Incidents - Get
Belirli bir olayı alır.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01
URI Parametreleri
Name | İçinde | Gerekli | Tür | Description |
---|---|---|---|---|
incident
|
path | True |
string |
Olay Kimliği |
resource
|
path | True |
string |
Kaynak grubunun adı. Ad büyük/küçük harfe duyarlı değildir. |
subscription
|
path | True |
string uuid |
Hedef aboneliğin kimliği. Değer bir UUID olmalıdır. |
workspace
|
path | True |
string |
Çalışma alanının adı. Normal ifade deseni: |
api-version
|
query | True |
string |
Bu işlem için kullanılacak API sürümü. |
Yanıtlar
Name | Tür | Description |
---|---|---|
200 OK |
Tamam, İşlem başarıyla tamamlandı |
|
Other Status Codes |
İşlemin neden başarısız olduğunu açıklayan hata yanıtı. |
Güvenlik
azure_auth
Azure Active Directory OAuth2 Flow
Tür:
oauth2
Akış:
implicit
Yetkilendirme URL’si:
https://login.microsoftonline.com/common/oauth2/authorize
Kapsamlar
Name | Description |
---|---|
user_impersonation | kullanıcı hesabınızın kimliğine bürünme |
Örnekler
Get an incident.
Örnek isteği
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
Örnek yanıt
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "InaccurateData",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"InitialAccess",
"Persistence"
]
}
}
}
Tanımlar
Name | Description |
---|---|
Attack |
Bu uyarı kuralı tarafından oluşturulan uyarıların önem derecesi. |
Cloud |
Hata yanıtı yapısı. |
Cloud |
Hata ayrıntıları. |
created |
Kaynağı oluşturan kimliğin türü. |
Incident |
Azure Security Insights'taki bir olayı temsil eder. |
Incident |
Olay ek veri özelliği paketi. |
Incident |
Olayın kapanma nedeni |
Incident |
Olayın kapatıldığı sınıflandırma nedeni |
Incident |
Olay etiketini temsil eder |
Incident |
Etiketin türü |
Incident |
Bir olayın atandığı kullanıcıyla ilgili bilgiler |
Incident |
Olayın önem derecesi |
Incident |
Olayın durumu |
Owner |
Olayın atandığı sahibin türü. |
system |
Kaynağın oluşturulması ve son değiştirilmesiyle ilgili meta veriler. |
AttackTactic
Bu uyarı kuralı tarafından oluşturulan uyarıların önem derecesi.
Name | Tür | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Hata yanıtı yapısı.
Name | Tür | Description |
---|---|---|
error |
Hata verileri |
CloudErrorBody
Hata ayrıntıları.
Name | Tür | Description |
---|---|---|
code |
string |
Hatanın tanımlayıcısı. Kodlar sabittir ve program aracılığıyla kullanılması amaçlanmıştır. |
message |
string |
Hatayı açıklayan ve kullanıcı arabiriminde görüntülenmeye uygun olması amaçlanan bir ileti. |
createdByType
Kaynağı oluşturan kimliğin türü.
Name | Tür | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Azure Security Insights'taki bir olayı temsil eder.
Name | Tür | Description |
---|---|---|
etag |
string |
Azure kaynağının etiketi |
id |
string |
Kaynağın tam kaynak kimliği. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
Kaynağın adı |
properties.additionalData |
Olayla ilgili ek veriler |
|
properties.classification |
Olayın kapanma nedeni |
|
properties.classificationComment |
string |
Olayın kapanma nedenini açıklar |
properties.classificationReason |
Olayın kapatıldığı sınıflandırma nedeni |
|
properties.createdTimeUtc |
string |
Olayın oluşturulduğu saat |
properties.description |
string |
Olayın açıklaması |
properties.firstActivityTimeUtc |
string |
Olaydaki ilk etkinliğin saati |
properties.incidentNumber |
integer |
Sıralı sayı |
properties.incidentUrl |
string |
Azure portal'daki olayın ayrıntılı bağlantı URL'si |
properties.labels |
Bu olayla ilgili etiketlerin listesi |
|
properties.lastActivityTimeUtc |
string |
Olaydaki son etkinliğin saati |
properties.lastModifiedTimeUtc |
string |
Olayın en son güncelleştirilişi |
properties.owner |
Olayın atandığı kullanıcıyı açıklar |
|
properties.providerIncidentId |
string |
Olay sağlayıcısı tarafından atanan olay kimliği |
properties.providerName |
string |
Olayı oluşturan kaynak sağlayıcının adı |
properties.relatedAnalyticRuleIds |
string[] |
Olayla ilgili Analiz kurallarının kaynak kimliklerinin listesi |
properties.severity |
Olayın önem derecesi |
|
properties.status |
Olayın durumu |
|
properties.title |
string |
Olayın başlığı |
systemData |
Azure Resource Manager createdBy ve modifiedBy bilgilerini içeren meta veriler. |
|
type |
string |
Kaynağın türü. Örneğin, "Microsoft.Compute/virtualMachines" veya "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Olay ek veri özelliği paketi.
