Incidents - Create Or Update
Создает или обновляет инцидент.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01
Параметры URI
Имя | В | Обязательно | Тип | Описание |
---|---|---|---|---|
incident
|
path | True |
string |
ИД инцидента |
resource
|
path | True |
string |
Имя группы ресурсов. Регистр букв в имени не учитывается. |
subscription
|
path | True |
string uuid |
Идентификатор целевой подписки. Значение должно быть UUID. |
workspace
|
path | True |
string |
имя рабочей области; Regex pattern: |
api-version
|
query | True |
string |
Версия API, используемая для данной операции. |
Текст запроса
Имя | Обязательно | Тип | Описание |
---|---|---|---|
properties.severity | True |
Серьезность инцидента |
|
properties.status | True |
Состояние инцидента |
|
properties.title | True |
string |
Название инцидента |
etag |
string |
Etag ресурса Azure |
|
properties.classification |
Причина закрытия инцидента |
||
properties.classificationComment |
string |
Описывает причину закрытия инцидента |
|
properties.classificationReason |
Причина классификации инцидента была закрыта |
||
properties.description |
string |
Описание инцидента |
|
properties.firstActivityTimeUtc |
string |
Время первого действия в инциденте |
|
properties.labels |
Список меток, относящихся к этому инциденту |
||
properties.lastActivityTimeUtc |
string |
Время последнего действия в инциденте |
|
properties.owner |
Описывает пользователя, которому назначен инцидент |
Ответы
Имя | Тип | Описание |
---|---|---|
200 OK |
ОК, операция успешно завершена |
|
201 Created |
Создание |
|
Other Status Codes |
Ответ об ошибке, описывающий причину сбоя операции. |
Безопасность
azure_auth
Поток OAuth2 в Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Имя | Описание |
---|---|
user_impersonation | олицетворения учетной записи пользователя |
Примеры
Creates or updates an incident.
Sample Request
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}
Определения
Имя | Описание |
---|---|
Attack |
Серьезность для оповещений, созданных этим правилом генерации оповещений. |
Cloud |
Структура ответа на ошибку. |
Cloud |
Сведения об ошибке. |
created |
Тип удостоверения, создавшего ресурс. |
Incident |
Представляет инцидент в Azure Security Insights. |
Incident |
Дополнительный контейнер данных инцидента. |
Incident |
Причина закрытия инцидента |
Incident |
Причина классификации инцидента была закрыта |
Incident |
Представляет метку инцидента |
Incident |
Тип метки |
Incident |
Сведения о пользователе, которому назначен инцидент |
Incident |
Серьезность инцидента |
Incident |
Состояние инцидента |
Owner |
Тип владельца, которому назначен инцидент. |
system |
Метаданные, относящиеся к созданию и последнему изменению ресурса. |
AttackTactic
Серьезность для оповещений, созданных этим правилом генерации оповещений.
Имя | Тип | Описание |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Структура ответа на ошибку.
Имя | Тип | Описание |
---|---|---|
error |
Данные об ошибках |
CloudErrorBody
Сведения об ошибке.
Имя | Тип | Описание |
---|---|---|
code |
string |
Идентификатор ошибки. Коды инвариантны и предназначены для программного использования. |
message |
string |
Сообщение с описанием ошибки, предназначенное для отображения в пользовательском интерфейсе. |
createdByType
Тип удостоверения, создавшего ресурс.
Имя | Тип | Описание |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Представляет инцидент в Azure Security Insights.
Имя | Тип | Описание |
---|---|---|
etag |
string |
Etag ресурса Azure |
id |
string |
Полный идентификатор ресурса. Пример : /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
Имя ресурса. |
properties.additionalData |
Дополнительные данные об инциденте |
|
properties.classification |
Причина закрытия инцидента |
|
properties.classificationComment |
string |
Описывает причину закрытия инцидента |
properties.classificationReason |
Причина классификации инцидента была закрыта |
|
properties.createdTimeUtc |
string |
Время создания инцидента |
properties.description |
string |
Описание инцидента |
properties.firstActivityTimeUtc |
string |
Время первого действия в инциденте |
properties.incidentNumber |
integer |
Последовательное число |
properties.incidentUrl |
string |
URL-адрес прямой ссылки на инцидент в портал Azure |
properties.labels |
Список меток, относящихся к этому инциденту |
|
properties.lastActivityTimeUtc |
string |
Время последнего действия в инциденте |
properties.lastModifiedTimeUtc |
string |
Время последнего обновления инцидента |
properties.owner |
Описывает пользователя, которому назначен инцидент |
|
properties.providerIncidentId |
string |
Идентификатор инцидента, назначенный поставщиком инцидентов |
properties.providerName |
string |
Имя поставщика источника, создавшего инцидент. |
properties.relatedAnalyticRuleIds |
string[] |
Список идентификаторов ресурсов правил аналитики, связанных с инцидентом |
properties.severity |
Серьезность инцидента |
|
properties.status |
Состояние инцидента |
|
properties.title |
string |
Название инцидента |
systemData |
Azure Resource Manager метаданные, содержащие сведения о createdBy и modifiedBy. |
|
type |
string |
Тип ресурса. Например, "Microsoft.Compute/virtualMachines" или "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Дополнительный контейнер данных инцидента.
