你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
az sentinel threat-indicator
注意
此参考是 Azure CLI(版本 2.37.0 或更高版本)的 sentinel 扩展的一部分。 该扩展将在首次运行 az sentinel threat-indicator 命令时自动安装。 详细了解扩展。
使用 sentinel 管理威胁情报指示器。
命令
| 名称 | 说明 | 类型 | 状态 |
|---|---|---|---|
| az sentinel threat-indicator append-tag |
将标记追加到威胁情报指示器。 |
扩展 | 实验 |
| az sentinel threat-indicator create |
创建新的威胁情报指示器。 |
分机 | 实验 |
| az sentinel threat-indicator delete |
删除威胁情报指示器。 |
扩展 | 实验 |
| az sentinel threat-indicator list |
获取所有威胁情报指示器。 |
分机 | 实验 |
| az sentinel threat-indicator metric |
使用 sentinel 管理威胁情报指标指标。 |
分机 | GA |
| az sentinel threat-indicator metric list |
获取威胁情报指示器指标(指标按类型、威胁类型、源计数)。 |
分机 | GA |
| az sentinel threat-indicator query |
根据筛选条件查询威胁情报指示器。 |
分机 | 实验 |
| az sentinel threat-indicator replace-tag |
替换添加到威胁情报指示器的标记。 |
分机 | 实验 |
| az sentinel threat-indicator show |
按名称查看威胁情报指示器。 |
扩展 | 实验 |
| az sentinel threat-indicator update |
更新威胁情报指示器。 |
分机 | 实验 |
az sentinel threat-indicator append-tag
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
将标记追加到威胁情报指示器。
az sentinel threat-indicator append-tag --name
--resource-group
--workspace-name
[--intelligence-tags]必需参数
威胁智能指示器名称字段。
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
工作区的名称。
可选参数
要追加的标记列表。 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel threat-indicator create
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
创建新的威胁情报指示器。
az sentinel threat-indicator create --resource-group
--workspace-name
[--confidence]
[--created]
[--created-by-ref]
[--defanged {0, 1, f, false, n, no, t, true, y, yes}]
[--description]
[--display-name]
[--etag]
[--external-id]
[--external-references]
[--external-updated-time]
[--granular-markings]
[--indicator-types]
[--kill-chain-phases]
[--labels]
[--language]
[--last-updated-time]
[--modified]
[--object-marking-refs]
[--parsed-pattern]
[--pattern]
[--pattern-type]
[--pattern-version]
[--revoked {0, 1, f, false, n, no, t, true, y, yes}]
[--source]
[--threat-tags]
[--threat-types]
[--valid-from]
[--valid-until]必需参数
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
工作区的名称。
可选参数
威胁情报实体的信心。
创建者。
通过引用威胁情报实体创建。
威胁情报实体已解除。
威胁情报实体的说明。
威胁情报实体的显示名称。
Azure 资源的 Etag。
威胁情报实体的外部 ID。
外部引用支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
UTC 格式的外部上次更新时间。
精细标记支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的指示器类型支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
终止链阶段支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的标签支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的语言。
UTC 的上次更新时间。
修改者。
威胁智能实体对象标记引用支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
分析模式支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的模式。
威胁情报实体的模式类型。
威胁情报实体的模式版本。
威胁情报实体是否已撤销。
威胁情报实体的来源。
标记列表支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁类型支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
有效发件人。
有效期至此为止。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel threat-indicator delete
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
删除威胁情报指示器。
az sentinel threat-indicator delete [--ids]
[--name]
[--resource-group]
[--subscription]
[--workspace-name]
[--yes]可选参数
一个或多个资源 ID(空格分隔)。 它应该是包含“资源 ID”参数的所有信息的完整资源 ID。 应提供 --id 或其他“资源 ID”参数。
威胁智能指示器名称字段。
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
工作区的名称。
不提示确认。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel threat-indicator list
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
获取所有威胁情报指示器。
az sentinel threat-indicator list --resource-group
--workspace-name
[--filter]
[--orderby]
[--skip-token]
[--top]必需参数
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
工作区的名称。
可选参数
根据布尔条件筛选结果。 可选。
对结果进行排序。 可选。
仅当以前的操作返回了部分结果时,才使用 Skiptoken。 如果以前的响应包含 nextLink 元素,则 nextLink 元素的值将包含一个 skiptoken 参数,该参数指定用于后续调用的起点。 可选。
仅返回前 n 个结果。 可选。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel threat-indicator query
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
根据筛选条件查询威胁情报指示器。
az sentinel threat-indicator query --resource-group
--workspace-name
[--ids]
[--include-disabled {0, 1, f, false, n, no, t, true, y, yes}]
[--keywords]
[--max-confidence]
[--max-valid-until]
[--min-confidence]
[--min-valid-until]
[--page-size]
[--pattern-types]
[--skip-token]
[--sort-by]
[--sources]
[--threat-types]必需参数
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
