Incidents - List
Tüm olayları alır.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}
URI Parametreleri
Name | İçinde | Gerekli | Tür | Description |
---|---|---|---|---|
resource
|
path | True |
string |
Kaynak grubunun adı. Ad büyük/küçük harfe duyarlı değildir. |
subscription
|
path | True |
string uuid |
Hedef aboneliğin kimliği. Değer bir UUID olmalıdır. |
workspace
|
path | True |
string |
Çalışma alanının adı. Normal ifade deseni: |
api-version
|
query | True |
string |
Bu işlem için kullanılacak API sürümü. |
$filter
|
query |
string |
Sonuçları Boole koşuluna göre filtreler. İsteğe bağlı. |
|
$orderby
|
query |
string |
Sonuçları sıralar. İsteğe bağlı. |
|
$skip
|
query |
string |
Skiptoken yalnızca önceki bir işlemin kısmi bir sonuç döndürmesi durumunda kullanılır. Önceki yanıt bir nextLink öğesi içeriyorsa nextLink öğesinin değeri, sonraki çağrılar için kullanılacak bir başlangıç noktasını belirten bir skiptoken parametresi içerir. İsteğe bağlı. |
|
$top
|
query |
integer int32 |
Yalnızca ilk n sonucu döndürür. İsteğe bağlı. |
Yanıtlar
Name | Tür | Description |
---|---|---|
200 OK |
Tamam, İşlem başarıyla tamamlandı |
|
Other Status Codes |
İşlemin neden başarısız olduğunu açıklayan hata yanıtı. |
Güvenlik
azure_auth
Azure Active Directory OAuth2 Flow
Tür:
oauth2
Akış:
implicit
Yetkilendirme URL’si:
https://login.microsoftonline.com/common/oauth2/authorize
Kapsamlar
Name | Description |
---|---|
user_impersonation | kullanıcı hesabınızın kimliğine bürünme |
Örnekler
Get all incidents.
Örnek isteği
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1
Örnek yanıt
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}
Tanımlar
Name | Description |
---|---|
Attack |
Bu uyarı kuralı tarafından oluşturulan uyarıların önem derecesi. |
Cloud |
Hata yanıtı yapısı. |
Cloud |
Hata ayrıntıları. |
created |
Kaynağı oluşturan kimliğin türü. |
Incident |
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder. |
Incident |
Olay ek veri özelliği paketi. |
Incident |
Olayın kapanma nedeni |
Incident |
Olayın kapatıldığı sınıflandırma nedeni |
Incident |
Olay etiketini temsil eder |
Incident |
Etiketin türü |
Incident |
Tüm olayları listeleyin. |
Incident |
Bir olayın atandığı kullanıcıyla ilgili bilgiler |
Incident |
Olayın önem derecesi |
Incident |
Olayın durumu |
Owner |
Olayın atandığı sahibin türü. |
system |
Kaynağın oluşturulması ve son değiştirilmesiyle ilgili meta veriler. |
AttackTactic
Bu uyarı kuralı tarafından oluşturulan uyarıların önem derecesi.
Name | Tür | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Hata yanıtı yapısı.
Name | Tür | Description |
---|---|---|
error |
Hata verileri |
CloudErrorBody
Hata ayrıntıları.
Name | Tür | Description |
---|---|---|
code |
string |
Hatanın tanımlayıcısı. Kodlar sabittir ve program aracılığıyla kullanılması amaçlanmıştır. |
message |
string |
Hatayı açıklayan ve kullanıcı arabiriminde görüntülenmeye uygun olması amaçlanan bir ileti. |
createdByType
Kaynağı oluşturan kimliğin türü.
Name | Tür | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Azure Güvenlik İçgörüleri'ndeki bir olayı temsil eder.
Name | Tür | Description |
---|---|---|
etag |
string |
Azure kaynağının etag'i |
id |
string |
Kaynağın tam kaynak kimliği. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
Kaynağın adı |
properties.additionalData |
Olayla ilgili ek veriler |
|
properties.classification |
Olayın kapanma nedeni |
|
properties.classificationComment |
string |
Olayın kapanma nedenini açıklar |
properties.classificationReason |
Olayın kapatıldığı sınıflandırma nedeni |
|
properties.createdTimeUtc |
string |
Olayın oluşturulduğu saat |
properties.description |
string |
Olayın açıklaması |
properties.firstActivityTimeUtc |
string |
Olaydaki ilk etkinliğin saati |
properties.incidentNumber |
integer |
Sıralı sayı |
properties.incidentUrl |
string |
Azure portal'daki olayın ayrıntılı bağlantı URL'si |
properties.labels |
Bu olayla ilgili etiketlerin listesi |
|
properties.lastActivityTimeUtc |
string |
Olaydaki son etkinliğin saati |
properties.lastModifiedTimeUtc |
string |
Olayın en son güncelleştirilişi |
properties.owner |
Olayın atandığı kullanıcıyı açıklar |
|
properties.providerIncidentId |
string |
Olay sağlayıcısı tarafından atanan olay kimliği |
properties.providerName |
string |
Olayı oluşturan kaynak sağlayıcının adı |
properties.relatedAnalyticRuleIds |
string[] |
Olayla ilgili Analiz kurallarının kaynak kimliklerinin listesi |
properties.severity |
Olayın önem derecesi |
|
properties.status |
Olayın durumu |
|
properties.title |
string |
Olayın başlığı |
systemData |
Azure Resource Manager createdBy ve modifiedBy bilgilerini içeren meta veriler. |
|
type |
string |
Kaynağın türü. Örneğin, "Microsoft.Compute/virtualMachines" veya "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Olay ek veri özelliği paketi.
