你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft.SecurityInsights 事件 2022-06-01-preview
- 最新
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022 年 8 月 1 日
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2021-04-01
- 2021-03-01-preview
- 2020-01-01
- 2019-01-01-preview
Bicep 资源定义
事件资源类型是 扩展资源,这意味着你可以将其应用于其他资源。
scope
使用此资源上的 属性可设置此资源的范围。 请参阅 在 Bicep 中设置扩展资源的范围。
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/incidents 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.SecurityInsights/incidents@2022-06-01-preview' = {
name: 'string'
scope: resourceSymbolicName
etag: 'string'
properties: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
description: 'string'
firstActivityTimeUtc: 'string'
labels: [
{
labelName: 'string'
}
]
lastActivityTimeUtc: 'string'
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
ownerType: 'string'
userPrincipalName: 'string'
}
providerIncidentId: 'string'
providerName: 'string'
severity: 'string'
status: 'string'
teamInformation: {}
title: 'string'
}
}
属性值
incidents
名称 | 说明 | 值 |
---|---|---|
name | 资源名称 | 字符串 (必需) |
scope | 在与部署范围不同的范围创建扩展资源时使用 。 | 目标资源 对于 Bicep,请将此属性设置为资源的符号名称以应用 扩展资源。 |
etag | Azure 资源的 Etag | string |
properties | 事件属性 | IncidentProperties |
IncidentProperties
名称 | 说明 | 值 |
---|---|---|
分类 | 事件被关闭的原因 | “BenignPositive” “FalsePositive” “TruePositive” “未确定” |
classificationComment | 描述关闭事件的原因 | string |
classificationReason | 事件被关闭的分类原因 | “不准确的数据” “IncorrectAlertLogic” “SuspiciousActivity” “SuspiciousButExpected” |
description | 事件的说明 | string |
firstActivityTimeUtc | 事件中第一个活动的时间 | string |
标签 | 与此事件相关的标签列表 | IncidentLabel[] |
lastActivityTimeUtc | 事件中最后一个活动的时间 | string |
owner | 描述事件分配到的用户 | IncidentOwnerInfo |
providerIncidentId | 事件提供程序分配的事件 ID | string |
ProviderName | 生成事件的源提供程序的名称 | string |
severity | 事件的严重性 | “高” “Informational” “低” “中等” (必需) |
status | 事件的状态 | “Active” “已关闭” 需要“新建” () |
teamInformation | 描述事件的团队 | TeamInformation |
title | 事件的标题 | 字符串 (必需) |
IncidentLabel
名称 | 说明 | 值 |
---|---|---|
labelName | 标签的名称 | 字符串 (必需) |
IncidentOwnerInfo
名称 | 说明 | 值 |
---|---|---|
assignedTo | 事件分配到的用户的名称。 | string |
电子邮件 | 事件分配到的用户的电子邮件。 | string |
objectId | 事件分配到的用户的对象 ID。 | string |
ownerType | 事件分配到的所有者的类型。 | “组” “未知” “User” |
userPrincipalName | 事件分配到的用户的用户主体名称。 | string |
TeamInformation
此对象不包含在部署期间要设置的任何属性。 所有属性均为 ReadOnly。
ARM 模板资源定义
事件资源类型是 扩展资源,这意味着你可以将其应用于其他资源。
scope
使用此资源上的 属性可设置此资源的范围。 请参阅 在 ARM 模板中设置扩展资源的范围。
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/incidents 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.SecurityInsights/incidents",
"apiVersion": "2022-06-01-preview",
"name": "string",
"scope": "string",
"etag": "string",
"properties": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"description": "string",
"firstActivityTimeUtc": "string",
"labels": [
{
"labelName": "string"
}
],
"lastActivityTimeUtc": "string",
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"ownerType": "string",
"userPrincipalName": "string"
},
"providerIncidentId": "string",
"providerName": "string",
"severity": "string",
"status": "string",
"teamInformation": {},
"title": "string"
}
}
属性值
incidents
名称 | 说明 | Value |
---|---|---|
type | 资源类型 | “Microsoft.SecurityInsights/incidents” |
apiVersion | 资源 API 版本 | “2022-06-01-preview” |
name | 资源名称 | 字符串 (必需) |
