Incidents - Create Or Update
Skapar eller uppdaterar en incident.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01URI-parametrar
| Name | I | Obligatorisk | Typ | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
Incident-ID |
|
resource
|
path | True |
string |
Namnet på resursgruppen. Namnet är skiftlägesokänsligt. |
|
subscription
|
path | True |
string uuid |
ID för målprenumerationen. Värdet måste vara ett UUID. |
|
workspace
|
path | True |
string |
Namnet på arbetsytan. Regex pattern: |
|
api-version
|
query | True |
string |
Den API-version som ska användas för den här åtgärden. |
Begärandetext
| Name | Obligatorisk | Typ | Description |
|---|---|---|---|
| properties.severity | True |
Incidentens allvarlighetsgrad |
|
| properties.status | True |
Status för incidenten |
|
| properties.title | True |
string |
Incidentens rubrik |
| etag |
string |
Etag för azure-resursen |
|
| properties.classification |
Anledningen till att incidenten stängdes |
||
| properties.classificationComment |
string |
Beskriver orsaken till att incidenten stängdes |
|
| properties.classificationReason |
Klassificeringsorsaken till att incidenten avslutades med |
||
| properties.description |
string |
Beskrivningen av incidenten |
|
| properties.firstActivityTimeUtc |
string |
Tidpunkten för den första aktiviteten i incidenten |
|
| properties.labels |
Lista över etiketter som är relevanta för den här incidenten |
||
| properties.lastActivityTimeUtc |
string |
Tidpunkten för den senaste aktiviteten i incidenten |
|
| properties.owner |
Beskriver en användare som incidenten är tilldelad till |
Svar
| Name | Typ | Description |
|---|---|---|
| 200 OK |
OK, Åtgärden har slutförts |
|
| 201 Created |
Skapad |
|
| Other Status Codes |
Felsvar som beskriver varför åtgärden misslyckades. |
Säkerhet
azure_auth
Azure Active Directory OAuth2 Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Name | Description |
|---|---|
| user_impersonation | personifiera ditt användarkonto |
Exempel
Creates or updates an incident.
Sample Request
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}Definitioner
| Name | Description |
|---|---|
|
Attack |
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln. |
|
Cloud |
Felsvarsstruktur. |
|
Cloud |
Felinformation. |
|
created |
Den typ av identitet som skapade resursen. |
| Incident |
Representerar en incident i Azure Security Insights. |
|
Incident |
Incident ytterligare dataegenskapsväska. |
|
Incident |
Anledningen till att incidenten stängdes |
|
Incident |
Klassificeringsorsaken till att incidenten avslutades med |
|
Incident |
Representerar en incidentetikett |
|
Incident |
Typ av etikett |
|
Incident |
Information om användaren som en incident har tilldelats till |
|
Incident |
Incidentens allvarlighetsgrad |
|
Incident |
Status för incidenten |
|
Owner |
Typen av ägare som incidenten har tilldelats. |
|
system |
Metadata som rör skapande och senaste ändring av resursen. |
AttackTactic
Allvarlighetsgraden för aviseringar som skapats av den här aviseringsregeln.
| Name | Typ | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Felsvarsstruktur.
| Name | Typ | Description |
|---|---|---|
| error |
Feldata |
CloudErrorBody
Felinformation.
| Name | Typ | Description |
|---|---|---|
| code |
string |
En identifierare för felet. Koder är invarianta och är avsedda att användas programmatiskt. |
| message |
string |
Ett meddelande som beskriver felet, avsett att vara lämpligt för visning i ett användargränssnitt. |
createdByType
Den typ av identitet som skapade resursen.
| Name | Typ | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
Incident
Representerar en incident i Azure Security Insights.
| Name | Typ | Description |
|---|---|---|
| etag |
string |
Etag för azure-resursen |
| id |
string |
Fullständigt kvalificerat resurs-ID för resursen. Ex – /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| name |
string |
Namnet på resursen |
| properties.additionalData |
Ytterligare data om incidenten |
|
| properties.classification |
Anledningen till att incidenten stängdes |
|
| properties.classificationComment |
string |
Beskriver orsaken till att incidenten stängdes |
| properties.classificationReason |
Klassificeringsorsaken till att incidenten avslutades med |
|
| properties.createdTimeUtc |
string |
Den tid då incidenten skapades |
| properties.description |
string |
Beskrivningen av incidenten |
| properties.firstActivityTimeUtc |
string |
Tidpunkten för den första aktiviteten i incidenten |
| properties.incidentNumber |
integer |
Ett sekventiellt tal |
| properties.incidentUrl |
string |
Url:en för djuplänken till incidenten i Azure Portal |
| properties.labels |
Lista över etiketter som är relevanta för den här incidenten |
|
| properties.lastActivityTimeUtc |
string |
Tidpunkten för den senaste aktiviteten i incidenten |
| properties.lastModifiedTimeUtc |
string |
Senaste gången incidenten uppdaterades |
| properties.owner |
Beskriver en användare som incidenten är tilldelad till |
|
| properties.providerIncidentId |
string |
Incident-ID:t som tilldelats av incidentprovidern |
| properties.providerName |
string |
Namnet på källprovidern som genererade incidenten |
| properties.relatedAnalyticRuleIds |
string[] |
Lista över resurs-ID:t för analysregler som är relaterade till incidenten |
| properties.severity |
Incidentens allvarlighetsgrad |
|
| properties.status |
Status för incidenten |
|
| properties.title |
string |
Incidentens rubrik |
| systemData |
Azure Resource Manager metadata som innehåller createdBy och modifiedBy information. |
|
| type |
string |
Resurstypen. Till exempel "Microsoft.Compute/virtualMachines" eller "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Incident ytterligare dataegenskapsväska.