工作区的名称。
可选参数
威胁情报指示器的 ID 支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
要包含/排除已禁用指示器的参数。
用于搜索威胁情报指示器的关键字支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
最大置信度。
ValidUntil 筛选器的结束时间。
最小置信度。
ValidUntil 筛选器的开始时间。
页面大小。
模式类型支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
跳过令牌。
排序依据和排序顺序的列支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报指标的来源支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报指标的威胁类型支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel threat-indicator replace-tag
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
替换添加到威胁情报指示器的标记。
az sentinel threat-indicator replace-tag --name
--resource-group
--workspace-name
[--confidence]
[--created]
[--created-by-ref]
[--defanged {0, 1, f, false, n, no, t, true, y, yes}]
[--description]
[--display-name]
[--etag]
[--external-id]
[--external-references]
[--external-updated-time]
[--granular-markings]
[--indicator-types]
[--intelligence-tags]
[--kill-chain-phases]
[--labels]
[--language]
[--last-updated-time]
[--modified]
[--object-marking-refs]
[--parsed-pattern]
[--pattern]
[--pattern-type]
[--pattern-version]
[--revoked {0, 1, f, false, n, no, t, true, y, yes}]
[--source]
[--threat-types]
[--valid-from]
[--valid-until]必需参数
威胁智能指示器名称字段。
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
工作区的名称。
可选参数
威胁情报实体的信心。
创建者。
通过引用威胁情报实体创建。
威胁情报实体已解除。
威胁情报实体的说明。
威胁情报实体的显示名称。
Azure 资源的 Etag。
威胁情报实体的外部 ID。
外部引用支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
UTC 格式的外部上次更新时间。
精细标记支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的指示器类型支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
标记列表支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
终止链阶段支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的标签支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的语言。
UTC 的上次更新时间。
修改者。
威胁智能实体对象标记引用支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
分析模式支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的模式。
威胁情报实体的模式类型。
威胁情报实体的模式版本。
威胁情报实体是否已撤销。
威胁情报实体的来源。
威胁类型支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
有效发件人。
有效期至此为止。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel threat-indicator show
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
按名称查看威胁情报指示器。
az sentinel threat-indicator show [--ids]
[--name]
[--resource-group]
[--subscription]
[--workspace-name]可选参数
一个或多个资源 ID(空格分隔)。 它应该是包含“资源 ID”参数的所有信息的完整资源 ID。 应提供 --id 或其他“资源 ID”参数。
威胁智能指示器名称字段。
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
工作区的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az sentinel threat-indicator update
此命令是实验性的,正在开发中。 参考和支持级别: https://aka.ms/CLI_refstatus
更新威胁情报指示器。
az sentinel threat-indicator update [--confidence]
[--created]
[--created-by-ref]
[--defanged {0, 1, f, false, n, no, t, true, y, yes}]
[--description]
[--display-name]
[--etag]
[--external-id]
[--external-references]
[--external-updated-time]
[--granular-markings]
[--ids]
[--indicator-types]
[--kill-chain-phases]
[--labels]
[--language]
[--last-updated-time]
[--modified]
[--name]
[--object-marking-refs]
[--parsed-pattern]
[--pattern]
[--pattern-type]
[--pattern-version]
[--resource-group]
[--revoked {0, 1, f, false, n, no, t, true, y, yes}]
[--source]
[--subscription]
[--threat-tags]
[--threat-types]
[--valid-from]
[--valid-until]
[--workspace-name]可选参数
威胁情报实体的信心。
创建者。
通过引用威胁情报实体创建。
威胁情报实体已解除。
威胁情报实体的说明。
威胁情报实体的显示名称。
Azure 资源的 Etag。
威胁情报实体的外部 ID。
外部引用支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
UTC 格式的外部上次更新时间。
精细标记支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
一个或多个资源 ID(空格分隔)。 它应该是包含“资源 ID”参数的所有信息的完整资源 ID。 应提供 --id 或其他“资源 ID”参数。
威胁情报实体的指示器类型支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
终止链阶段支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的标签支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的语言。
UTC 的上次更新时间。
修改者。
威胁智能指示器名称字段。
威胁智能实体对象标记引用支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
分析模式支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁情报实体的模式。
威胁情报实体的模式类型。
威胁情报实体的模式版本。
资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。
威胁情报实体是否已撤销。
威胁情报实体的来源。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
标记列表支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
威胁类型支持速记语法、json-file 和 yaml-file。 请尝试“??” 以显示更多内容。
有效发件人。
有效期至此为止。
工作区的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