Microsoft Sentinel (Önizleme)
En önemli konulara odaklanabilmeniz için yerleşik yapay zekaya sahip bulutta yerel SIEM
Bu bağlayıcı aşağıdaki ürün ve bölgelerde kullanılabilir:
| Hizmet | Class | Bölgeler |
|---|---|---|
| Logic Apps | Standart | Tüm Logic Apps bölgeleri |
| İletişim | |
|---|---|
| İsim | Microsoft |
| URL |
Microsoft LogicApps Desteği |
| Bağlayıcı Meta Verileri | |
|---|---|
| Publisher | Microsoft |
| Web sitesi | https://azure.microsoft.com/services/azure-sentinel/ |
Microsoft Sentinel Bağlayıcısı
Bağlayıcı derinlemesine
Bu bağlayıcıyı kullanma hakkında daha fazla bilgi edinin:
- Playbook'ların kimliğini Azure Sentinel'de doğrulama
- Playbook'larda tetikleyicileri ve eylemleri kullanma
- Öğretici: Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma
Authentication
Mcirosoft Sentinel bağlayıcısında tetikleyiciler ve eylemler, ilgili çalışma alanında gerekli izinlere (okuma ve/veya yazma) sahip herhangi bir kimlik adına çalışabilir. Bağlayıcı birden çok kimlik türünü destekler:
- Yönetilen kimlik (önizleme)
- Microsoft Entra Id kullanıcısı
- Hizmet sorumlusu (Microsoft Entra ID uygulaması)
Gerekli izinler
| Roller / Bağlayıcı bileşenleri | Triggers | "Get" eylemleri | Olayı güncelleştirin, yorum ekle |
|---|---|---|---|
| Microsoft Sentinel Okuyucusu | ✓ | ✓ | ✗ |
| Microsoft Sentinel Yanıtlayıcı/Katkıda Bulunanı | ✓ | ✓ | ✓ |
Microsoft Sentinel'deki izinler hakkında daha fazla bilgi edinin.
Farklı kimlik doğrulama seçeneklerini kullanmayı öğrenin.
Bilinen sorunlar ve sınırlamalar
"Tetikleyiciyi Çalıştır" düğmesi kullanılarak Microsoft Sentinel tetikleyicisi tarafından çağrılan mantıksal uygulama tetiklenemez
Kullanıcı, Bir Microsoft Sentinel playbook'unu tetikleme amacıyla Logic Apps hizmetinin Genel Bakış dikey penceresindeki Tetikleyiciyi çalıştır düğmesini kullanamaz.
Azure Logic Apps, gövdesi tetikleyicinin girişi olan bir POST REST çağrısı tarafından tetiklenir. Microsoft Sentinel tetikleyicileriyle başlayan Logic Apps, aramanın gövdesinde bir Microsoft Sentinel uyarısının veya olayının içeriğini görmeyi bekler. Çağrı Logic Apps Genel Bakış dikey penceresinden geldiğinde, çağrının gövdesi boştur ve bu nedenle bir hata oluşturulur.
Microsoft Sentinel playbook'larını tetiklemenin tek doğru yolu şunlardır:
- Microsoft Sentinel'de el ile tetikleme
- Microsoft Sentinel'de analiz kuralının otomatik yanıtı (doğrudan veya otomasyon kuralı aracılığıyla)
- Mevcut Logic Apps çalıştırma dikey penceresinde "Yeniden gönder" düğmesini kullanma
- Logic Apps uç noktasını doğrudan çağırın (gövde olarak bir uyarı/olay ekleme)
Her döngü için aynı olayı paralel olarak güncelleştirme
Her döngü için varsayılan olarak paralel çalışacak şekilde ayarlanır, ancak sırayla çalışacak şekilde kolayca ayarlanabilir. Her döngü için bir ayrı yinelemelerde aynı Microsoft Sentinel olayını güncelleştirebilirse, sırayla çalışacak şekilde yapılandırılmalıdır.
Uyarının özgün sorgusunu geri yükleme şu anda Logic Apps aracılığıyla desteklenmiyor
Zamanlanmış uyarı analizi kuralı tarafından yakalanan olayları almak için Azure İzleyici Günlükleri bağlayıcısının kullanımı tutarlı bir şekilde güvenilir değildir.
- Azure İzleyici Günlükleri özel bir zaman aralığının tanımını desteklemez. Tam olarak aynı sorgu sonuçlarının geri yüklenmesi için özgün sorguda olduğu gibi tam olarak aynı zaman aralığının tanımlanması gerekir.
- Kural playbook'u tetikledikten sonra Log Analytics çalışma alanında uyarıların gösterilmesi gecikebilir.
Kullanılabilir kaynaklar
Microsoft Sentinel belgeleri
- Playbook'larla otomasyonu ilerletme
- Öğretici: Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma
- Playbook'ların kimliğini Microsoft Sentinel'de doğrulama
- Playbook'larda tetikleyicileri ve eylemleri kullanma
Microsoft Sentinel Başvuruları
Azure Logic Apps
Bağlantı oluşturma
Bağlayıcı aşağıdaki kimlik doğrulama türlerini destekler:
| Varsayılan | Bağlantı oluşturmak için parametreler. | Tüm bölgeler | Paylaşılamaz |
Temerrüt
Geçerli: Tüm bölgeler
Bağlantı oluşturmak için parametreler.
Bu, paylaşılabilir bir bağlantı değildir. Power app başka bir kullanıcıyla paylaşılıyorsa, başka bir kullanıcıdan açıkça yeni bağlantı oluşturması istenir.
Azaltma Sınırları
| Name | Çağrılar | Yenileme Dönemi |
|---|---|---|
| Bağlantı başına API çağrıları | 600 | 60 saniye |
Eylemler
| ASI tetikleyicisi aboneliği kaldırma [KULLANIM DIŞI] |
Aboneliği kaldır |
| Görevi tamamlandı olarak işaretleme |
Görevi tamamlandı olarak işaretleme |
| İzleme Listeleri - Belirli bir izleme listesi için tüm İzleme Listesi Öğelerini alma |
İzleme Listeleri - Belirli bir izleme listesi için tüm İzleme Listesi Öğelerini alma |
| İzleme Listeleri - Belirli bir İzleme Listesi için tüm İzleme Listesi Öğelerini Alma (V2) |
İzleme Listeleri - Belirli bir İzleme Listesi için tüm İzleme Listesi Öğelerini Alma (V2) |
| İzleme Listeleri - Diğer adlara göre İzleme Listesi alma |
İzleme Listeleri - Diğer adlara göre İzleme Listesi alma |
| İzleme Listeleri - İzleme Listesi Öğesini Silme |
İzleme Listeleri - İzleme Listesi Öğesini Silme |
| İzleme Listeleri - İzleme Listesi Öğesini Silme (V2) |
İzleme Listeleri - İzleme Listesi Öğesini Silme (V2) |
| İzleme Listeleri - İzleme Listesini Silme |
İzleme Listeleri - İzleme Listesini Silme |
| İzleme Listeleri - İzleme Listesini Silme (V2) |
Belirli bir İzleme Listesini diğer adlara göre siler. |
| İzleme Listeleri - Kimliğine Göre İzleme Listesi Öğesi Alma (guid) |
İzleme Listeleri - İzleme Listesi Öğesi Alma |
| İzleme Listeleri - Mevcut bir İzleme Listesi Öğesini güncelleştirme |
İzleme Listeleri - Mevcut bir İzleme Listesi Öğesini güncelleştirme |
| İzleme Listeleri - SAS Uri'si (V2) kullanarak büyük bir İzleme Listesi oluşturma |
İzleme Listeleri - SAS Uri'si (V2) kullanarak büyük bir İzleme Listesi oluşturma |
| İzleme Listeleri - SAS Uri kullanarak büyük bir İzleme Listesi oluşturma |
İzleme Listeleri - SAS Uri kullanarak büyük bir İzleme Listesi oluşturma |
| İzleme Listeleri - Verilerle yeni bir İzleme Listesi oluşturma (Ham İçerik) |
İzleme Listeleri - Verilerle yeni bir İzleme Listesi oluşturma (Ham İçerik) |
| İzleme Listeleri - Verilerle yeni bir İzleme Listesi oluşturma (Ham İçerik) (V2) |
İzleme Listeleri - Verilerle yeni bir İzleme Listesi oluşturma (Ham İçerik) (V2) |
| İzleme Listeleri - Yeni bir İzleme Listesi Öğesi Ekleme |
İzleme Listeleri - Yeni bir İzleme Listesi Öğesi Ekleme |
| Olay alma |
ARM kimliğine göre olay alma |
| Olay açıklamasını değiştirme (V2) (kullanım dışı) [KULLANIM DIŞI] |
açıklamayı seçili olayla değiştirir |
| Olay açıklamasını değiştirme [KULLANIM DIŞI] |
açıklamayı seçili olayla değiştirir |
| Olay başlığını değiştirme (V2) (kullanım dışı) [KULLANIM DIŞI] |
başlığı seçili olaya değiştirir |
| Olay başlığını değiştirme [KULLANIM DIŞI] |
başlığı seçili olaya değiştirir |
| Olay durumunu değiştirme (kullanım dışı) [KULLANIM DIŞI] |
durumu seçili olayla değiştirir |
| Olay oluşturma |
Sağlanan alanlarla olay oluşturma |
| Olay önem derecesini değiştirme (kullanım dışı) [KULLANIM DIŞI] |
seçilen olaya önem derecesini değiştirir |
| Olaya açıklama ekleme (V2) |
Seçili olaya açıklama ekler |
| Olaya açıklama ekleme (V3) |
Seçili olaya açıklama ekler |
| Olaya açıklama ekleme [KULLANIM DIŞI] |
Bu eylem kullanım dışı bırakıldı. Bunun yerine lütfen Olaya açıklama ekle (V3) kullanın.
