你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Update-AzSentinelIncident

汇报事件

语法

Update-AzSentinelIncident
      -ResourceGroupName <String>
      -WorkspaceName <String>
      -IncidentID <String>
      [-Classification <String>]
      [-ClassificationComment <String>]
      [-ClassificationReason <String>]
      [-Description <String>]
      [-Label <System.Collections.Generic.IList`1[Microsoft.Azure.Commands.SecurityInsights.Models.Incidents.PSSentinelIncidentLabel]>]
      [-Owner <PSSentinelIncidentOwner>]
      [-Severity <String>]
      [-Status <String>]
      [-Title <String>]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Update-AzSentinelIncident
      -InputObject <PSSentinelIncident>
      [-Classification <String>]
      [-ClassificationComment <String>]
      [-ClassificationReason <String>]
      [-Description <String>]
      [-Label <System.Collections.Generic.IList`1[Microsoft.Azure.Commands.SecurityInsights.Models.Incidents.PSSentinelIncidentLabel]>]
      [-Owner <PSSentinelIncidentOwner>]
      [-Severity <String>]
      [-Status <String>]
      [-Title <String>]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Update-AzSentinelIncident
      -ResourceId <String>
      [-Classification <String>]
      [-ClassificationComment <String>]
      [-ClassificationReason <String>]
      [-Description <String>]
      [-Label <System.Collections.Generic.IList`1[Microsoft.Azure.Commands.SecurityInsights.Models.Incidents.PSSentinelIncidentLabel]>]
      [-Owner <PSSentinelIncidentOwner>]
      [-Severity <String>]
      [-Status <String>]
      [-Title <String>]
      [-DefaultProfile <IAzureContextContainer>]
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]

说明

Update-AzSentinelIncident cmdlet 更新指定工作区中的事件。 可以将 Incident 对象作为参数传递,也可以使用管道运算符传递,也可以指定所需的参数。 可以使用 Confirm 参数和$ConfirmPreference Windows PowerShell变量来控制 cmdlet 是否提示你进行确认。

示例

示例 1

Update-AzSentinelIncident -ResourceGroupName "myResourceGroup" -WorkspaceName "myWorkspaceName" -IncidentId "myIncidentId" -Severity High

本示例获取 Incident by IncidentId ,并将 严重性 属性设置为 High。 所有其他属性保持不变。

示例 2

$ownerObject = @{"AssignedTo" = "John Doe"; "Email" = "johndoe@contoso.com"; "ObjectId" = "f4e959b4-feda-4345-a1e7-16b4af2fc226";"UserPrincipalName" = "johndoe@contoso.com"}
Update-AzSentinelIncident -ResourceGroupName "myResourceGroup" -WorkspaceName "myWorkspaceName"  -IncidentId a4b586c8-97d8-4cc5-9154-b723c62d26d8 -Owner $ownerObject

此示例首先创建一个包含所有者信息的“owner 对象”,然后使用 Update-AzSentinelIncident cmdlet 传递 ownerObject 来更新事件。

注意:所有者 ObjectId 可在 Azure Active Directory 下的用户详细信息视图下找到。 若要通过脚本自动检索 ObjectId,可以利用 Azure Active Directory PowerShell 模块,如下所示:Get-AzureADUser -ObjectId“johndoe@contoso.com”。

示例 3

Update-AzSentinelIncident -ResourceGroupName "myResourceGroup" -WorkspaceName "myWorkspaceName"  -IncidentID "561c5184-f8da-4d8b-8544-c89e422bbf6f" -Classification FalsePositive -Status "Closed"

此示例关闭具有“误报” 分类 的特定事件
注意:在关闭时提供分类是必需的

示例 4

Update-AzSentinelIncident -ResourceGroupName "myResourceGroup" -WorkspaceName "myWorkspaceName" `
-IncidentID "561c5184-f8da-4d8b-8544-c89e422bbf6f" -Classification FalsePositive  -ClassificationComment "my comment" -ClassificationReason InaccurateData -Status "Closed"

此示例关闭特定事件并提供分类注释和原因

参数

-Classification

事件分类。

Type:String
Accepted values:BenignPositive, FalsePositive, TruePositive, Undetermined
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ClassificationComment

Incident Classificaiton Comment.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ClassificationReason

事件分类原因。

Type:String
Accepted values:InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-DefaultProfile

用于与 Azure 通信的凭据、帐户、租户和订阅。

Type:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Description

说明。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-IncidentID

事件 ID。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-InputObject

InputObject。

Type:PSSentinelIncident
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-Label

事件标签。

Type:IList<T>[PSSentinelIncidentLabel]
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-Owner

事件所有者。

Type:PSSentinelIncidentOwner
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ResourceGroupName

资源组名称。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ResourceId

资源 ID。

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-Severity

事件严重性。

Type:String
Accepted values:High, Informational, Low, Medium
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Status

事件状态。

Type:String
Accepted values:Active, Closed, New
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Title

事件标题。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-WhatIf

显示在此 cmdlet 运行的情况下将会发生什么。 此 cmdlet 未运行。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-WorkspaceName

工作区名称。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

输入

PSSentinelIncident

String

IList<T>[[Microsoft.Azure.Commands.SecurityInsights.Models.Incidents.PSSentinelIncidentLabel, Microsoft.Azure.PowerShell.Cmdlets.SecurityInsights, Version=0.1.0.0, Culture=neutral, PublicKeyToken=null]]

PSSentinelIncidentOwner

输出

PSSentinelIncident