你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Incidents - Get
获取给定事件。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01
URI 参数
名称 | 在 | 必需 | 类型 | 说明 |
---|---|---|---|---|
incident
|
path | True |
string |
事件 ID |
resource
|
path | True |
string |
资源组的名称。 此名称不区分大小写。 |
subscription
|
path | True |
string uuid |
目标订阅的 ID。 该值必须是 UUID。 |
workspace
|
path | True |
string |
工作区的名称。 Regex pattern: |
api-version
|
query | True |
string |
要用于此操作的 API 版本。 |
响应
名称 | 类型 | 说明 |
---|---|---|
200 OK |
确定,操作已成功完成 |
|
Other Status Codes |
描述操作失败原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
名称 | 说明 |
---|---|
user_impersonation | 模拟用户帐户 |
示例
Get an incident.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "InaccurateData",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"InitialAccess",
"Persistence"
]
}
}
}
定义
名称 | 说明 |
---|---|
Attack |
此警报规则创建的警报的严重性。 |
Cloud |
错误响应结构。 |
Cloud |
错误详细信息。 |
created |
创建资源的标识类型。 |
Incident |
表示 Azure 安全见解中的事件。 |
Incident |
事件附加数据属性包。 |
Incident |
事件关闭的原因 |
Incident |
事件结束的分类原因 |
Incident |
表示事件标签 |
Incident |
标签的类型 |
Incident |
有关事件分配到的用户的信息 |
Incident |
事件的严重性 |
Incident |
事件的状态 |
Owner |
事件分配到的所有者的类型。 |
system |
与资源的创建和上次修改相关的元数据。 |
AttackTactic
此警报规则创建的警报的严重性。
名称 | 类型 | 说明 |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
错误响应结构。
名称 | 类型 | 说明 |
---|---|---|
error |
错误数据 |
CloudErrorBody
错误详细信息。
名称 | 类型 | 说明 |
---|---|---|
code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
message |
string |
描述错误的消息,该消息适用于在用户界面中显示。 |
createdByType
创建资源的标识类型。
名称 | 类型 | 说明 |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
表示 Azure 安全见解中的事件。
名称 | 类型 | 说明 |
---|---|---|
etag |
string |
Azure 资源的 Etag |
id |
string |
资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
资源的名称 |
properties.additionalData |
有关事件的其他数据 |
|
properties.classification |
事件关闭的原因 |
|
properties.classificationComment |
string |
描述关闭事件的原因 |
properties.classificationReason |
事件结束的分类原因 |
|
properties.createdTimeUtc |
string |
创建事件的时间 |
properties.description |
string |
事件的说明 |
properties.firstActivityTimeUtc |
string |
事件中第一个活动的时间 |
properties.incidentNumber |
integer |
一个序号 |
properties.incidentUrl |
string |
Azure 门户 中事件的深层链接 URL |
properties.labels |
与此事件相关的标签列表 |
|
properties.lastActivityTimeUtc |
string |
事件中最后一个活动的时间 |
properties.lastModifiedTimeUtc |
string |
上次更新事件的时间 |
properties.owner |
描述事件分配到的用户 |
|
properties.providerIncidentId |
string |
事件提供程序分配的事件 ID |
properties.providerName |
string |
生成事件的源提供程序的名称 |
properties.relatedAnalyticRuleIds |
string[] |
与事件相关的分析规则的资源 ID 列表 |
properties.severity |
事件的严重性 |
|
properties.status |
事件的状态 |
|
properties.title |
string |
事件的标题 |
systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
IncidentAdditionalData
事件附加数据属性包。
名称 | 类型 | 说明 |
---|---|---|
alertProductNames |
string[] |
事件中警报的产品名称列表 |
alertsCount |
integer |
事件中的警报数 |
bookmarksCount |
integer |
事件中的书签数 |
commentsCount |
integer |
事件中的评论数 |
providerIncidentUrl |
string |
Microsoft 365 Defender 门户中事件的提供商事件 URL |
tactics |
与事件相关的策略 |
IncidentClassification
事件关闭的原因
名称 | 类型 | 说明 |
---|---|---|
BenignPositive |
string |
事件为良性正 |
FalsePositive |
string |
事件为误报 |
TruePositive |
string |
事件为真阳性 |
Undetermined |
string |
事件分类未确定 |
IncidentClassificationReason
事件结束的分类原因
名称 | 类型 | 说明 |
---|---|---|
InaccurateData |
string |
分类原因是数据不准确 |
IncorrectAlertLogic |
string |
分类原因为不正确的警报逻辑 |
SuspiciousActivity |
string |
分类原因为可疑活动 |
SuspiciousButExpected |
string |
分类原因可疑,但预期 |
IncidentLabel
表示事件标签
名称 | 类型 | 说明 |
---|---|---|
labelName |
string |
标签的名称 |
labelType |
标签的类型 |
IncidentLabelType
标签的类型
名称 | 类型 | 说明 |
---|---|---|
AutoAssigned |
string |
系统自动创建的标签 |
User |
string |
用户手动创建的标签 |
IncidentOwnerInfo
有关事件分配到的用户的信息
名称 | 类型 | 说明 |
---|---|---|
assignedTo |
string |
事件分配到的用户的名称。 |
string |
事件分配到的用户的电子邮件。 |
|
objectId |
string |
事件分配到的用户的对象 ID。 |
ownerType |
事件分配到的所有者的类型。 |
|
userPrincipalName |
string |
事件分配到的用户的用户主体名称。 |
IncidentSeverity
事件的严重性
名称 | 类型 | 说明 |
---|---|---|
High |
string |
高严重性 |
Informational |
string |
信息严重性 |
Low |
string |
低严重性 |
Medium |
string |
中等严重性 |
IncidentStatus
事件的状态
名称 | 类型 | 说明 |
---|---|---|
Active |
string |
正在处理的活动事件 |
Closed |
string |
非活动事件 |
New |
string |
当前未处理的活动事件 |
OwnerType
事件分配到的所有者的类型。
名称 | 类型 | 说明 |
---|---|---|
Group |
string |
事件所有者类型是 AAD 组 |
Unknown |
string |
事件所有者类型未知 |
User |
string |
事件所有者类型是 AAD 用户 |
systemData
与资源的创建和上次修改相关的元数据。
名称 | 类型 | 说明 |
---|---|---|
createdAt |
string |
资源创建时间戳 (UTC) 。 |
createdBy |
string |
创建资源的标识。 |
createdByType |
创建资源的标识类型。 |
|
lastModifiedAt |
string |
资源上次修改的时间戳 (UTC) |
lastModifiedBy |
string |
上次修改资源的标识。 |
lastModifiedByType |
上次修改资源的标识类型。 |