|
| Olaya etiket ekleme (kullanım dışı) [KULLANIM DIŞI] |
Seçili olaya etiket ekler |
| Olaya görev ekleme |
Mevcut bir olaya görev ekler |
| Olaya uyarı ekleme |
Mevcut bir olaya uyarı ekleyin. Uyarı, olaya başka bir uyarı olarak katılır ve portalda gösterilir. |
| Olaydan etiketleri kaldırma (kullanım dışı) [KULLANIM DIŞI] |
Seçili olay etiketlerini kaldırır |
| Olaydan uyarıyı kaldırma |
Mevcut bir olaydan uyarıyı kaldırma. |
| Olayı güncelleştirme |
Sağlanan alanlarla olayı güncelleştirme |
| Tehdit Bilgileri - Karşıya Yükleme Risk Göstergeleri (V2) (Önizleme) |
Tehdit Bilgileri Yükleme Göstergeleri API'sini kullanarak göstergeleri toplu olarak karşıya yükleyin. |
| Tehdit Bilgileri - Risk Göstergelerini Karşıya Yükleme (Kullanım Dışı) |
Tehdit Bilgileri - Risk Göstergelerini Karşıya Yükleme |
| Tehdit Bilgileri - STIX Nesnelerini Karşıya Yükleme (Önizleme) |
Tehdit Bilgileri Karşıya Yükleme API'sini kullanarak STIX Nesnelerini toplu olarak karşıya yükleyin. |
| Uyarı - Olayı Al |
Seçili uyarıyla ilişkili olayı döndürür |
| Uyarı - Olayı Al |
Seçili uyarıyla ilişkili olayı döndürür |
| Varlıklar - DNS Alma |
Uyarıyla ilişkili DNS kayıtlarının listesini döndürür |
| Varlıklar - Dosya Karmalarını al |
Uyarıyla ilişkili Dosya Karmalarının listesini döndürür |
| Varlıklar - Hesapları Al |
Uyarıyla ilişkili hesapların listesini döndürür |
| Varlıklar - IP’leri Al |
Uyarıyla ilişkilendirilmiş IP'lerin listesini döndürür |
| Varlıklar - Konakları Al |
Uyarıyla ilişkilendirilmiş konakların listesini döndürür |
| Varlıklar - URL’leri Al |
Uyarıyla ilişkili URL'lerin listesini döndürür |
| Yer işaretleri (V2) - Yeni yer işareti oluşturma (json girişi) (Önizleme) |
Yer işaretleri (V2) - Geçerli bir yeni yer işareti (json) oluşturun. |
| Yer İşaretleri (V3) - Ayrı alanlarla yeni yer işareti oluşturur (Önizleme) |
Yer işaretleri (V3) - Yeni bir yer işareti oluşturun. |
| Yer işaretleri - Tüm yer işaretlerini alma |
Yer İşaretleri - Belirli bir çalışma alanı için tüm yer işaretlerini alma |
| Yer İşaretleri - Yeni yer işareti oluşturur (Önizleme) |
Yer İşaretleri - Yeni bir yer işareti oluşturur. |
| Yer işaretleri - Yer işareti alma |
Yer İşaretleri - Kimliğine göre yer işaretleri alma |
| Yer İşaretleri - Yer işaretini silme |
Yer İşaretleri - Yer işaretini silme |
ASI tetikleyicisi aboneliği kaldırma [KULLANIM DIŞI]
Görevi tamamlandı olarak işaretleme
Görevi tamamlandı olarak işaretleme
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Görev ARM kimliği
|
taskArmId | True | string |
Görev ARM kimliği |
Döndürülenler
Bir olay görev öğesini temsil eder
- Olay görevi
- IncidentTask
İzleme Listeleri - Belirli bir izleme listesi için tüm İzleme Listesi Öğelerini alma
İzleme Listeleri - Belirli bir izleme listesi için tüm İzleme Listesi Öğelerini alma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
Döndürülenler
Tüm izleme listesi öğelerini listeleyin.
- response
- WatchlistItemList
İzleme Listeleri - Belirli bir İzleme Listesi için tüm İzleme Listesi Öğelerini Alma (V2)
İzleme Listeleri - Belirli bir İzleme Listesi için tüm İzleme Listesi Öğelerini Alma (V2)
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
|
Belirteci Atla
|
skipToken | string |
Döndürülecek sonraki 100 öğe kümesi için belirteci atlama |
Döndürülenler
Tüm izleme listesi öğelerini listeleyin.
- response
- WatchlistItemList
İzleme Listeleri - Diğer adlara göre İzleme Listesi alma
İzleme Listeleri - Diğer adlara göre İzleme Listesi alma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
Döndürülenler
Azure Güvenlik İçgörüleri'nde bir İzleme Listesini temsil eder.
- Body
- Watchlist
İzleme Listeleri - İzleme Listesi Öğesini Silme
İzleme Listeleri - İzleme Listesi Öğesini Silme
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
|
İzleme Listesi Öğe Kimliğini Belirtin
|
watchlistItemId | True | string |
İzleme listesi öğesinin benzersiz tanımlayıcısı (GUID) |
Döndürülenler
- response
- string
İzleme Listeleri - İzleme Listesi Öğesini Silme (V2)
İzleme Listeleri - İzleme Listesi Öğesini Silme (V2)
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
|
İzleme Listesi Öğe Kimliğini Belirtin
|
watchlistItemId | True | string |
İzleme listesi öğesinin benzersiz tanımlayıcısı (GUID) |
Döndürülenler
- response
- string
İzleme Listeleri - İzleme Listesini Silme
İzleme Listeleri - İzleme Listesini Silme
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
Döndürülenler
- response
- string
İzleme Listeleri - İzleme Listesini Silme (V2)
Belirli bir İzleme Listesini diğer adlara göre siler.
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
İzleme Listeleri - Kimliğine Göre İzleme Listesi Öğesi Alma (guid)
İzleme Listeleri - İzleme Listesi Öğesi Alma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
|
İzleme Listesi Öğe Kimliğini Belirtin
|
watchlistItemId | True | string |
İzleme listesi öğesinin benzersiz tanımlayıcısı (GUID) |
Döndürülenler
Azure Security Insights'ta watchlistItem'i temsil eder.
- Body
- WatchlistItem
İzleme Listeleri - Mevcut bir İzleme Listesi Öğesini güncelleştirme
İzleme Listeleri - Mevcut bir İzleme Listesi Öğesini güncelleştirme
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
|
İzleme Listesi Öğe Kimliğini Belirtin
|
watchlistItemId | True | string |
İzleme listesi öğesinin benzersiz tanımlayıcısı (GUID) |
Döndürülenler
Azure Security Insights'ta watchlistItem'i temsil eder.
- Body
- WatchlistItem
İzleme Listeleri - SAS Uri'si (V2) kullanarak büyük bir İzleme Listesi oluşturma
İzleme Listeleri - SAS Uri'si (V2) kullanarak büyük bir İzleme Listesi oluşturma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
Döndürülenler
Azure Güvenlik İçgörüleri'nde bir İzleme Listesini temsil eder.
- Body
- WatchlistV2
İzleme Listeleri - SAS Uri kullanarak büyük bir İzleme Listesi oluşturma
İzleme Listeleri - SAS Uri kullanarak büyük bir İzleme Listesi oluşturma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
Döndürülenler
Azure Güvenlik İçgörüleri'nde bir İzleme Listesini temsil eder.
- Body
- Watchlist
İzleme Listeleri - Verilerle yeni bir İzleme Listesi oluşturma (Ham İçerik)
İzleme Listeleri - Verilerle yeni bir İzleme Listesi oluşturma (Ham İçerik)
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
Döndürülenler
Azure Güvenlik İçgörüleri'nde bir İzleme Listesini temsil eder.
- Body
- Watchlist
İzleme Listeleri - Verilerle yeni bir İzleme Listesi oluşturma (Ham İçerik) (V2)
İzleme Listeleri - Verilerle yeni bir İzleme Listesi oluşturma (Ham İçerik) (V2)
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
Döndürülenler
Azure Güvenlik İçgörüleri'nde bir İzleme Listesini temsil eder.
- Body
- WatchlistV2
İzleme Listeleri - Yeni bir İzleme Listesi Öğesi Ekleme
İzleme Listeleri - Yeni bir İzleme Listesi Öğesi Ekleme
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
İzleme listesi diğer adını belirtme
|
watchlistAlias | True | string |
İzleme listesi diğer adı |
Döndürülenler
Azure Security Insights'ta watchlistItem'i temsil eder.
- Body
- WatchlistItem
Olay alma
ARM kimliğine göre olay alma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Olay ARM kimliği
|
incidentArmId | True | string |
Olay ARM kimliği |
Döndürülenler
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder.