Имя | Тип | Описание |
---|---|---|
alertProductNames |
string[] |
Список названий продуктов оповещений в инциденте |
alertsCount |
integer |
Количество оповещений в инциденте |
bookmarksCount |
integer |
Количество закладок в инциденте |
commentsCount |
integer |
Количество комментариев в инциденте |
providerIncidentUrl |
string |
URL-адрес инцидента поставщика на портале Microsoft 365 Defender |
tactics |
Тактика, связанная с инцидентом |
IncidentClassification
Причина закрытия инцидента
Имя | Тип | Описание |
---|---|---|
BenignPositive |
string |
Инцидент был доброкачественным положительным |
FalsePositive |
string |
Инцидент был ложноположительным |
TruePositive |
string |
Инцидент был действительно положительным |
Undetermined |
string |
Классификация инцидентов не определена |
IncidentClassificationReason
Причина классификации инцидента была закрыта
Имя | Тип | Описание |
---|---|---|
InaccurateData |
string |
Причина классификации — неточные данные |
IncorrectAlertLogic |
string |
Причина классификации — неправильная логика оповещений |
SuspiciousActivity |
string |
Причина классификации — подозрительное действие |
SuspiciousButExpected |
string |
Причина классификации была подозрительной, но ожидаемой |
IncidentLabel
Представляет метку инцидента
Имя | Тип | Описание |
---|---|---|
labelName |
string |
Имя метки |
labelType |
Тип метки |
IncidentLabelType
Тип метки
Имя | Тип | Описание |
---|---|---|
AutoAssigned |
string |
Метка автоматически создается системой |
User |
string |
Метка, созданная пользователем вручную |
IncidentOwnerInfo
Сведения о пользователе, которому назначен инцидент
Имя | Тип | Описание |
---|---|---|
assignedTo |
string |
Имя пользователя, которому назначен инцидент. |
string |
Адрес электронной почты пользователя, которому назначен инцидент. |
|
objectId |
string |
Идентификатор объекта пользователя, которому назначен инцидент. |
ownerType |
Тип владельца, которому назначен инцидент. |
|
userPrincipalName |
string |
Имя участника-пользователя, которому назначен инцидент. |
IncidentSeverity
Серьезность инцидента
Имя | Тип | Описание |
---|---|---|
High |
string |
Высокая серьезность |
Informational |
string |
Информационная серьезность |
Low |
string |
Низкая серьезность |
Medium |
string |
Средняя серьезность |
IncidentStatus
Состояние инцидента
Имя | Тип | Описание |
---|---|---|
Active |
string |
Активный инцидент, который обрабатывается |
Closed |
string |
Неактивный инцидент |
New |
string |
Активный инцидент, который в настоящее время не обрабатывается |
OwnerType
Тип владельца, которому назначен инцидент.
Имя | Тип | Описание |
---|---|---|
Group |
string |
Тип владельца инцидента — это группа AAD. |
Unknown |
string |
Неизвестный тип владельца инцидента |
User |
string |
Тип владельца инцидента — пользователь AAD |
systemData
Метаданные, относящиеся к созданию и последнему изменению ресурса.
Имя | Тип | Описание |
---|---|---|
createdAt |
string |
Метка времени создания ресурса (UTC). |
createdBy |
string |
Удостоверение, создающее ресурс. |
createdByType |
Тип удостоверения, создавшего ресурс. |
|
lastModifiedAt |
string |
Метка времени последнего изменения ресурса (UTC) |
lastModifiedBy |
string |
Удостоверение, которое в последний раз изменял ресурс. |
lastModifiedByType |
Тип удостоверения, изменяющего ресурс в последний раз. |