SourceType списка наблюдения |
|
создано
|
created | date-time |
Время создания списка наблюдения |
|
Обновлено
|
updated | date-time |
Последний раз, когда список наблюдения был обновлен |
|
создано кем
|
createdBy | UserInfo |
Сведения о пользователе, которые сделали некоторые действия |
|
обновленоBy
|
updatedBy | UserInfo |
Сведения о пользователе, которые сделали некоторые действия |
|
описание
|
description | string |
Описание списка наблюдения |
|
watchlistType
|
watchlistType | string |
Тип списка наблюдения |
|
watchlistAlias
|
watchlistAlias | string |
Псевдоним списка наблюдения |
|
isDeleted
|
isDeleted | boolean |
Флаг, указывающий, удаляется ли список отслеживания. |
|
labels
|
labels | array of Label |
Список меток, относящихся к этому списку наблюдения |
|
defaultDuration
|
defaultDuration | duration |
Длительность списка наблюдения по умолчанию (в формате длительности ISO 8601) |
|
tenantId
|
tenantId | string |
Идентификатор клиента, к которому принадлежит список наблюдения |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Количество строк в содержимом csv/tsv, пропускаемых перед заголовком |
|
rawContent
|
rawContent | string |
Необработанное содержимое, представляющее элементы списка для создания. В случае типа контента csv/tsv это содержимое файла, который будет анализироваться конечной точкой. |
|
itemsSearchKey
|
itemsSearchKey | string |
Ключ поиска используется для оптимизации производительности запросов при использовании списков наблюдения для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле в качестве ключевого поля при присоединении к другим данным события по IP-адресу. |
|
Тип контента
|
contentType | string |
Тип контента необработанного содержимого. Пример: text/csv или text/tsv |
|
uploadStatus
|
uploadStatus | string |
Состояние отправки списка наблюдения: New, InProgress или Complete. Примечание pls. Если состояние отправки списка наблюдения равно InProgress, список наблюдения не может быть удален. |
WatchlistItemList
WatchlistItem
Представляет watchlistItem в Azure Security Insights.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Полный идентификатор ARM WatchlistItem
|
id | string |
Полный идентификатор элемента списка наблюдения. |
|
Уникальный идентификатор WatchlistItem
|
name | string |
Соответствует идентификатору WatchlistItem (GUID) |
|
Etag WatchlistItem
|
etag | string |
Соответствует etag (GUID) |
|
Тип WatchlistItem
|
type | string |
Соответствует типу WatchlistItem |
|
value
|
value | object |
Сведения о сущности элемента списка наблюдения. |
Закладка
Представляет закладку в Azure Security Insights.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
properties
|
properties | BookmarkProperties |
Описание свойств закладки |
ЗакладкиList
Список всех закладок.
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
nextLink
|
nextLink | string |
URL для получения следующего набора случаев. |
|
value
|
value | array of Bookmark |
Массив закладок. |
ЗакладкаProperties
Описание свойств закладки
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
создано
|
created | date-time |
Время создания закладки |
|
создано кем
|
createdBy | UserInfo |
Сведения о пользователе, которые сделали некоторые действия |
|
отображаемое имя
|
displayName | string |
Отображаемое имя закладки |
|
labels
|
labels | array of Label |
Список меток, относящихся к этой закладке |
|
заметки
|
notes | string |
Заметки закладки |
|
query
|
query | string |
Запрос закладки. |
|
queryResult
|
queryResult | string |
Результат запроса закладки. |
|
Обновлено
|
updated | date-time |
При последнем обновлении закладки |
|
обновленоBy
|
updatedBy | UserInfo |
Сведения о пользователе, которые сделали некоторые действия |
|
время события
|
eventTime | date-time |
Время события закладки |
|
queryStartTime
|
queryStartTime | date-time |
Время начала запроса |
|
queryEndTime
|
queryEndTime | date-time |
Время окончания запроса |
|
incidentInfo
|
incidentInfo | Incident |
Представляет инцидент в Azure Security Insights. |
Информация о пользователе
Сведения о пользователе, которые сделали некоторые действия
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
электронная почта
|
string |
Сообщение электронной почты пользователя. |
|
|
имя
|
name | string |
Имя пользователя. |
|
objectId
|
objectId | uuid |
Идентификатор объекта пользователя. |
Этикетка
Метка, которая будет использоваться для тега и фильтрации.
Метка, которая будет использоваться для тега и фильтрации.
струна
Это базовый тип данных string.