- Body
- Incident
Olay açıklamasını değiştirme (V2) (kullanım dışı) [KULLANIM DIŞI]
açıklamayı seçili olayla değiştirir
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
Açıklamayı belirtin
|
Value | True | string |
Açıklama değeri |
Döndürülenler
- response
- string
Olay açıklamasını değiştirme [KULLANIM DIŞI]
açıklamayı seçili olayla değiştirir
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
Açıklamayı belirtin
|
fieldValue | True | string |
Açıklama değeri |
Döndürülenler
- response
- string
Olay başlığını değiştirme (V2) (kullanım dışı) [KULLANIM DIŞI]
başlığı seçili olaya değiştirir
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
Başlığı belirtin
|
Value | True | string |
Başlık değeri |
Döndürülenler
- response
- string
Olay başlığını değiştirme [KULLANIM DIŞI]
başlığı seçili olaya değiştirir
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
Başlığı belirtin
|
fieldValue | True | string |
Başlık değeri |
Döndürülenler
- response
- string
Olay durumunu değiştirme (kullanım dışı) [KULLANIM DIŞI]
durumu seçili olayla değiştirir
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
Durumu belirtin
|
status | True | string |
Durum değeri |
|
dynamicStatusChangerSchema
|
dynamicStatusChangerSchema | dynamic |
Olay durumu değiştiricisinin Dinamik Şeması |
Döndürülenler
- response
- string
Olay oluşturma
Sağlanan alanlarla olay oluşturma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Subscription
|
subscriptionId | True | string |
Abonelik seçme |
|
Kaynak Grubu
|
resourceGroup | True | string |
Kaynak grubunu seçin |
|
Çalışma alanı adı
|
workspaceName | True | string |
Çalışma Alanı Seç |
|
Olay alanlarını belirtme
|
body | True | dynamic |
Olay alanları |
Döndürülenler
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder.
- Body
- Incident
Olay önem derecesini değiştirme (kullanım dışı) [KULLANIM DIŞI]
seçilen olaya önem derecesini değiştirir
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
Önem derecesini belirtin
|
severity | True | string |
Önem derecesi değeri |
Döndürülenler
- response
- string
Olaya açıklama ekleme (V2)
Seçili olaya açıklama ekler
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
Açıklamayı belirtme
|
Value | True | string |
Açıklama değeri |
Döndürülenler
- response
- string
Olaya açıklama ekleme (V3)
Seçili olaya açıklama ekler
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Olay ARM kimliği
|
incidentArmId | True | string |
Olay ARM kimliği |
|
Olay açıklaması iletisi
|
message | True | html |
Olay açıklaması iletisi |
Döndürülenler
Olay açıklama öğesini temsil eder
- Olay Açıklaması
- IncidentComment
Olaya açıklama ekleme [KULLANIM DIŞI]
Bu eylem kullanım dışı bırakıldı. Bunun yerine lütfen Olaya açıklama ekle (V3) kullanın.
Seçili olaya açıklama ekler
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
Olay açıklamasını belirtme
|
comment | True | string |
Olay açıklaması |
Döndürülenler
- response
- string
Olaya etiket ekleme (kullanım dışı) [KULLANIM DIŞI]
Seçili olaya etiket ekler
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
label
|
Label | True | string |
label |
Döndürülenler
- response
- string
Olaya görev ekleme
Mevcut bir olaya görev ekler
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Olay ARM kimliği
|
incidentArmId | True | string |
Olay ARM kimliği |
|
Başlık
|
taskTitle | True | string |
Görev başlığı |
|
Description
|
taskDescription | html |
Görev açıklaması |
Döndürülenler
Bir olay görev öğesini temsil eder
- Olay görevi
- IncidentTask
Olaya uyarı ekleme
Mevcut bir olaya uyarı ekleyin. Uyarı, olaya başka bir uyarı olarak katılır ve portalda gösterilir.
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Olay ARM Kimliği
|
incidentArmId | True | string |
Olay ARM Kimliği. Olay tetikleyicisi, Uyarı - Olay eylemini alma veya Azure İzleyici Günlükleri sorgusundan alma. |
|
Sistem Uyarısı Kimliği
|
relatedResourceId | True | string |
Olaya eklenecek /olaydan kaldırılacak sistem uyarısı kimliği. Azure İzleyici Günlükleri sorgusundan veya Uyarı Tetikleyicisi'nden alın. Örneğin: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Döndürülenler
Olay ilişkisini temsil eder
- Body
- IncidentRelation
Olaydan etiketleri kaldırma (kullanım dışı) [KULLANIM DIŞI]
Seçili olay etiketlerini kaldırır
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Tanımlayıcı
|
identifier | True | string |
Olay / uyarı |
|
Uyarı /olay belirtme
|
id | True | string |
Lütfen olay numarasını / uyarı kimliğini belirtin |
|
label
|
Label | True | string |
label |
Döndürülenler
- response
- string
Olaydan uyarıyı kaldırma
Mevcut bir olaydan uyarıyı kaldırma.
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Olay ARM Kimliği
|
incidentArmId | True | string |
Olay ARM Kimliği. Olay tetikleyicisi, Uyarı - Olay eylemini alma veya Azure İzleyici Günlükleri sorgusundan alma. |
|
Sistem Uyarısı Kimliği
|
relatedResourceId | True | string |
Olaya eklenecek /olaydan kaldırılacak sistem uyarısı kimliği. Azure İzleyici Günlükleri sorgusundan veya Uyarı Tetikleyicisi'nden alın. Örneğin: dfc09ba0-c218-038d-2ad8-b198a0033bdb. |
Döndürülenler
- response
- string
Olayı güncelleştirme
Sağlanan alanlarla olayı güncelleştirme
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Güncelleştirilecek olay alanlarını belirtme
|
body | True | dynamic |
Güncelleştirilecek olay alanları |
Döndürülenler
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder.
- Body
- Incident
Tehdit Bilgileri - Karşıya Yükleme Risk Göstergeleri (V2) (Önizleme)
Tehdit Bilgileri Yükleme Göstergeleri API'sini kullanarak göstergeleri toplu olarak karşıya yükleyin.
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
Döndürülenler
Threat Intelligence Uplaod API'sinden yanıt. Bunlar istek gövdesindeki geçersiz nesneler için hatalardır.
Tehdit Bilgileri - Risk Göstergelerini Karşıya Yükleme (Kullanım Dışı)
Tehdit Bilgileri - Risk Göstergelerini Karşıya Yükleme
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
Döndürülenler
Tehdit Analizi Koruma Göstergelerinden yanıt.
Tehdit Bilgileri - STIX Nesnelerini Karşıya Yükleme (Önizleme)
Tehdit Bilgileri Karşıya Yükleme API'sini kullanarak STIX Nesnelerini toplu olarak karşıya yükleyin.
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
Döndürülenler
Threat Intelligence Uplaod API'sinden yanıt. Bunlar istek gövdesindeki geçersiz nesneler için hatalardır.
Uyarı - Olayı Al
Seçili uyarıyla ilişkili olayı döndürür
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Uyarı kimliğini belirtin
|
alertId | True | string |
Sistem Uyarısı Kimliği |
Döndürülenler
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder.
- Body
- Incident
Uyarı - Olayı Al
Seçili uyarıyla ilişkili olayı döndürür
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Uyarı kimliğini belirtin
|
alertId | True | string |
Sistem uyarı kimliği |
Döndürülenler
- Body
- OldIncident
Varlıklar - DNS Alma
Uyarıyla ilişkili DNS kayıtlarının listesini döndürür
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Varlıklar listesi
|
body | True | string |
Varlıklar listesi |
Döndürülenler
Uyarıyla ilişkili DNS etki alanlarının listesi
- Body
- BatchResponseDNS
Varlıklar - Dosya Karmalarını al
Uyarıyla ilişkili Dosya Karmalarının listesini döndürür
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Varlıklar listesi
|
body | True | string |
Varlıklar listesi |
Döndürülenler
Uyarıyla ilişkilendirilmiş Dosya Karmalarının listesi
Varlıklar - Hesapları Al
Uyarıyla ilişkili hesapların listesini döndürür
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Varlıklar listesi
|
body | True | string |
Varlıklar listesi |
Döndürülenler
Uyarıyla ilişkilendirilmiş hesapların listesi
- Body
- BatchResponseAccount
Varlıklar - IP’leri Al
Uyarıyla ilişkilendirilmiş IP'lerin listesini döndürür
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Varlıklar listesi
|
body | True | string |
Varlıklar listesi |
Döndürülenler
Uyarıyla ilişkilendirilmiş IP'lerin listesi
- Body
- BatchResponseIP
Varlıklar - Konakları Al
Uyarıyla ilişkilendirilmiş konakların listesini döndürür
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Varlıklar listesi
|
body | True | string |
Varlıklar listesi |
Döndürülenler
Uyarıyla ilişkilendirilmiş konakların listesi
- Body
- BatchResponseHost
Varlıklar - URL’leri Al
Uyarıyla ilişkili URL'lerin listesini döndürür
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Varlıklar listesi
|
body | True | string |
Varlıklar listesi |
Döndürülenler
Uyarıyla ilişkilendirilmiş URL'lerin listesi
- Body
- BatchResponseUrl
Yer işaretleri (V2) - Yeni yer işareti oluşturma (json girişi) (Önizleme)
Yer işaretleri (V2) - Geçerli bir yeni yer işareti (json) oluşturun.
