你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Incidents - Get

获取给定事件。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01

URI 参数

名称 必需 类型 说明
incidentId
path True

string

事件 ID

resourceGroupName
path True

string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True

string

uuid

目标订阅的 ID。 该值必须是 UUID。

workspaceName
path True

string

工作区的名称。

正则表达式模式: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

要用于此操作的 API 版本。

响应

名称 类型 说明
200 OK

Incident

确定,操作已成功完成

Other Status Codes

CloudError

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

类型: oauth2
流向: implicit
授权 URL: https://login.microsoftonline.com/common/oauth2/authorize

作用域

名称 说明
user_impersonation 模拟用户帐户

示例

Get an incident.

示例请求

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01

示例响应

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "InaccurateData",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [
      "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
    ],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": [
        "InitialAccess",
        "Persistence"
      ]
    }
  }
}

定义

名称 说明
AttackTactic

此警报规则创建的警报的严重性。

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

createdByType

创建资源的标识类型。

Incident

表示 Azure 安全见解中的事件。

IncidentAdditionalData

事件附加数据属性包。

IncidentClassification

事件关闭的原因

IncidentClassificationReason

事件结束的分类原因

IncidentLabel

表示事件标签

IncidentLabelType

标签的类型

IncidentOwnerInfo

有关事件分配到的用户的信息

IncidentSeverity

事件的严重性

IncidentStatus

事件的状态

OwnerType

事件分配到的所有者的类型。

systemData

与资源的创建和上次修改相关的元数据。

AttackTactic

此警报规则创建的警报的严重性。

名称 类型 说明
Collection

string

CommandAndControl

string

CredentialAccess

string

DefenseEvasion

string

Discovery

string

Execution

string

Exfiltration

string

Impact

string

ImpairProcessControl

string

InhibitResponseFunction

string

InitialAccess

string

LateralMovement

string

Persistence

string

PreAttack

string

PrivilegeEscalation

string

Reconnaissance

string

ResourceDevelopment

string

CloudError

错误响应结构。

名称 类型 说明
error

CloudErrorBody

错误数据

CloudErrorBody

错误详细信息。

名称 类型 说明
code

string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message

string

描述错误的消息,该消息适用于在用户界面中显示。

createdByType

创建资源的标识类型。

名称 类型 说明
Application

string

Key

string

ManagedIdentity

string

User

string

Incident

表示 Azure 安全见解中的事件。

名称 类型 说明
etag

string

Azure 资源的 Etag

id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

name

string

资源的名称

properties.additionalData

IncidentAdditionalData

有关事件的其他数据

properties.classification

IncidentClassification

事件关闭的原因

properties.classificationComment

string

描述关闭事件的原因

properties.classificationReason

IncidentClassificationReason

事件结束的分类原因

properties.createdTimeUtc

string

创建事件的时间

properties.description

string

事件的说明

properties.firstActivityTimeUtc

string

事件中第一个活动的时间

properties.incidentNumber

integer

一个序号

properties.incidentUrl

string

Azure 门户 中事件的深层链接 URL

properties.labels

IncidentLabel[]

与此事件相关的标签列表

properties.lastActivityTimeUtc

string

事件中最后一个活动的时间

properties.lastModifiedTimeUtc

string

上次更新事件的时间

properties.owner

IncidentOwnerInfo

描述事件分配到的用户

properties.providerIncidentId

string

事件提供程序分配的事件 ID

properties.providerName

string

生成事件的源提供程序的名称

properties.relatedAnalyticRuleIds

string[]

与事件相关的分析规则的资源 ID 列表

properties.severity

IncidentSeverity

事件的严重性

properties.status

IncidentStatus

事件的状态

properties.title

string

事件的标题

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

IncidentAdditionalData

事件附加数据属性包。

名称 类型 说明
alertProductNames

string[]

事件中警报的产品名称列表

alertsCount

integer

事件中的警报数

bookmarksCount

integer

事件中的书签数

commentsCount

integer

事件中的评论数

providerIncidentUrl

string

Microsoft 365 Defender 门户中事件的提供商事件 URL

tactics

AttackTactic[]

与事件相关的策略

IncidentClassification

事件关闭的原因

名称 类型 说明
BenignPositive

string

事件为良性正

FalsePositive

string

事件为误报

TruePositive

string

事件为真阳性

Undetermined

string

事件分类未确定

IncidentClassificationReason

事件结束的分类原因

名称 类型 说明
InaccurateData

string

分类原因是数据不准确

IncorrectAlertLogic

string

分类原因为不正确的警报逻辑

SuspiciousActivity

string

分类原因为可疑活动

SuspiciousButExpected

string

分类原因可疑,但预期

IncidentLabel

表示事件标签

名称 类型 说明
labelName

string

标签的名称

labelType

IncidentLabelType

标签的类型

IncidentLabelType

标签的类型

名称 类型 说明
AutoAssigned

string

系统自动创建的标签

User

string

用户手动创建的标签

IncidentOwnerInfo

有关事件分配到的用户的信息

名称 类型 说明
assignedTo

string

事件分配到的用户的名称。

email

string

事件分配到的用户的电子邮件。

objectId

string

事件分配到的用户的对象 ID。

ownerType

OwnerType

事件分配到的所有者的类型。

userPrincipalName

string

事件分配到的用户的用户主体名称。

IncidentSeverity

事件的严重性

名称 类型 说明
High

string

高严重性

Informational

string

信息严重性

Low

string

低严重性

Medium

string

中等严重性

IncidentStatus

事件的状态

名称 类型 说明
Active

string

正在处理的活动事件

Closed

string

非活动事件

New

string

当前未处理的活动事件

OwnerType

事件分配到的所有者的类型。

名称 类型 说明
Group

string

事件所有者类型是 AAD 组

Unknown

string

事件所有者类型未知

User

string

事件所有者类型是 AAD 用户

systemData

与资源的创建和上次修改相关的元数据。

名称 类型 说明
createdAt

string

资源创建时间戳 (UTC) 。

createdBy

string

创建资源的标识。

createdByType

createdByType

创建资源的标识类型。

lastModifiedAt

string

资源上次修改的时间戳 (UTC)

lastModifiedBy

string

上次修改资源的标识。

lastModifiedByType

createdByType

上次修改资源的标识类型。