Incidents - Create Or Update
Bir olayı oluşturur veya güncelleştirir.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01URI Parametreleri
| Name | İçinde | Gerekli | Tür | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
Olay Kimliği |
|
resource
|
path | True |
string |
Kaynak grubunun adı. Ad büyük/küçük harfe duyarlı değildir. |
|
subscription
|
path | True |
string uuid |
Hedef aboneliğin kimliği. Değer bir UUID olmalıdır. |
|
workspace
|
path | True |
string |
Çalışma alanının adı. Normal ifade deseni: |
|
api-version
|
query | True |
string |
Bu işlem için kullanılacak API sürümü. |
İstek Gövdesi
| Name | Gerekli | Tür | Description |
|---|---|---|---|
| properties.severity | True |
Olayın önem derecesi |
|
| properties.status | True |
Olayın durumu |
|
| properties.title | True |
string |
Olayın başlığı |
| etag |
string |
Azure kaynağının etag'i |
|
| properties.classification |
Olayın kapanma nedeni |
||
| properties.classificationComment |
string |
Olayın kapanma nedenini açıklar |
|
| properties.classificationReason |
Olayın kapatıldığı sınıflandırma nedeni |
||
| properties.description |
string |
Olayın açıklaması |
|
| properties.firstActivityTimeUtc |
string |
Olaydaki ilk etkinliğin saati |
|
| properties.labels |
Bu olayla ilgili etiketlerin listesi |
||
| properties.lastActivityTimeUtc |
string |
Olaydaki son etkinliğin saati |
|
| properties.owner |
Olayın atandığı kullanıcıyı açıklar |
Yanıtlar
| Name | Tür | Description |
|---|---|---|
| 200 OK |
Tamam, İşlem başarıyla tamamlandı |
|
| 201 Created |
Oluşturulan |
|
| Other Status Codes |
İşlemin neden başarısız olduğunu açıklayan hata yanıtı. |
Güvenlik
azure_auth
Azure Active Directory OAuth2 Flow
Tür:
oauth2
Akış:
implicit
Yetkilendirme URL’si:
https://login.microsoftonline.com/common/oauth2/authorize
Kapsamlar
| Name | Description |
|---|---|
| user_impersonation | kullanıcı hesabınızın kimliğine bürünme |
Örnekler
Creates or updates an incident.
Örnek isteği
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Örnek yanıt
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}Tanımlar
| Name | Description |
|---|---|
|
Attack |
Bu uyarı kuralı tarafından oluşturulan uyarıların önem derecesi. |
|
Cloud |
Hata yanıtı yapısı. |
|
Cloud |
Hata ayrıntıları. |
|
created |
Kaynağı oluşturan kimliğin türü. |
| Incident |
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder. |
|
Incident |
Olay ek veri özelliği paketi. |
|
Incident |
Olayın kapanma nedeni |
|
Incident |
Olayın kapatıldığı sınıflandırma nedeni |
|
Incident |
Olay etiketini temsil eder |
|
Incident |
Etiketin türü |
|
Incident |
Bir olayın atandığı kullanıcıyla ilgili bilgiler |
|
Incident |
Olayın önem derecesi |
|
Incident |
Olayın durumu |
|
Owner |
Olayın atandığı sahibin türü. |
|
system |
Kaynağın oluşturulması ve son değiştirilmesiyle ilgili meta veriler. |
AttackTactic
Bu uyarı kuralı tarafından oluşturulan uyarıların önem derecesi.
| Name | Tür | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Hata yanıtı yapısı.
| Name | Tür | Description |
|---|---|---|
| error |
Hata verileri |
CloudErrorBody
Hata ayrıntıları.
| Name | Tür | Description |
|---|---|---|
| code |
string |
Hatanın tanımlayıcısı. Kodlar sabittir ve program aracılığıyla kullanılması amaçlanmıştır. |
| message |
string |
Hatayı açıklayan ve kullanıcı arabiriminde görüntülenmeye uygun olması amaçlanan bir ileti. |
createdByType
Kaynağı oluşturan kimliğin türü.
| Name | Tür | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
Incident
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder.