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Yer İşareti Görünen Adı
|
displayName | True | string |
Yer işaretinin görünen adı |
|
Yer işareti sorgusu
|
bookmarkQuery | True | string |
Yer işareti sorgusu (Örn. 'SecurityEvent | burada TimeGenerated > ago(1d) ve TimeGenerated < ago(2d)') |
|
Yer işareti sorgu sonucu
|
bookmarkQueryResult | True | string |
Yer işareti sorgu sonucu (Ör. 'Güvenlik Olayı sorgu sonucu') |
|
Yer işareti notları
|
bookmarkNotes | string |
Yer işareti notları (Ör. 'Yer İşareti notlarım') |
Döndürülenler
Azure Security Insights'ta yer işaretini temsil eder.
- Body
- Bookmark
Yer İşaretleri (V3) - Ayrı alanlarla yeni yer işareti oluşturur (Önizleme)
Yer işaretleri (V3) - Yeni bir yer işareti oluşturun.
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Yer işareti görünen adını belirtin
|
bookmarkName | True | string |
Yer İşareti Görünen Adı (Ör. 'Yer İşaretim') |
|
Yer işareti sorgusunu belirtme
|
bookmarkQuery | True | string |
Yer işareti sorgusu (Örn. 'SecurityEvent | burada TimeGenerated > ago(1d) ve TimeGenerated < ago(2d)') |
|
Yer işareti sorgu sonucunu belirtme
|
bookmarkQueryResult | True | string |
Yer işareti sorgu sonucu (Ör. 'Güvenlik Olayı sorgu sonucu') |
|
Yer işareti notlarını belirtme
|
bookmarkNotes | True | string |
Yer işareti notları (Ör. 'Yer İşareti notlarım') |
Döndürülenler
Azure Security Insights'ta yer işaretini temsil eder.
- Body
- Bookmark
Yer işaretleri - Tüm yer işaretlerini alma
Yer İşaretleri - Belirli bir çalışma alanı için tüm yer işaretlerini alma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Yer işareti sayısını belirtme
|
numberOfBookmarks | True | integer |
Döndürülecek Yer İşaretleri sayısı. Tüm yer işaretlerini döndürmek için 0 veya negatif |
Döndürülenler
Tüm yer işaretlerini listeleyin.
- Body
- BookmarkList
Yer İşaretleri - Yeni yer işareti oluşturur (Önizleme)
Yer İşaretleri - Yeni bir yer işareti oluşturur.
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Yer İşareti Kimliğini Belirtme
|
bookmarkId | True | string |
Yer İşareti Kimliği |
|
Oluşturulan
|
created | date-time |
Yer işaretinin oluşturulduğu saat |
|
|
e-posta
|
string |
Kullanıcının e-posta adresi. |
||
|
name
|
name | string |
Kullanıcının adı. |
|
|
objectId (nesne kimliği)
|
objectId | uuid |
Kullanıcının nesne kimliği. |
|
|
ekran adı
|
displayName | True | string |
Yer işaretinin görünen adı |
|
labels
|
labels | string |
Etiketlemek ve filtrelemek için kullanılacak etiket. |
|
|
Notlar
|
notes | string |
Yer işaretinin notları |
|
|
soru
|
query | True | string |
Yer işaretinin sorgusu. |
|
queryResult
|
queryResult | string |
Yer işaretinin sorgu sonucu. |
|
|
Güncel -leştirilmiş
|
updated | date-time |
Yer işaretinin en son güncelleştirilişi |
|
|
etkinlikZamanı
|
eventTime | date-time |
Yer işareti olay zamanı |
|
|
queryStartTime
|
queryStartTime | date-time |
Sorgunun başlangıç saati |
|
|
queryEndTime
|
queryEndTime | date-time |
Sorgunun bitiş saati |
|
|
Olay ARM Kimliği
|
id | string |
Olayın tam ARM kimliği. |
|
|
Olay ARM Adı
|
name | string |
Olayın ARM adı (GUID) |
|
|
Olay Uyarı Sayısı
|
alertsCount | integer |
Olaydaki uyarı sayısı |
|
|
Olay Yer İşaretleri Sayısı
|
bookmarksCount | integer |
Olaydaki yer işaretlerinin sayısı |
|
|
Olay Açıklamaları Sayısı
|
commentsCount | integer |
Olaydaki açıklama sayısı |
|
|
Olay Uyarısı ürün adları
|
alertProductNames | array of string |
Olaydaki uyarıların ürün adları listesi |
|
|
Sağlayıcı Olay Url'si
|
providerIncidentUrl | string |
Microsoft Defender portalında olayın URL'si |
|
|
Birleştirilmiş Olay Numarası
|
mergedIncidentNumber | string |
Geçerli olayın birleştirildiği olayın olay numarası |
|
|
Birleştirilmiş Olay Url'si
|
mergedIncidentUrl | string |
Geçerli olayın birleştirildiği olayın URL'si |
|
|
Olay Taktikleri
|
Incident Tactics | string |
Olayla ilişkili bir taktik öğesini temsil eder |
|
|
Olay Teknikleri
|
techniques | array of string |
Olayın taktikleriyle ilişkili teknikler |
|
|
Olay Sınıflandırması
|
classification | string |
Olayın kapanma nedeni |
|
|
Olay Sınıflandırma Açıklaması
|
classificationComment | string |
Olayın kapanma nedenini açıklar |
|
|
Olay Sınıflandırma Nedeni
|
classificationReason | string |
Olayın kapatıldığı sınıflandırma nedeni |
|
|
Olay Oluşturma Saati Utc
|
createdTimeUtc | date-time |
Olayın oluşturulduğu saat |
|
|
Olay Açıklaması
|
description | string |
Olayın açıklaması |
|
|
Olay İlk Etkinlik Saati UTC
|
firstActivityTimeUtc | date-time |
Olaydaki ilk etkinliğin zamanı |
|
|
Olay URL'si
|
incidentUrl | string |
Azure portalında olayın ayrıntılı bağlantı URL'si |
|
|
Sağlayıcı Olay Kimliği
|
providerIncidentId | string |
Olay sağlayıcısı tarafından atanan olay kimliği |
|
|
Olay Sentinel Kimliği
|
incidentNumber | integer |
Microsoft Sentinel'de olayı tanımlamak için kullanılan sıralı numara. |
|
|
Olay Son Etkinlik Saati UTC
|
lastActivityTimeUtc | date-time |
Olaydaki son etkinliğin saati |
|
|
Olay Önem Derecesi
|
severity | string |
Olayın önem derecesi |
|
|
Olay Durumu
|
status | string |
Olayın durumu |
|
|
Olay Başlığı
|
title | string |
Olayın başlığı |
|
|
İsim
|
labelName | True | string |
Etiketin adı |
|
Türü
|
labelType | string |
Etiketin türü |
|
|
Olay Son Değiştirme Saati UTC
|
lastModifiedTimeUtc | date-time |
Olayın en son güncelleştirilişi |
|
|
E-posta
|
string |
Olayın atandığı kullanıcının e-postası. |
||
|
Atanan Kişi:
|
assignedTo | string |
Olayın atandığı kullanıcının adı. (assignedTo alanı) |
|
|
Nesne Kimliği
|
objectId | uuid |
Olayın atandığı kullanıcının nesne kimliği. |
|
|
Kullanıcı Asıl Adı
|
userPrincipalName | string |
Olayın atandığı kullanıcının kullanıcı asıl adı. |
|
|
Olayla İlgili Analiz Kuralı Kimlikleri
|
relatedAnalyticRuleIds | array of string |
Olayla ilgili Analiz kurallarının kaynak kimliklerinin listesi |
|
|
Kimlik
|
id | string |
Açıklamanın tam ARM kimliği. |
|
|
İsim
|
name | string |
Açıklamanın ARM adı (GUID) |
|
|
properties
|
properties |
Olay Açıklaması Özellikleri JSON'larını temsil eder. |
Döndürülenler
Azure Security Insights'ta yer işaretini temsil eder.
- Body
- Bookmark
Yer işaretleri - Yer işareti alma
Yer İşaretleri - Kimliğine göre yer işaretleri alma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Yer İşareti Kimliğini Belirtme
|
bookmarkId | True | string |
Yer İşareti Kimliği |
Döndürülenler
Azure Security Insights'ta yer işaretini temsil eder.