scope | 在与部署范围不同的范围创建扩展资源时使用 。 | 目标资源 对于 JSON,请将值设置为要向其应用 扩展资源 的资源的全名。 |
etag | Azure 资源的 Etag | string |
properties | 事件属性 | IncidentProperties |
IncidentProperties
名称 | 说明 | 值 |
---|---|---|
分类 | 事件被关闭的原因 | “BenignPositive” “FalsePositive” “TruePositive” “未确定” |
classificationComment | 描述关闭事件的原因 | string |
classificationReason | 事件被关闭的分类原因 | “不准确的数据” “IncorrectAlertLogic” “SuspiciousActivity” “SuspiciousButExpected” |
description | 事件的说明 | string |
firstActivityTimeUtc | 事件中第一个活动的时间 | string |
标签 | 与此事件相关的标签列表 | IncidentLabel[] |
lastActivityTimeUtc | 事件中最后一个活动的时间 | string |
owner | 描述事件分配到的用户 | IncidentOwnerInfo |
providerIncidentId | 事件提供程序分配的事件 ID | string |
ProviderName | 生成事件的源提供程序的名称 | string |
severity | 事件的严重性 | “High” “Informational” 'Low' “中等” (必需) |
status | 事件的状态 | 'Active' “已关闭” 需要“新建” () |
teamInformation | 描述事件的团队 | TeamInformation |
title | 事件的标题 | 字符串 (必需) |
IncidentLabel
名称 | 说明 | 值 |
---|---|---|
labelName | 标签的名称 | 字符串 (必需) |
IncidentOwnerInfo
名称 | 说明 | 值 |
---|---|---|
assignedTo | 事件分配到的用户的名称。 | string |
电子邮件 | 事件分配到的用户的电子邮件。 | string |
objectId | 事件分配到的用户的对象 ID。 | string |
ownerType | 事件分配到的所有者的类型。 | 'Group' “未知” “User” |
userPrincipalName | 事件分配到的用户的用户主体名称。 | string |
TeamInformation
此对象不包含部署期间要设置的任何属性。 所有属性均为 ReadOnly。
Terraform (AzAPI 提供程序) 资源定义
事件资源类型是 扩展资源,这意味着你可以将其应用于另一个资源。
parent_id
使用此资源上的 属性可设置此资源的作用域。
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/incidents 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/incidents@2022-06-01-preview"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
description = "string"
firstActivityTimeUtc = "string"
labels = [
{
labelName = "string"
}
]
lastActivityTimeUtc = "string"
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
ownerType = "string"
userPrincipalName = "string"
}
providerIncidentId = "string"
providerName = "string"
severity = "string"
status = "string"
teamInformation = {}
title = "string"
}
etag = "string"
})
}
属性值
incidents
名称 | 说明 | Value |
---|---|---|
type | 资源类型 | “Microsoft.SecurityInsights/incidents@2022-06-01-preview” |
name | 资源名称 | 字符串 (必需) |
parent_id | 要应用此扩展资源的资源的 ID。 | 字符串 (必需) |
etag | Azure 资源的 Etag | string |
properties | 事件属性 | IncidentProperties |
IncidentProperties
名称 | 说明 | 值 |
---|---|---|
分类 | 事件关闭的原因 | “BenignPositive” “FalsePositive” “TruePositive” “未确定” |
classificationComment | 描述关闭事件的原因 | string |
classificationReason | 事件结束的分类原因 | “不准确的数据” “IncorrectAlertLogic” “SuspiciousActivity” “SuspiciousButExpected” |
description | 事件的说明 | string |
firstActivityTimeUtc | 事件中第一个活动的时间 | string |
标签 | 与此事件相关的标签列表 | IncidentLabel[] |
lastActivityTimeUtc | 事件中最后一个活动的时间 | string |
owner | 描述事件分配到的用户 | IncidentOwnerInfo |
providerIncidentId | 事件提供程序分配的事件 ID | string |
ProviderName | 生成事件的源提供程序的名称 | string |
severity | 事件的严重性 | "High" “Informational” "Low" 需要“中等” () |
status | 事件的状态 | “活动” "Closed" 需要“新建” () |
teamInformation | 描述事件的团队 | TeamInformation |
title | 事件的标题 | 字符串 (必需) |
IncidentLabel
名称 | 说明 | 值 |
---|---|---|
labelName | 标签的名称 | 字符串 (必需) |
IncidentOwnerInfo
名称 | 说明 | 值 |
---|---|---|
assignedTo | 事件分配到的用户的名称。 | string |
电子邮件 | 事件分配到的用户的电子邮件。 | string |
objectId | 事件分配到的用户的对象 ID。 | string |
ownerType | 事件分配到的所有者的类型。 | “组” "Unknown" “User” |
userPrincipalName | 事件分配到的用户的用户主体名称。 | string |
TeamInformation
此对象不包含在部署期间要设置的任何属性。 所有属性均为 ReadOnly。