| Name | Tür | Description |
|---|---|---|
| etag |
string |
Azure kaynağının etag'i |
| id |
string |
Kaynağın tam kaynak kimliği. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| name |
string |
Kaynağın adı |
| properties.additionalData |
Olayla ilgili ek veriler |
|
| properties.classification |
Olayın kapanma nedeni |
|
| properties.classificationComment |
string |
Olayın kapanma nedenini açıklar |
| properties.classificationReason |
Olayın kapatıldığı sınıflandırma nedeni |
|
| properties.createdTimeUtc |
string |
Olayın oluşturulduğu saat |
| properties.description |
string |
Olayın açıklaması |
| properties.firstActivityTimeUtc |
string |
Olaydaki ilk etkinliğin saati |
| properties.incidentNumber |
integer |
Sıralı sayı |
| properties.incidentUrl |
string |
Azure portal'daki olayın ayrıntılı bağlantı URL'si |
| properties.labels |
Bu olayla ilgili etiketlerin listesi |
|
| properties.lastActivityTimeUtc |
string |
Olaydaki son etkinliğin saati |
| properties.lastModifiedTimeUtc |
string |
Olayın en son güncelleştirilişi |
| properties.owner |
Olayın atandığı kullanıcıyı açıklar |
|
| properties.providerIncidentId |
string |
Olay sağlayıcısı tarafından atanan olay kimliği |
| properties.providerName |
string |
Olayı oluşturan kaynak sağlayıcının adı |
| properties.relatedAnalyticRuleIds |
string[] |
Olayla ilgili Analiz kurallarının kaynak kimliklerinin listesi |
| properties.severity |
Olayın önem derecesi |
|
| properties.status |
Olayın durumu |
|
| properties.title |
string |
Olayın başlığı |
| systemData |
Azure Resource Manager createdBy ve modifiedBy bilgilerini içeren meta veriler. |
|
| type |
string |
Kaynağın türü. Örneğin, "Microsoft.Compute/virtualMachines" veya "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Olay ek veri özelliği paketi.
| Name | Tür | Description |
|---|---|---|
| alertProductNames |
string[] |
Olaydaki uyarıların ürün adlarının listesi |
| alertsCount |
integer |
Olaydaki uyarı sayısı |
| bookmarksCount |
integer |
Olaydaki yer işaretlerinin sayısı |
| commentsCount |
integer |
Olaydaki açıklama sayısı |
| providerIncidentUrl |
string |
Microsoft 365 Defender portalında olayın sağlayıcı olayı URL'si |
| tactics |
Olayla ilişkili taktikler |
IncidentClassification
Olayın kapanma nedeni
| Name | Tür | Description |
|---|---|---|
| BenignPositive |
string |
Olay zararsız pozitifti |
| FalsePositive |
string |
Olay hatalı pozitif çıktı |
| TruePositive |
string |
Olay gerçek pozitifti |
| Undetermined |
string |
Olay sınıflandırması belirlenemedi |
IncidentClassificationReason
Olayın kapatıldığı sınıflandırma nedeni
| Name | Tür | Description |
|---|---|---|
| InaccurateData |
string |
Sınıflandırma nedeni yanlış verilerdi |
| IncorrectAlertLogic |
string |
Sınıflandırma nedeni yanlış uyarı mantığıydı |
| SuspiciousActivity |
string |
Sınıflandırma nedeni şüpheli etkinlikti |
| SuspiciousButExpected |
string |
Sınıflandırma nedeni şüpheliydi ancak bekleniyordu |
IncidentLabel
Olay etiketini temsil eder
| Name | Tür | Description |
|---|---|---|
| labelName |
string |
Etiketin adı |
| labelType |
Etiketin türü |
IncidentLabelType
Etiketin türü
| Name | Tür | Description |
|---|---|---|
| AutoAssigned |
string |
Sistem tarafından otomatik olarak oluşturulan etiket |
| User |
string |
Kullanıcı tarafından el ile oluşturulan etiket |
IncidentOwnerInfo
Bir olayın atandığı kullanıcıyla ilgili bilgiler
| Name | Tür | Description |
|---|---|---|
| assignedTo |
string |
Olayın atandığı kullanıcının adı. |
|
string |
Olayın atandığı kullanıcının e-posta adresi. |
|
| objectId |
string |
Olayın atandığı kullanıcının nesne kimliği. |
| ownerType |
Olayın atandığı sahibin türü. |
|
| userPrincipalName |
string |
Olayın atandığı kullanıcının kullanıcı asıl adı. |
IncidentSeverity
Olayın önem derecesi
| Name | Tür | Description |
|---|---|---|
| High |
string |
Yüksek önem derecesi |
| Informational |
string |
Bilgi önem derecesi |
| Low |
string |
Düşük önem derecesi |
| Medium |
string |
Orta önem derecesi |
IncidentStatus
Olayın durumu
| Name | Tür | Description |
|---|---|---|
| Active |
string |
İşlenen etkin bir olay |
| Closed |
string |
Etkin olmayan bir olay |
| New |
string |
Şu anda işlenmeyen etkin bir olay |
OwnerType
Olayın atandığı sahibin türü.
| Name | Tür | Description |
|---|---|---|
| Group |
string |
Olay sahibi türü bir AAD grubudur |
| Unknown |
string |
Olay sahibi türü bilinmiyor |
| User |
string |
Olay sahibi türü bir AAD kullanıcısıdır |
systemData
Kaynağın oluşturulması ve son değiştirilmesiyle ilgili meta veriler.
| Name | Tür | Description |
|---|---|---|
| createdAt |
string |
Kaynak oluşturma (UTC) zaman damgası. |
| createdBy |
string |
Kaynağı oluşturan kimlik. |
| createdByType |
Kaynağı oluşturan kimliğin türü. |
|
| lastModifiedAt |
string |
Kaynağın son değişikliğinin zaman damgası (UTC) |
| lastModifiedBy |
string |
Kaynağı son değiştiren kimlik. |
| lastModifiedByType |
Kaynağı en son değiştiren kimliğin türü. |