- Body
- Bookmark
Yer İşaretleri - Yer işaretini silme
Yer İşaretleri - Yer işaretini silme
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Abonelik kimliğini belirtin
|
subscriptionId | True | string |
Abonelik kimliği |
|
Kaynak grubunu belirtin
|
resourceGroup | True | string |
Kaynak grubu |
|
Çalışma alanı kimliğini belirtme
|
workspaceId | True | string |
Çalışma alanı kimliği |
|
Yer İşareti Kimliğini Belirtme
|
bookmarkId | True | string |
Yer İşareti Kimliği |
Döndürülenler
- response
- string
Tetikleyiciler
| Microsoft Sentinel olayı |
Bir Microsoft Sentinel olayına yanıt tetiklendiğinde. Bu playbook, yeni bir olay oluşturulduğunda veya güncelleştirildiğinde bir otomasyon kuralı tarafından tetikleniyor. Playbook, uyarılar ve varlıklar dahil olmak üzere girdi olarak Microsoft Sentinel olayını alır. |
| Microsoft Sentinel uyarısı |
Microsoft Sentinel uyarısına yanıt tetiklendiğinde. Bu playbook, yeni bir uyarı oluşturulduğunda veya el ile tetiklenen bir analiz kuralı tarafından tetikler. Playbook uyarıyı girdi olarak alır. |
| Microsoft Sentinel uyarısına yanıt tetiklendiğinde [KULLANIM DIŞI] |
Microsoft Sentinel uyarısına yanıt tetiklendiğinde. Bu playbook, Microsoft Sentinel Gerçek Zamanlı kullanılarak veya Azure'dan tetiklenmelidir |
| Microsoft Sentinel varlığı |
Microsoft Sentinel varlığında playbook çalıştırma |
Microsoft Sentinel olayı
Bir Microsoft Sentinel olayına yanıt tetiklendiğinde. Bu playbook, yeni bir olay oluşturulduğunda veya güncelleştirildiğinde bir otomasyon kuralı tarafından tetikleniyor. Playbook, uyarılar ve varlıklar dahil olmak üzere girdi olarak Microsoft Sentinel olayını alır.
Döndürülenler
Microsoft Sentinel uyarısı
Microsoft Sentinel uyarısına yanıt tetiklendiğinde. Bu playbook, yeni bir uyarı oluşturulduğunda veya el ile tetiklenen bir analiz kuralı tarafından tetikler. Playbook uyarıyı girdi olarak alır.
Döndürülenler
- Body
- Alert
Microsoft Sentinel uyarısına yanıt tetiklendiğinde [KULLANIM DIŞI]
Microsoft Sentinel uyarısına yanıt tetiklendiğinde. Bu playbook, Microsoft Sentinel Gerçek Zamanlı kullanılarak veya Azure'dan tetiklenmelidir
Döndürülenler
- Body
- Alert
Microsoft Sentinel varlığı
Microsoft Sentinel varlığında playbook çalıştırma
Parametreler
| Name | Anahtar | Gerekli | Tür | Description |
|---|---|---|---|---|
|
Varlık türü
|
entityType | True | string |
Varlık türü |
Döndürülenler
Tanımlar
UploadApiValidationErrors
Threat Intelligence Uplaod API'sinden yanıt. Bunlar istek gövdesindeki geçersiz nesneler için hatalardır.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
validationErrorMessages
|
validationErrorMessages | array of string |
IndicatorValidationErrors
Tehdit Analizi Koruma Göstergelerinden yanıt.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
recordIndex
|
recordIndex | integer | |
|
errorMessages
|
errorMessages | array of string |
BatchResponseAccount
Uyarıyla ilişkilendirilmiş hesapların listesi
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Accounts
|
Accounts | array of Account |
Uyarıyla ilişkilendirilmiş hesapların listesi |
Firma
| Name | Yol | Tür | Description |
|---|---|---|---|
|
İsim
|
Name | string |
Hesap adı |
|
NT etki alanı
|
NTDomain | string |
Uyarı biçiminde göründüğü gibi NETBIOS etki alanı adı |
|
DnsDomain
|
DnsDomain | string |
Tam etki alanı DNS adı |
|
UPN son eki
|
UPNSuffix | string |
Kullanıcı asıl adı soneki |
|
SID
|
Sid | string |
Hesap güvenlik tanımlayıcısı, örneğin S-1-5-18 |
|
Microsoft Entra Id kiracı kimliği
|
AadTenantId | string |
Biliniyorsa Microsoft Entra Id kiracı kimliği |
|
Microsoft Entra Id kullanıcı kimliği
|
AadUserId | string |
Biliniyorsa Microsoft Entra Id kullanıcı kimliği |
|
PUID
|
PUID | string |
Biliniyorsa Microsoft Entra Id Passport Kullanıcı Kimliği |
|
Etki alanına katılmış mı?
|
IsDomainJoined | boolean |
Bunun bir etki alanı hesabı olup olmadığını belirler |
|
ObjectGuid
|
ObjectGuid | string |
objectGUID özniteliği, Microsoft Entra Id tarafından atanan nesnenin benzersiz tanımlayıcısı olan tek değerli bir özniteliktir |
BatchResponseUrl
Uyarıyla ilişkilendirilmiş URL'lerin listesi
| Name | Yol | Tür | Description |
|---|---|---|---|
|
URL'ler
|
URLs | array of UrlEntity |
Uyarıyla ilişkilendirilmiş URL'lerin listesi |
UrlEntity
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Bağlantı
|
Url | string |
BatchResponseHost
Uyarıyla ilişkilendirilmiş konakların listesi
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Hosts
|
Hosts | array of Host |
Uyarıyla ilişkilendirilmiş konakların listesi |
Host
| Name | Yol | Tür | Description |
|---|---|---|---|
|
DNS etki alanı
|
DnsDomain | string |
Bu konağın ait olduğu DNS etki alanı |
|
NT etki alanı
|
NTDomain | string |
Bu konağın ait olduğu NT etki alanı |
|
Hostname
|
HostName | string |
Etki alanı soneki olmayan ana bilgisayar adı |
|
NetBiosName
|
NetBiosName | string |
Ana bilgisayar adı (windows2000 öncesi) |
|
OMSAgentID
|
OMSAgentID | string |
Konakta OMS aracısı yüklüyse OMS aracısı kimliği |
|
OSFamily
|
OSFamily | string |
Aşağıdaki değerlerden biri: Linux, Windows, Android, IOS |
|
İşletim Sistemi Sürümü
|
OSVersion | string |
İşletim sisteminin serbest metin gösterimi |
|
Etki alanına katılmış mı?
|
IsDomainJoined | boolean |
Bu konağın bir etki alanına ait olup olmadığını belirler |
|
AzureID
|
AzureID | string |
Biliniyorsa VM'nin azure kaynak kimliği |
BatchResponseIP
Uyarıyla ilişkilendirilmiş IP'lerin listesi
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Ips
|
IPs | array of IP |
Uyarıyla ilişkilendirilmiş IP'lerin listesi |
IP
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Adres
|
Address | string |
IP address |
BatchResponseDNS
Uyarıyla ilişkili DNS etki alanlarının listesi
| Name | Yol | Tür | Description |
|---|---|---|---|
|
DNS etki alanları
|
Dnsresolutions | array of DNS |
Uyarıyla ilişkili DNS etki alanlarının listesi |
DNS
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Alan Adı
|
DomainName | string |
Uyarıyla ilişkili DNS kaydının adı |
BatchResponseFileHash
Uyarıyla ilişkilendirilmiş Dosya Karmalarının listesi
| Name | Yol | Tür | Description |
|---|---|---|---|
|
FileHashes
|
Filehashes | array of FileHash |
Uyarıyla ilişkilendirilmiş Dosya Karmalarının listesi |
DosyaHash
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Değer
|
Value | string |
Dosya Karması değeri |
|
Algorithm
|
Algorithm | string |
Dosya karması algoritması türleri |
OldIncident
| Name | Yol | Tür | Description |
|---|---|---|---|
|
properties
|
properties | OldIncidentProperties |
OldIncidentProperties
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Statü
|
Status | string |
Olayın durumu |
|
Etiketler
|
Labels | array of |
Olayın etiketleri |
|
Başlık
|
Title | string |
Olayın başlığı |
|
Description
|
Description | string |
Olayın açıklaması |
|
Bitiş Saati Utc
|
EndTimeUtc | string |
Olayın sona erişi |
|
Başlangıç Saati Utc
|
StartTimeUtc | string |
Olayın başlangıç saati |
|
Son Güncelleştirme Saati Utc
|
LastUpdatedTimeUtc | string |
Olayın güncelleştirme zamanı |
|
Sayı
|
CaseNumber | string |
Olayın sayısı |
|
Oluşturulma Saati Utc
|
CreatedTimeUtc | string |
Olayın oluşturulduğu saat |
|
Severity
|
Severity | string |
Olayın önem derecesi |
|
İlgili Uyarı Kimlikleri
|
RelatedAlertIds | array of |
Olayın ilgili uyarı kimlikleri |