Name | Tür | Description |
---|---|---|
alertProductNames |
string[] |
Olaydaki uyarıların ürün adlarının listesi |
alertsCount |
integer |
Olaydaki uyarı sayısı |
bookmarksCount |
integer |
Olaydaki yer işaretlerinin sayısı |
commentsCount |
integer |
Olaydaki açıklama sayısı |
providerIncidentUrl |
string |
Microsoft 365 Defender portalında olayın sağlayıcı olayı URL'si |
tactics |
Olayla ilişkili taktikler |
IncidentClassification
Olayın kapanma nedeni
Name | Tür | Description |
---|---|---|
BenignPositive |
string |
Olay zararsız pozitifti |
FalsePositive |
string |
Olay hatalı pozitif çıktı |
TruePositive |
string |
Olay gerçek pozitifti |
Undetermined |
string |
Olay sınıflandırması belirlenemedi |
IncidentClassificationReason
Olayın kapatıldığı sınıflandırma nedeni
Name | Tür | Description |
---|---|---|
InaccurateData |
string |
Sınıflandırma nedeni yanlış verilerdi |
IncorrectAlertLogic |
string |
Sınıflandırma nedeni yanlış uyarı mantığıydı |
SuspiciousActivity |
string |
Sınıflandırma nedeni şüpheli etkinlikti |
SuspiciousButExpected |
string |
Sınıflandırma nedeni şüpheliydi ancak bekleniyordu |
IncidentLabel
Olay etiketini temsil eder
Name | Tür | Description |
---|---|---|
labelName |
string |
Etiketin adı |
labelType |
Etiketin türü |
IncidentLabelType
Etiketin türü
Name | Tür | Description |
---|---|---|
AutoAssigned |
string |
Sistem tarafından otomatik olarak oluşturulan etiket |
User |
string |
Kullanıcı tarafından el ile oluşturulan etiket |
IncidentList
Tüm olayları listeleyin.
Name | Tür | Description |
---|---|---|
nextLink |
string |
Sonraki olay kümesinin getirilmeye yönelik URL'si. |
value |
Incident[] |
Olay dizisi. |
IncidentOwnerInfo
Bir olayın atandığı kullanıcıyla ilgili bilgiler
Name | Tür | Description |
---|---|---|
assignedTo |
string |
Olayın atandığı kullanıcının adı. |
string |
Olayın atandığı kullanıcının e-posta adresi. |
|
objectId |
string |
Olayın atandığı kullanıcının nesne kimliği. |
ownerType |
Olayın atandığı sahibin türü. |
|
userPrincipalName |
string |
Olayın atandığı kullanıcının kullanıcı asıl adı. |
IncidentSeverity
Olayın önem derecesi
Name | Tür | Description |
---|---|---|
High |
string |
Yüksek önem derecesi |
Informational |
string |
Bilgi önem derecesi |
Low |
string |
Düşük önem derecesi |
Medium |
string |
Orta önem derecesi |
IncidentStatus
Olayın durumu
Name | Tür | Description |
---|---|---|
Active |
string |
İşlenen etkin bir olay |
Closed |
string |
Etkin olmayan bir olay |
New |
string |
Şu anda işlenmeyen etkin bir olay |
OwnerType
Olayın atandığı sahibin türü.
Name | Tür | Description |
---|---|---|
Group |
string |
Olay sahibi türü bir AAD grubudur |
Unknown |
string |
Olay sahibi türü bilinmiyor |
User |
string |
Olay sahibi türü bir AAD kullanıcısıdır |
systemData
Kaynağın oluşturulması ve son değiştirilmesiyle ilgili meta veriler.
Name | Tür | Description |
---|---|---|
createdAt |
string |
Kaynak oluşturma (UTC) zaman damgası. |
createdBy |
string |
Kaynağı oluşturan kimlik. |
createdByType |
Kaynağı oluşturan kimliğin türü. |
|
lastModifiedAt |
string |
Kaynağın son değişikliğinin zaman damgası (UTC) |
lastModifiedBy |
string |
Kaynağı son değiştiren kimlik. |
lastModifiedByType |
Kaynağı en son değiştiren kimliğin türü. |