| Name | Typ | Description |
|---|---|---|
| alertProductNames |
string[] |
Lista över produktnamn för aviseringar i incidenten |
| alertsCount |
integer |
Antalet aviseringar i incidenten |
| bookmarksCount |
integer |
Antalet bokmärken i incidenten |
| commentsCount |
integer |
Antalet kommentarer i incidenten |
| providerIncidentUrl |
string |
Url för providerincidenten till incidenten i Microsoft 365 Defender-portalen |
| tactics |
Taktiken i samband med incidenten |
IncidentClassification
Anledningen till att incidenten stängdes
| Name | Typ | Description |
|---|---|---|
| BenignPositive |
string |
Incidenten var godartad positiv |
| FalsePositive |
string |
Incidenten var falsk positiv |
| TruePositive |
string |
Incidenten var sann positiv |
| Undetermined |
string |
Incidentklassificeringen var obestämd |
IncidentClassificationReason
Klassificeringsorsaken till att incidenten avslutades med
| Name | Typ | Description |
|---|---|---|
| InaccurateData |
string |
Klassificeringsorsaken var felaktiga data |
| IncorrectAlertLogic |
string |
Klassificeringsorsaken var felaktig aviseringslogik |
| SuspiciousActivity |
string |
Klassificeringsorsaken var misstänkt aktivitet |
| SuspiciousButExpected |
string |
Klassificeringsorsaken var misstänkt men förväntad |
IncidentLabel
Representerar en incidentetikett
| Name | Typ | Description |
|---|---|---|
| labelName |
string |
Namnet på etiketten |
| labelType |
Typ av etikett |
IncidentLabelType
Typ av etikett
| Name | Typ | Description |
|---|---|---|
| AutoAssigned |
string |
Etikett som skapas automatiskt av systemet |
| User |
string |
Etikett som skapats manuellt av en användare |
IncidentOwnerInfo
Information om användaren som en incident har tilldelats till
| Name | Typ | Description |
|---|---|---|
| assignedTo |
string |
Namnet på den användare som incidenten har tilldelats. |
|
string |
E-postmeddelandet för användaren som incidenten har tilldelats. |
|
| objectId |
string |
Objekt-ID:t för användaren som incidenten har tilldelats. |
| ownerType |
Typen av ägare som incidenten har tilldelats. |
|
| userPrincipalName |
string |
Användarens huvudnamn för den användare som incidenten har tilldelats. |
IncidentSeverity
Incidentens allvarlighetsgrad
| Name | Typ | Description |
|---|---|---|
| High |
string |
Hög allvarlighetsgrad |
| Informational |
string |
Informations allvarlighetsgrad |
| Low |
string |
Låg allvarlighetsgrad |
| Medium |
string |
Medelhög allvarlighetsgrad |
IncidentStatus
Status för incidenten
| Name | Typ | Description |
|---|---|---|
| Active |
string |
En aktiv incident som hanteras |
| Closed |
string |
En incident som inte är aktiv |
| New |
string |
En aktiv incident som inte hanteras för närvarande |
OwnerType
Typen av ägare som incidenten har tilldelats.
| Name | Typ | Description |
|---|---|---|
| Group |
string |
Incidentägarens typ är en AAD-grupp |
| Unknown |
string |
Typen av incidentägare är okänd |
| User |
string |
Incidentägarens typ är en AAD-användare |
systemData
Metadata som rör skapande och senaste ändring av resursen.
| Name | Typ | Description |
|---|---|---|
| createdAt |
string |
Tidsstämpeln för resursskapande (UTC). |
| createdBy |
string |
Identiteten som skapade resursen. |
| createdByType |
Den typ av identitet som skapade resursen. |
|
| lastModifiedAt |
string |
Tidsstämpeln för resursens senaste ändring (UTC) |
| lastModifiedBy |
string |
Identiteten som senast ändrade resursen. |
| lastModifiedByType |
Den typ av identitet som senast ändrade resursen. |