IncidentAdditionalData
Olay ek veri özelliği paketi.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Olay Uyarı Sayısı
|
alertsCount | integer |
Olaydaki uyarı sayısı |
|
Olay Yer İşaretleri Sayısı
|
bookmarksCount | integer |
Olaydaki yer işaretlerinin sayısı |
|
Olay Açıklamaları Sayısı
|
commentsCount | integer |
Olaydaki açıklama sayısı |
|
Olay Uyarısı ürün adları
|
alertProductNames | array of string |
Olaydaki uyarıların ürün adları listesi |
|
Sağlayıcı Olay Url'si
|
providerIncidentUrl | string |
Microsoft Defender portalında olayın URL'si |
|
Birleştirilmiş Olay Numarası
|
mergedIncidentNumber | string |
Geçerli olayın birleştirildiği olayın olay numarası |
|
Birleştirilmiş Olay Url'si
|
mergedIncidentUrl | string |
Geçerli olayın birleştirildiği olayın URL'si |
|
Olay Taktikleri
|
tactics | array of AttackTactic |
Olayla ilişkili taktikler |
|
Olay Teknikleri
|
techniques | array of string |
Olayın taktikleriyle ilişkili teknikler |
IncidentLabel
Olay etiketini temsil eder
| Name | Yol | Tür | Description |
|---|---|---|---|
|
İsim
|
labelName | string |
Etiketin adı |
|
Türü
|
labelType | string |
Etiketin türü |
IncidentOwnerInfo
Bir olayın atandığı kullanıcıyla ilgili bilgiler
| Name | Yol | Tür | Description |
|---|---|---|---|
|
E-posta
|
string |
Olayın atandığı kullanıcının e-postası. |
|
|
Atanan Kişi:
|
assignedTo | string |
Olayın atandığı kullanıcının adı. (assignedTo alanı) |
|
Nesne Kimliği
|
objectId | uuid |
Olayın atandığı kullanıcının nesne kimliği. |
|
Kullanıcı Asıl Adı
|
userPrincipalName | string |
Olayın atandığı kullanıcının kullanıcı asıl adı. |
AttackTactic
Olayla ilişkili bir taktik öğesini temsil eder
Olayla ilişkili bir taktik öğesini temsil eder
Uyarı Azmi
HuntingBookmark
Bir tehdit avcılığı yer işareti öğesini temsil eder
| Name | Yol | Tür | Description |
|---|---|---|---|
|
ARM Kimliği
|
id | string |
Yer işaretinin tam ARM kimliği. |
|
ARM Adı
|
name | string |
Yer işaretinin ARM adı (GUID) |
|
properties
|
properties | HuntingBookmarkProperties |
HuntingBookmark Özellikleri JSON'u temsil eder. |
Güvenlik Uyarısı
Güvenlik uyarısı öğesini temsil eder
| Name | Yol | Tür | Description |
|---|---|---|---|
|
ARM Kimliği
|
id | string |
Uyarının tam ARM kimliği. |
|
ARM Adı
|
name | string |
Uyarının ARM adı (GUID) |
|
properties
|
properties | SecurityAlertProperties |
Uyarı Özellikleri JSON'u temsil eder. |
HuntingBookmarkProperties
HuntingBookmark Özellikleri JSON'u temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Görüntü adı
|
displayName | string |
Yer işaretinin görünen adı |
|
Oluşturuldu
|
created | date-time |
Yer işaretinin oluşturulduğu saat |
|
Updated
|
updated | date-time |
Yer işaretinin güncelleştirilmiş zamanı |
|
Kullanıcı Bilgileri tarafından oluşturuldu
|
createdBy | CreatedByUserInfo |
UserInfo Özellikleri JSON'larını temsil eder. |
|
Kullanıcı Bilgilerine Göre Güncelleştirildi
|
updatedBy | UpdatedByUserInfo |
UserInfo Özellikleri JSON'larını temsil eder. |
|
Olay Zamanı
|
eventTime | date-time |
Yer işaretinin olay zamanı |
|
Notes
|
notes | string |
Yer işaretinin notları |
|
Etiketler
|
labels | array of string |
Yer işaretinin etiketleri |
|
Query
|
query | string |
Yer işaretinin sorgusu |
|
Sorgu Sonucu
|
queryResult | string |
Yer işaretinin sorgu sonucu |
SecurityAlertProperties
Uyarı Özellikleri JSON'u temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Dostça İsim
|
friendlyName | string |
Grafik öğesi örneğinin insan tarafından okunabilen kısa bir açıklaması olan grafik öğesi görünen adı. Bu özellik isteğe bağlıdır ve sistem tarafından oluşturulabilir. |
|
Görüntü adı
|
alertDisplayName | string |
Uyarının görünen adı |
|
Türü
|
alertType | string |
Zamanlama uyarısında bu analiz kuralı kimliğidir. |
|
URI
|
alertLink | string |
Bu, orignal satıcıdaki uyarının bağlantısıdır. |
|
Güvenliği Aşılmış Varlık
|
compromisedEntity | string |
Rapor edilen ana varlığın görünen adı. |
|
Güvenilirlik Düzeyi
|
confidenceLevel | string |
Bu uyarının güvenilirlik düzeyi. |
|
Description
|
description | string |
Uyarının açıklaması. |
|
Bitiş Saati UTC
|
endTimeUtc | date-time |
Uyarının etki bitiş saati (uyarıya katkıda bulunan son olayın zamanı). |
|
Sağlayıcı Kimliği
|
providerAlertId | string |
Uyarıyı oluşturan ürünün içindeki uyarının tanımlayıcısı. |
|
Ürün Adı
|
productName | string |
Bu uyarıyı yayımlayan ürünün adı. |
|
Yeniden Alıntı Adımları
|
remediationSteps | array of string |
Uyarıyı düzeltmek için el ile gerçekleştirilen eylem öğelerinin listesi. |
|
Severity
|
severity | AlertSeverity |
Uyarının önem derecesi |
|
Başlangıç Saati
|
startTimeUtc | date-time |
Uyarının etki başlangıç zamanı (uyarıya katkıda bulunan ilk olayın zamanı). |
|
Statü
|
status | string |
Uyarının yaşam döngüsü durumu. |
|
Sistem Kimliği
|
systemAlertId | string |
Ürün için uyarının ürün tanımlayıcısını tutar. |
|
Tactics
|
tactics | array of AttackTactic |
Uyarı taktiklerinin listesi. |
|
Oluşturulma Zamanı
|
timeGenerated | date-time |
Uyarının oluşturulduğu saat. |
|
Query
|
additionalData.Query | string |
Uyarının tetiklenip tetiklenmeyeceğine karar vermek için kullanılan sorgu (Yalnızca Uyarı Zamanla). |
|
Sorgu Başlangıç Saati
|
additionalData.Query Start Time UTC | string |
Uyarının tetiklenip tetiklenmeyeceğine karar vermek için kullanılan sorgunun başlangıç saati (Yalnızca Uyarı Zamanla). |
|
Sorgu Bitiş Saati
|
additionalData.Query End Time UTC | string |
Uyarının tetiklenip tetiklenmeyeceğine karar vermek için kullanılan sorgunun başlangıç saati (Yalnızca Uyarı Zamanla). |
|
Sorgu İşleci
|
additionalData.Trigger Operator | string |
Uyarının tetiklenip tetiklenmeyeceğine karar vermek için kullanılan işleç (Yalnızca Uyarı Zamanla). |
|
Sorgu Eşiği
|
additionalData.Trigger Threshold | string |
Uyarının tetiklenip tetiklenmeyeceğine karar vermek için kullanılan eşik (Yalnızca Uyarı Zamanla). |
|
Özel Ayrıntılar
|
additionalData.Custom Details | string |
Analiz kuralları tarafından uyarıya eklenen özel olay ayrıntıları (yalnızca zamanlanmış uyarılar). Bu alanı kullanmak için "JSON Ayrıştır" eylemini izleyin ve şemanın benzetimini yapmak için mevcut uyarıdan örnek bir yük kullanın. |
|
Kaynak Tanımlayıcıları
|
resourceIdentifiers | array of object |
Uyarının kaynak tanımlayıcıları |
|
items
|
resourceIdentifiers | object |
Bir uyarı kaynak tanımlayıcısı temsil eder. |
Olay
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Olay ARM Kimliği
|
id | string |
Olayın tam ARM kimliği. |
|
Olay ARM Adı
|
name | string |
Olayın ARM adı (GUID) |
|
properties
|
properties | IncidentProperties |
Olay Özellikleri JSON'unu temsil eder. |
FullIncident
ARM kimliğine göre olay alma
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Olay ARM Kimliği
|
id | string |
Olayın tam ARM kimliği. |
|
Olay ARM Adı
|
name | string |
Olayın ARM adı (GUID) |
|
properties
|
properties | FullIncidentProperties |
Olay Özellikleri JSON'unu temsil eder. |
IncidentProperties
Olay Özellikleri JSON'unu temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
ekVeri
|
additionalData | IncidentAdditionalData |
Olay ek veri özelliği paketi. |
|
Olay Sınıflandırması
|
classification | string |
Olayın kapanma nedeni |
|
Olay Sınıflandırma Açıklaması
|
classificationComment | string |
Olayın kapanma nedenini açıklar |
|
Olay Sınıflandırma Nedeni
|