Name | Tür | Description |
---|---|---|
alertProductNames |
string[] |
Olaydaki uyarıların ürün adlarının listesi |
alertsCount |
integer |
Olaydaki uyarı sayısı |
bookmarksCount |
integer |
Olaydaki yer işareti sayısı |
commentsCount |
integer |
Olaydaki açıklama sayısı |
providerIncidentUrl |
string |
Microsoft 365 Defender portalında olayın sağlayıcı olayı URL'si |
tactics |
Olayla ilişkili taktikler |
IncidentClassification
Olayın kapanma nedeni
Name | Tür | Description |
---|---|---|
BenignPositive |
string |
Olay zararsız pozitifti |
FalsePositive |
string |
Olay hatalı pozitifti |
TruePositive |
string |
Olay gerçek pozitifti |
Undetermined |
string |
Olay sınıflandırması belirlenemedi |
IncidentClassificationReason
Olayın kapatıldığı sınıflandırma nedeni
Name | Tür | Description |
---|---|---|
InaccurateData |
string |
Sınıflandırma nedeni yanlış verilerdi |
IncorrectAlertLogic |
string |
Sınıflandırma nedeni yanlış uyarı mantığıydı |
SuspiciousActivity |
string |
Sınıflandırma nedeni şüpheli etkinlikti |
SuspiciousButExpected |
string |
Sınıflandırma nedeni şüpheliydi ancak beklenen bir durumdu |
IncidentLabel
Olay etiketini temsil eder
Name | Tür | Description |
---|---|---|
labelName |
string |
Etiketin adı |
labelType |
Etiketin türü |
IncidentLabelType
Etiketin türü
Name | Tür | Description |
---|---|---|
AutoAssigned |
string |
Sistem tarafından otomatik olarak oluşturulan etiket |
User |
string |
Kullanıcı tarafından el ile oluşturulan etiket |
IncidentOwnerInfo
Bir olayın atandığı kullanıcıyla ilgili bilgiler
Name | Tür | Description |
---|---|---|
assignedTo |
string |
Olayın atandığı kullanıcının adı. |
string |
Olayın atandığı kullanıcının e-postası. |
|
objectId |
string |
Olayın atandığı kullanıcının nesne kimliği. |
ownerType |
Olayın atandığı sahibin türü. |
|
userPrincipalName |
string |
Olayın atandığı kullanıcının kullanıcı asıl adı. |
IncidentSeverity
Olayın önem derecesi
Name | Tür | Description |
---|---|---|
High |
string |
Yüksek önem derecesi |
Informational |
string |
Bilgi önem derecesi |
Low |
string |
Düşük önem derecesi |
Medium |
string |
Orta önem derecesi |
IncidentStatus
Olayın durumu
Name | Tür | Description |
---|---|---|
Active |
string |
İşlenen etkin bir olay |
Closed |
string |
Etkin olmayan bir olay |
New |
string |
Şu anda işlenmekte olan etkin bir olay |
OwnerType
Olayın atandığı sahibin türü.
Name | Tür | Description |
---|---|---|
Group |
string |
Olay sahibi türü bir AAD grubudur |
Unknown |
string |
Olay sahibi türü bilinmiyor |
User |
string |
Olay sahibi türü bir AAD kullanıcısıdır |
systemData
Kaynağın oluşturulması ve son değiştirilmesiyle ilgili meta veriler.
Name | Tür | Description |
---|---|---|
createdAt |
string |
Kaynak oluşturma (UTC) zaman damgası. |
createdBy |
string |
Kaynağı oluşturan kimlik. |
createdByType |
Kaynağı oluşturan kimliğin türü. |
|
lastModifiedAt |
string |
Kaynağın son değişikliğinin zaman damgası (UTC) |
lastModifiedBy |
string |
Kaynağı en son değiştiren kimlik. |
lastModifiedByType |
Kaynağı en son değiştiren kimliğin türü. |