Hunts - Get
获取一个搜寻,而不用关系和评论。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/hunts/{huntId}?api-version=2025-04-01-previewURI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
hunt
|
path | True |
string |
搜寻 ID (GUID) |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
资源组的名称。 此名称不区分大小写。 |
|
subscription
|
path | True |
string (uuid) |
目标订阅的 ID。 该值必须是 UUID。 |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
工作区的名称。 |
|
api-version
|
query | True |
string minLength: 1 |
用于此操作的 API 版本。 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 200 OK |
好的 |
|
| Other Status Codes |
描述作失败的原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
类型:
oauth2
流向:
implicit
授权 URL:
https://login.microsoftonline.com/common/oauth2/authorize
作用域
| 名称 | 说明 |
|---|---|
| user_impersonation | 模拟用户帐户 |
示例
Get a hunt.
示例请求
GET https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/hunts/163e7b2a-a2ec-4041-aaba-d878a38f265f?api-version=2025-04-01-preview
示例响应
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/hunts/163e7b2a-a2ec-4041-aaba-d878a38f265f",
"name": "163e7b2a-a2ec-4041-aaba-d878a38f265f",
"etag": "\"de00c408-0000-0c00-0000-62741e350000\"",
"type": "Microsoft.SecurityInsights/hunts",
"properties": {
"displayName": "Log4J new hunt ",
"description": "Log4J Hunt Description",
"status": "New",
"hypothesisStatus": "Unknown",
"attackTactics": [
"Reconnaissance"
],
"attackTechniques": [
"T1595"
],
"labels": [
"Label1",
"Label2"
],
"owner": {
"objectId": "873b5263-5d34-4149-b356-ad341b01e123",
"email": "testemail@microsoft.com",
"assignedTo": null,
"userPrincipalName": "John Doe",
"ownerType": "User"
}
}
}定义
| 名称 | 说明 |
|---|---|
|
Attack |
此警报规则创建的警报的严重性。 |
|
Cloud |
错误响应结构。 |
|
Cloud |
错误详细信息。 |
|
created |
创建资源的标识的类型。 |
| Hunt |
表示 Azure 安全见解中的搜寻。 |
|
Hunt |
描述要向其分配搜寻的用户 |
|
hypothesis |
狩猎的假设状态。 |
|
Owner |
搜寻分配给的所有者的类型。 |
| status |
搜寻的状态。 |
|
system |
与创建和上次修改资源相关的元数据。 |
AttackTactic
此警报规则创建的警报的严重性。
| 值 | 说明 |
|---|---|
| Reconnaissance | |
| ResourceDevelopment | |
| InitialAccess | |
| Execution | |
| Persistence | |
| PrivilegeEscalation | |
| DefenseEvasion | |
| CredentialAccess | |
| Discovery | |
| LateralMovement | |
| Collection | |
| Exfiltration | |
| CommandAndControl | |
| Impact | |
| PreAttack | |
| ImpairProcessControl | |
| InhibitResponseFunction |
CloudError
错误响应结构。
| 名称 | 类型 | 说明 |
|---|---|---|
| error |
错误数据 |
CloudErrorBody
错误详细信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
| message |
string |
描述错误的消息,旨在适合在用户界面中显示。 |
createdByType
创建资源的标识的类型。
| 值 | 说明 |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
Hunt
表示 Azure 安全见解中的搜寻。
| 名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| etag |
string |
Azure 资源的 Etag |
|
| id |
string (arm-id) |
资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}” |
|
| name |
string |
资源的名称 |
|
| properties.attackTactics |
与搜寻关联的 mitre 攻击策略列表 |
||
| properties.attackTechniques |
string[] |
搜寻与 关联的 mitre 攻击技术列表 |
|
| properties.description |
string |
搜寻的说明 |
|
| properties.displayName |
string |
搜寻的显示名称 |
|
| properties.hypothesisStatus | Unknown |
狩猎的假设状态。 |
|
| properties.labels |
string[] |
与此搜寻相关的标签列表 |
|
| properties.owner |
描述要向其分配搜寻的用户 |
||
| properties.status | New |
搜寻的状态。 |
|
| systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
||
| type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
HuntOwner
描述要向其分配搜寻的用户
| 名称 | 类型 | 说明 |
|---|---|---|
| assignedTo |
string |
要为其分配搜寻的用户的名称。 |
|
string |
搜寻分配给的用户的电子邮件。 |
|
| objectId |
string (uuid) |
要为其分配搜寻的用户的对象 ID。 |
| ownerType |
搜寻分配给的所有者的类型。 |
|
| userPrincipalName |
string |
要为其分配搜寻的用户的用户主体名称。 |
hypothesisStatus
狩猎的假设状态。
| 值 | 说明 |
|---|---|
| Unknown | |
| Invalidated | |
| Validated |
OwnerType
搜寻分配给的所有者的类型。
| 值 | 说明 |
|---|---|
| Unknown |
搜寻所有者类型未知 |
| User |
搜寻所有者类型是 AAD 用户 |
| Group |
搜寻所有者类型是 AAD 组 |
status
搜寻的状态。
| 值 | 说明 |
|---|---|
| New | |
| Active | |
| Closed | |
| Backlog | |
| Approved |
systemData
与创建和上次修改资源相关的元数据。
| 名称 | 类型 | 说明 |
|---|---|---|
| createdAt |
string (date-time) |
资源创建时间戳(UTC)。 |
| createdBy |
string |
创建资源的标识。 |
| createdByType |
创建资源的标识的类型。 |
|
| lastModifiedAt |
string (date-time) |
上次修改的资源时间戳(UTC) |
| lastModifiedBy |
string |
上次修改资源的标识。 |
| lastModifiedByType |
上次修改资源的标识的类型。 |