classificationReason | string |
Olayın kapatıldığı sınıflandırma nedeni |
|
Olay Oluşturma Saati Utc
|
createdTimeUtc | date-time |
Olayın oluşturulduğu saat |
|
Olay Açıklaması
|
description | string |
Olayın açıklaması |
|
Olay İlk Etkinlik Saati UTC
|
firstActivityTimeUtc | date-time |
Olaydaki ilk etkinliğin zamanı |
|
Olay URL'si
|
incidentUrl | string |
Azure portalında olayın ayrıntılı bağlantı URL'si |
|
Sağlayıcı Olay Kimliği
|
providerIncidentId | string |
Olay sağlayıcısı tarafından atanan olay kimliği |
|
Olay Sentinel Kimliği
|
incidentNumber | integer |
Microsoft Sentinel'de olayı tanımlamak için kullanılan sıralı numara. |
|
Olay Son Etkinlik Saati UTC
|
lastActivityTimeUtc | date-time |
Olaydaki son etkinliğin saati |
|
Olay Önem Derecesi
|
severity | string |
Olayın önem derecesi |
|
Olay Durumu
|
status | string |
Olayın durumu |
|
Olay Başlığı
|
title | string |
Olayın başlığı |
|
Olay Etiketleri
|
labels | array of IncidentLabel |
Bu olayla ilişkili etiketlerin listesi |
|
Olay Son Değiştirme Saati UTC
|
lastModifiedTimeUtc | date-time |
Olayın en son güncelleştirilişi |
|
Olay Sahibi
|
owner | IncidentOwnerInfo |
Bir olayın atandığı kullanıcıyla ilgili bilgiler |
|
Olayla İlgili Analiz Kuralı Kimlikleri
|
relatedAnalyticRuleIds | array of string |
Olayla ilgili Analiz kurallarının kaynak kimliklerinin listesi |
|
Comments
|
Comments | array of IncidentComment |
Bu olayla ilgili açıklamaların listesi. |
FullIncidentProperties
Olay Özellikleri JSON'unu temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
ekVeri
|
additionalData | IncidentAdditionalData |
Olay ek veri özelliği paketi. |
|
Olay Sınıflandırması
|
classification | string |
Olayın kapanma nedeni |
|
Olay Sınıflandırma Açıklaması
|
classificationComment | string |
Olayın kapanma nedenini açıklar |
|
Olay Sınıflandırma Nedeni
|
classificationReason | string |
Olayın kapatıldığı sınıflandırma nedeni |
|
Olay Oluşturma Saati Utc
|
createdTimeUtc | date-time |
Olayın oluşturulduğu saat |
|
Olay Açıklaması
|
description | string |
Olayın açıklaması |
|
Olay İlk Etkinlik Saati UTC
|
firstActivityTimeUtc | date-time |
Olaydaki ilk etkinliğin zamanı |
|
Olay URL'si
|
incidentUrl | string |
Azure portalında olayın ayrıntılı bağlantı URL'si |
|
Sağlayıcı Olay Kimliği
|
providerIncidentId | string |
Olay sağlayıcısı tarafından atanan olay kimliği |
|
Olay Sentinel Kimliği
|
incidentNumber | integer |
Microsoft Sentinel'de olayı tanımlamak için kullanılan sıralı numara. |
|
Olay Son Etkinlik Saati UTC
|
lastActivityTimeUtc | date-time |
Olaydaki son etkinliğin saati |
|
Olay Önem Derecesi
|
severity | string |
Olayın önem derecesi |
|
Olay Durumu
|
status | string |
Olayın durumu |
|
Olay Başlığı
|
title | string |
Olayın başlığı |
|
Olay Etiketleri
|
labels | array of IncidentLabel |
Bu olayla ilişkili etiketlerin listesi |
|
Olay Son Değiştirme Saati UTC
|
lastModifiedTimeUtc | date-time |
Olayın en son güncelleştirilişi |
|
Olay Sahibi
|
owner | IncidentOwnerInfo |
Bir olayın atandığı kullanıcıyla ilgili bilgiler |
|
Olayla İlgili Analiz Kuralı Kimlikleri
|
relatedAnalyticRuleIds | array of string |
Olayla ilgili Analiz kurallarının kaynak kimliklerinin listesi |
|
Comments
|
Comments | array of IncidentComment |
Bu olayla ilgili açıklamaların listesi. |
|
Alerts
|
Alerts | array of SecurityAlert |
Bu olayla ilgili uyarıların listesi. |
|
Bookmarks
|
Bookmarks | array of HuntingBookmark |
Bu olayla ilgili yer işaretlerinin listesi. |
|
Entities
|
relatedEntities | string |
Olayla ilgili varlıkların listesi, farklı türlerdeki varlıkları içerebilir |
IncidentEventNotification
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Güncelleştirilmiş Alan Adları
|
incidentUpdates.updatedFields | array of string |
Olayda güncelleştirilen alanların adları |
|
Güncelleştirme Zamanı
|
incidentUpdates.updatedTime | date-time |
Olay güncelleştirme olayının zamanı |
|
Kaynak
|
incidentUpdates.updatedBy.source | string |
Olayı güncelleştiren aktör: Kullanıcı, Dış uygulama, Playbook, Otomasyon kuralı, Microsoft 365 Defender veya Uyarı Gruplandırma |
|
İsim
|
incidentUpdates.updatedBy.name | string |
Olayı güncelleştiren kullanıcı, uygulama, otomasyon kuralı veya playbook'un adı |
|
Olay Uyarıları
|
incidentUpdates.alerts | array of SecurityAlert |
Bu olaya eklenen uyarıların listesi. |
|
Olay Etiketleri
|
incidentUpdates.labels | array of IncidentLabel |
Bu olaya eklenen etiketlerin listesi |
|
Olay Yorumları
|
incidentUpdates.comments | array of IncidentComment |
Bu olaya eklenen açıklamaların listesi. |
|
Olay Taktikleri
|
incidentUpdates.tactics | array of AttackTactic |
Olayla ilişkili taktikler |
|
Abonelik Kimliği
|
workspaceInfo.SubscriptionId | string |
Microsoft Sentinel çalışma alanının abonelik kimliği |
|
Kaynak Grubu Adı
|
workspaceInfo.ResourceGroupName | string |
Microsoft Sentinel çalışma alanının kaynak grubu |
|
Çalışma alanı adı
|
workspaceInfo.WorkspaceName | string |
Microsoft Sentinel çalışma alanı adı |
|
Çalışma Alanı Kimliği
|
workspaceId | string |
Olayın çalışma alanı kimliği. |
|
object
|
object | FullIncident |
ARM kimliğine göre olay alma |
CreatedByUserInfo
UserInfo Özellikleri JSON'larını temsil eder.
UserInfo Özellikleri JSON'larını temsil eder.
UpdatedByUserInfo
UserInfo Özellikleri JSON'larını temsil eder.
UserInfo Özellikleri JSON'larını temsil eder.
Alert
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Ürün adı
|
ProductName | string |
Bu uyarıyı yayımlayan ürünün adı |
|
Uyarı türü
|
AlertType | string |
Uyarının tür adı |
|
Başlangıç saati (UTC)
|
StartTimeUtc | date-time |
İlk katkıda bulunan olay algılandığında uyarının başlangıç saati |
|
Bitiş saati (UTC)
|
EndTimeUtc | date-time |
Son katkıda bulunan olayın algılandığı uyarının bitiş saati |
|
Oluşturulan saat (UTC)
|
TimeGenerated | date-time |
Uyarının oluşturulduğu saat |
|
Severity
|
Severity | string |
Sağlayıcı tarafından bildirilen uyarının önem derecesi |
|
Sağlayıcı uyarı kimliği
|
ProviderAlertId | string |
Sağlayıcı tarafından ayarlanan belirli uyarı örneğinin benzersiz kimliği |
|
Sistem uyarı kimliği
|
SystemAlertId | string |
Belirli uyarı örneğinin benzersiz kimliği |
|
Uyarı görünen adı
|
AlertDisplayName | string |
Uyarının görünen adı |
|
Description
|
Description | string |
Uyarı açıklaması |
|
Entities
|
Entities | string |
Uyarıyla ilgili varlıkların listesi birden çok varlık türü içerebilir |
|
Genişletilmiş özellikler
|
ExtendedProperties | string |
Kullanıcıya sunulacak alanların listesi |
|
Çalışma Alanı Kimliği
|
WorkspaceId | string |
Uyarının çalışma alanının kimliği |
|
Kaynak grubu
|
WorkspaceResourceGroup | string |
uyarının uyarı kaynak grubu |
|
Abonelik Kimliği
|
WorkspaceSubscriptionId | string |
Uyarı aboneliğinin kimliği |
|
Genişletilmiş bağlantılar
|
ExtendedLinks | array of object |
Uyarıyla ilgili bağlantıların listesi birden çok tür içerebilir |
IncidentComment
Olay açıklama öğesini temsil eder
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Kimlik
|
id | string |
Açıklamanın tam ARM kimliği. |
|
İsim
|
name | string |
Açıklamanın ARM adı (GUID) |
|
properties
|
properties | IncidentCommentProperties |
Olay Açıklaması Özellikleri JSON'larını temsil eder. |
IncidentCommentProperties
Olay Açıklaması Özellikleri JSON'larını temsil eder.
Olay Açıklaması Özellikleri JSON'larını temsil eder.
