你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Incidents - Get

参考

Service:: Sentinel

API Version:: 2024-03-01

获取给定事件。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01

URI 参数

名称	在	必需	类型	说明
incidentId	path	True	string	事件 ID
resourceGroupName	path	True	string	资源组的名称。此名称不区分大小写。
subscriptionId	path	True	string uuid	目标订阅的 ID。该值必须是 UUID。
workspaceName	path	True	string	工作区的名称。 Regex pattern: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	要用于此操作的 API 版本。

响应

名称	类型	说明
200 OK	Incident	确定，操作已成功完成
Other Status Codes	CloudError	描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名称	说明
user_impersonation	模拟用户帐户

示例

Get an incident.

Sample Request

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01

Sample Response

Status code:: 200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "InaccurateData",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [
      "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
    ],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": [
        "InitialAccess",
        "Persistence"
      ]
    }
  }
}

定义

名称	说明
AttackTactic	此警报规则创建的警报的严重性。
CloudError	错误响应结构。
CloudErrorBody	错误详细信息。
createdByType	创建资源的标识类型。
Incident	表示 Azure 安全见解中的事件。
IncidentAdditionalData	事件附加数据属性包。
IncidentClassification	事件关闭的原因
IncidentClassificationReason	事件结束的分类原因
IncidentLabel	表示事件标签
IncidentLabelType	标签的类型
IncidentOwnerInfo	有关事件分配到的用户的信息
IncidentSeverity	事件的严重性
IncidentStatus	事件的状态
OwnerType	事件分配到的所有者的类型。
systemData	与资源的创建和上次修改相关的元数据。

AttackTactic

此警报规则创建的警报的严重性。

名称	类型	说明
Collection	string
CommandAndControl	string
CredentialAccess	string
DefenseEvasion	string
Discovery	string
Execution	string
Exfiltration	string
Impact	string
ImpairProcessControl	string
InhibitResponseFunction	string
InitialAccess	string
LateralMovement	string
Persistence	string
PreAttack	string
PrivilegeEscalation	string
Reconnaissance	string
ResourceDevelopment	string

CloudError

错误响应结构。

名称	类型	说明
error	CloudErrorBody	错误数据

CloudErrorBody

错误详细信息。

名称	类型	说明
code	string	错误的标识符。代码是固定的，旨在以编程方式使用。
message	string	描述错误的消息，该消息适用于在用户界面中显示。

createdByType

创建资源的标识类型。

名称	类型	说明
Application	string
Key	string
ManagedIdentity	string
User	string

Incident

表示 Azure 安全见解中的事件。

名称	类型	说明
etag	string	Azure 资源的 Etag
id	string	资源的完全限定的资源 ID。例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
name	string	资源的名称
properties.additionalData	IncidentAdditionalData	有关事件的其他数据
properties.classification	IncidentClassification	事件关闭的原因
properties.classificationComment	string	描述关闭事件的原因
properties.classificationReason	IncidentClassificationReason	事件结束的分类原因
properties.createdTimeUtc	string	创建事件的时间
properties.description	string	事件的说明
properties.firstActivityTimeUtc	string	事件中第一个活动的时间
properties.incidentNumber	integer	一个序号
properties.incidentUrl	string	Azure 门户中事件的深层链接 URL
properties.labels	IncidentLabel[]	与此事件相关的标签列表
properties.lastActivityTimeUtc	string	事件中最后一个活动的时间
properties.lastModifiedTimeUtc	string	上次更新事件的时间
properties.owner	IncidentOwnerInfo	描述事件分配到的用户
properties.providerIncidentId	string	事件提供程序分配的事件 ID
properties.providerName	string	生成事件的源提供程序的名称
properties.relatedAnalyticRuleIds	string[]	与事件相关的分析规则的资源 ID 列表
properties.severity	IncidentSeverity	事件的严重性
properties.status	IncidentStatus	事件的状态
properties.title	string	事件的标题
systemData	systemData	包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。
type	string	资源类型。例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

IncidentAdditionalData

事件附加数据属性包。

名称	类型	说明
alertProductNames	string[]	事件中警报的产品名称列表
alertsCount	integer	事件中的警报数
bookmarksCount	integer	事件中的书签数
commentsCount	integer	事件中的评论数
providerIncidentUrl	string	Microsoft 365 Defender 门户中事件的提供商事件 URL
tactics	AttackTactic[]	与事件相关的策略

IncidentClassification

事件关闭的原因

名称	类型	说明
BenignPositive	string	事件为良性正
FalsePositive	string	事件为误报
TruePositive	string	事件为真阳性
Undetermined	string	事件分类未确定

IncidentClassificationReason

事件结束的分类原因

名称	类型	说明
InaccurateData	string	分类原因是数据不准确
IncorrectAlertLogic	string	分类原因为不正确的警报逻辑
SuspiciousActivity	string	分类原因为可疑活动
SuspiciousButExpected	string	分类原因可疑，但预期

IncidentLabel

表示事件标签

名称	类型	说明
labelName	string	标签的名称
labelType	IncidentLabelType	标签的类型

IncidentLabelType

标签的类型

名称	类型	说明
AutoAssigned	string	系统自动创建的标签
User	string	用户手动创建的标签

IncidentOwnerInfo

有关事件分配到的用户的信息

名称	类型	说明
assignedTo	string	事件分配到的用户的名称。
email	string	事件分配到的用户的电子邮件。
objectId	string	事件分配到的用户的对象 ID。
ownerType	OwnerType	事件分配到的所有者的类型。
userPrincipalName	string	事件分配到的用户的用户主体名称。

IncidentSeverity

事件的严重性

名称	类型	说明
High	string	高严重性
Informational	string	信息严重性
Low	string	低严重性
Medium	string	中等严重性

IncidentStatus

事件的状态

名称	类型	说明
Active	string	正在处理的活动事件
Closed	string	非活动事件
New	string	当前未处理的活动事件

OwnerType

事件分配到的所有者的类型。

名称	类型	说明
Group	string	事件所有者类型是 AAD 组
Unknown	string	事件所有者类型未知
User	string	事件所有者类型是 AAD 用户

systemData

与资源的创建和上次修改相关的元数据。

名称	类型	说明
createdAt	string	资源创建时间戳 (UTC) 。
createdBy	string	创建资源的标识。
createdByType	createdByType	创建资源的标识类型。
lastModifiedAt	string	资源上次修改的时间戳 (UTC)
lastModifiedBy	string	上次修改资源的标识。
lastModifiedByType	createdByType	上次修改资源的标识类型。