IncidentTask
Bir olay görev öğesini temsil eder
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Kimlik
|
id | string |
Görevin tam ARM kimliği. |
|
İsim
|
name | string |
Görevin ARM adı |
|
properties
|
properties | IncidentTaskProperties |
Olay görevi özelliklerini temsil eder. |
IncidentTaskProperties
IncidentRelation
Olay ilişkisini temsil eder
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Kimlik
|
id | string |
Olay ilişkisinin tam ARM kimliği. |
|
İsim
|
name | string |
Olay ilişkisinin ARM adı |
|
properties
|
properties | IncidentRelationProperties |
Bir olay ilişkisi özelliklerini temsil eder JSON. |
IncidentRelationProperties
Watchlist
Azure Güvenlik İçgörüleri'nde bir İzleme Listesini temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
properties
|
properties | WatchlistProperties |
İzleme listesi özelliklerini açıklar |
İzleme listesiV2
Azure Güvenlik İçgörüleri'nde bir İzleme Listesini temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
properties
|
properties | WatchlistPropertiesV2 |
İzleme listesi özelliklerini açıklar |
WatchlistProperties
İzleme listesi özelliklerini açıklar
| Name | Yol | Tür | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
İzleme listesinin kimliği (guid) |
|
ekran adı
|
displayName | string |
İzleme listesinin görünen adı |
|
provider
|
provider | string |
İzleme listesinin sağlayıcısı |
|
kaynak
|
source | string |
İzleme listesinin kaynağı |
|
Oluşturulan
|
created | date-time |
İzleme listesinin oluşturulduğu saat |
|
Güncel -leştirilmiş
|
updated | date-time |
İzleme listesinin en son güncelleştirilişi |
|
oluşturan
|
createdBy | UserInfo |
Bazı eylemler gerçekleştiren kullanıcı bilgileri |
|
Güncelleme tarihiTarafından
|
updatedBy | UserInfo |
Bazı eylemler gerçekleştiren kullanıcı bilgileri |
|
açıklama
|
description | string |
İzleme listesinin açıklaması |
|
watchlistType
|
watchlistType | string |
İzleme listesinin türü |
|
watchlistAlias
|
watchlistAlias | string |
İzleme listesinin diğer adı |
|
isDeleted
|
isDeleted | boolean |
İzleme listesinin silinip silinmediğini gösteren bayrak |
|
labels
|
labels | array of Label |
Bu izleme listesiyle ilgili etiketlerin listesi |
|
defaultDuration
|
defaultDuration | duration |
İzleme listesinin varsayılan süresi (ISO 8601 süre biçiminde) |
|
tenantId
|
tenantId | string |
İzleme listesinin ait olduğu tenantId |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Csv/tsv içeriğinde üst bilgiden önce atlana satır sayısı |
|
rawContent
|
rawContent | string |
Oluşturulacak izleme listesi öğelerini temsil eden ham içerik. Csv/tsv içerik türü söz konusu olduğunda, uç nokta tarafından ayrıştırılacak dosyanın içeriğidir |
|
itemsSearchKey
|
itemsSearchKey | string |
Arama anahtarı, diğer verilerle birleştirmeler için izleme listeleri kullanılırken sorgu performansını iyileştirmek için kullanılır. Örneğin, IP adresleri olan bir sütunu belirlenmiş SearchKey alanı olacak şekilde etkinleştirin, ardından IP adresine göre diğer olay verilerine katılırken anahtar alanı olarak bu alanı kullanın. |
|
içerik türü
|
contentType | string |
Ham içeriğin içerik türü. Örnek: text/csv veya text/tsv |
|
uploadStatus
|
uploadStatus | string |
İzleme listesinin karşıya yükleme durumu: Yeni, InProgress veya Complete. Pls not: İzleme listesi karşıya yükleme durumu InProgress'e eşit olduğunda İzleme Listesi silinemez |
|
watchlistItemsCount
|
watchlistItemsCount | integer |
İzleme Listesindeki İzleme Listesi Öğelerinin sayısı |
WatchlistPropertiesV2
İzleme listesi özelliklerini açıklar
| Name | Yol | Tür | Description |
|---|---|---|---|
|
watchlistId
|
watchlistId | string |
İzleme listesinin kimliği (guid) |
|
ekran adı
|
displayName | string |
İzleme listesinin görünen adı |
|
provider
|
provider | string |
İzleme listesinin sağlayıcısı |
|
kaynak
|
source | string |
İzleme listesinin 'source' adlı dosya adı |
|
sourceType
|
sourceType | string |
İzleme listesinin sourceType'i |
|
Oluşturulan
|
created | date-time |
İzleme listesinin oluşturulduğu saat |
|
Güncel -leştirilmiş
|
updated | date-time |
İzleme listesinin en son güncelleştirilişi |
|
oluşturan
|
createdBy | UserInfo |
Bazı eylemler gerçekleştiren kullanıcı bilgileri |
|
Güncelleme tarihiTarafından
|
updatedBy | UserInfo |
Bazı eylemler gerçekleştiren kullanıcı bilgileri |
|
açıklama
|
description | string |
İzleme listesinin açıklaması |
|
watchlistType
|
watchlistType | string |
İzleme listesinin türü |
|
watchlistAlias
|
watchlistAlias | string |
İzleme listesinin diğer adı |
|
isDeleted
|
isDeleted | boolean |
İzleme listesinin silinip silinmediğini gösteren bayrak |
|
labels
|
labels | array of Label |
Bu izleme listesiyle ilgili etiketlerin listesi |
|
defaultDuration
|
defaultDuration | duration |
İzleme listesinin varsayılan süresi (ISO 8601 süre biçiminde) |
|
tenantId
|
tenantId | string |
İzleme listesinin ait olduğu tenantId |
|
numberOfLinesToSkip
|
numberOfLinesToSkip | integer |
Csv/tsv içeriğinde üst bilgiden önce atlana satır sayısı |
|
rawContent
|
rawContent | string |
Oluşturulacak izleme listesi öğelerini temsil eden ham içerik. Csv/tsv içerik türü söz konusu olduğunda, uç nokta tarafından ayrıştırılacak dosyanın içeriğidir |
|
itemsSearchKey
|
itemsSearchKey | string |
Arama anahtarı, diğer verilerle birleştirmeler için izleme listeleri kullanılırken sorgu performansını iyileştirmek için kullanılır. Örneğin, IP adresleri olan bir sütunu belirlenmiş SearchKey alanı olacak şekilde etkinleştirin, ardından IP adresine göre diğer olay verilerine katılırken anahtar alanı olarak bu alanı kullanın. |
|
içerik türü
|
contentType | string |
Ham içeriğin içerik türü. Örnek: text/csv veya text/tsv |
|
uploadStatus
|
uploadStatus | string |
İzleme listesinin karşıya yükleme durumu: Yeni, InProgress veya Complete. Pls not: İzleme listesi karşıya yükleme durumu InProgress'e eşit olduğunda İzleme Listesi silinemez |
WatchlistItemList
watchlistItem
Azure Security Insights'ta watchlistItem'i temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
WatchlistItem Tam ARM Kimliği
|
id | string |
İzleme listesi öğesinin tam kimliği. |
|
WatchlistItem Benzersiz Kimliği
|
name | string |
WatchlistItem Kimliğine (GUID) karşılık gelir |
|
WatchlistItem etag
|
etag | string |
Etag'e (GUID) karşılık gelir |
|
WatchlistItem türü
|
type | string |
WatchlistItem türüne karşılık gelir |
|
value
|
value | object |
İzleme listesi öğe varlığı ayrıntıları. |
Yer işareti
Azure Security Insights'ta yer işaretini temsil eder.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
properties
|
properties | BookmarkProperties |
Yer işareti özelliklerini açıklar |
BookmarkList
Tüm yer işaretlerini listeleyin.
| Name | Yol | Tür | Description |
|---|---|---|---|
|
nextLink
|
nextLink | string |
Bir sonraki servis talebi kümesini getirmek için URL. |
|
value
|
value | array of Bookmark |
Yer işareti dizisi. |
BookmarkProperties
Yer işareti özelliklerini açıklar
| Name | Yol | Tür | Description |
|---|---|---|---|
|
Oluşturulan
|
created | date-time |
Yer işaretinin oluşturulduğu saat |
|
oluşturan
|
createdBy | UserInfo |
Bazı eylemler gerçekleştiren kullanıcı bilgileri |
|
ekran adı
|
displayName | string |
Yer işaretinin görünen adı |
|
labels
|
labels | array of Label |
Bu yer işaretiyle ilgili etiketlerin listesi |
|
Notlar
|
notes | string |
Yer işaretinin notları |
|
soru
|
query | string |
Yer işaretinin sorgusu. |
|
queryResult
|
queryResult | string |
Yer işaretinin sorgu sonucu. |
|
Güncel -leştirilmiş
|
updated | date-time |
Yer işaretinin en son güncelleştirilişi |
|
Güncelleme tarihiTarafından
|
updatedBy | UserInfo |
Bazı eylemler gerçekleştiren kullanıcı bilgileri |
|
etkinlikZamanı
|
eventTime | date-time |
Yer işareti olay zamanı |
|
queryStartTime
|
queryStartTime | date-time |
Sorgunun başlangıç saati |
|
queryEndTime
|
queryEndTime | date-time |
Sorgunun bitiş saati |
|
incidentInfo
|
incidentInfo | Incident |
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder. |
Kullanıcı Bilgisi
Bazı eylemler gerçekleştiren kullanıcı bilgileri
| Name | Yol | Tür | Description |
|---|---|---|---|
|
e-posta
|
string |
Kullanıcının e-posta adresi. |
|
|
name
|
name | string |
Kullanıcının adı. |
|
objectId (nesne kimliği)
|
objectId | uuid |
Kullanıcının nesne kimliği. |
Etiket
Etiketlemek ve filtrelemek için kullanılacak etiket.
Etiketlemek ve filtrelemek için kullanılacak etiket.
String
Bu, 'string' temel veri türüdür.