你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Incidents - List Bookmarks

获取事件的所有书签。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/bookmarks?api-version=2021-10-01

URI 参数

Name In Required Type Description
incidentId
path True
  • string

事件 ID

resourceGroupName
path True
  • string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True
  • string

目标订阅的 ID。

workspaceName
path True
  • string

工作区的名称。

api-version
query True
  • string

要用于此操作的 API 版本。

响应

Name Type Description
200 OK

OK

Other Status Codes

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation 模拟用户帐户

示例

Get all incident bookmarks.

Sample Request

POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/bookmarks?api-version=2021-10-01

Sample Response

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/afbd324f-6c48-459c-8710-8d1e1cd03812",
      "name": "afbd324f-6c48-459c-8710-8d1e1cd03812",
      "type": "Microsoft.SecurityInsights/Entities",
      "kind": "Bookmark",
      "properties": {
        "displayName": "SecurityEvent - 868f40f4698d",
        "created": "2020-06-17T15:34:01.4265524+00:00",
        "updated": "2020-06-17T15:34:01.4265524+00:00",
        "createdBy": {
          "objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
          "email": "user@microsoft.com",
          "name": "user"
        },
        "updatedBy": {
          "objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
          "email": "user@microsoft.com",
          "name": "user"
        },
        "eventTime": "2020-06-17T15:34:01.4265524+00:00",
        "labels": [],
        "query": "SecurityEvent\r\n| take 1\n",
        "queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
        "additionalData": {
          "ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
          "EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
        },
        "friendlyName": "SecurityEvent - 868f40f4698d"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/bbbd324f-6c48-459c-8710-8d1e1cd03812",
      "name": "bbbd324f-6c48-459c-8710-8d1e1cd03812",
      "type": "Microsoft.SecurityInsights/Entities",
      "kind": "Bookmark",
      "properties": {
        "displayName": "SecurityEvent - 868f40f4698d",
        "created": "2020-06-17T15:34:01.4265524+00:00",
        "updated": "2020-06-17T15:34:01.4265524+00:00",
        "createdBy": {
          "objectId": "303ca914-5eb6-45e5-9417-fe0797c372fd",
          "email": "user@microsoft.com",
          "name": "user"
        },
        "updatedBy": {
          "objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
          "email": "user@microsoft.com",
          "name": "user"
        },
        "eventTime": "2020-06-17T15:34:01.4265524+00:00",
        "labels": [],
        "query": "SecurityEvent\r\n| take 1\n",
        "queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
        "additionalData": {
          "ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
          "EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
        },
        "friendlyName": "SecurityEvent - 868f40f4698d"
      }
    }
  ]
}

定义

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

createdByType

创建资源的标识的类型。

EntityKindEnum

聚合实体的类型。

HuntingBookmark

表示搜寻书签实体。

IncidentBookmarkList

事件书签列表。

IncidentInfo

描述书签的相关事件信息

IncidentSeverity

事件的严重性

systemData

与创建和上次修改资源相关的元数据。

UserInfo

执行某些操作的用户信息

CloudError

错误响应结构。

Name Type Description
error

错误数据

CloudErrorBody

错误详细信息。

Name Type Description
code
  • string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message
  • string

描述错误的消息,旨在适合在用户界面中显示。

createdByType

创建资源的标识的类型。

Name Type Description
Application
  • string
Key
  • string
ManagedIdentity
  • string
User
  • string

EntityKindEnum

聚合实体的类型。

Name Type Description
Account
  • string

实体表示系统中的帐户。

AzureResource
  • string

实体表示系统中的 Azure 资源。

Bookmark
  • string

实体表示系统中的书签。

CloudApplication
  • string

实体表示系统中的云应用程序。

DnsResolution
  • string

实体表示系统中的 dns 解析。

File
  • string

实体表示系统中的文件。

FileHash
  • string

实体表示系统中的文件哈希。

Host
  • string

实体表示系统中的主机。

IoTDevice
  • string

实体表示系统中的 IoT 设备。

Ip
  • string

实体表示系统中的 IP。

MailCluster
  • string

实体表示系统中的邮件群集。

MailMessage
  • string

实体表示系统中的邮件。

Mailbox
  • string

实体表示系统中的邮箱。

Malware
  • string

实体表示系统中的恶意软件。

Process
  • string

实体表示系统中的进程。

RegistryKey
  • string

实体表示系统中的注册表项。

RegistryValue
  • string

实体表示系统中的注册表值。

SecurityAlert
  • string

实体表示系统中的安全警报。

SecurityGroup
  • string

实体表示系统中的安全组。

SubmissionMail
  • string

实体表示系统中的提交邮件。

Url
  • string

实体表示系统中的 URL。

HuntingBookmark

表示搜寻书签实体。

Name Type Description
id
  • string

资源的完全限定的资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:
  • Bookmark

实体的类型。

name
  • string

资源的名称

properties.additionalData
  • object

一个自定义字段包,该字段应是实体的一部分,将向用户显示。

properties.created
  • string

创建书签的时间

properties.createdBy

描述创建书签的用户

properties.displayName
  • string

书签的显示名称

properties.eventTime
  • string

事件的时间

properties.friendlyName
  • string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.incidentInfo

描述与书签相关的事件

properties.labels
  • string[]

与此书签相关的标签列表

properties.notes
  • string

书签的笔记

properties.query
  • string

书签的查询。

properties.queryResult
  • string

书签的查询结果。

properties.updated
  • string

上次更新书签的时间

properties.updatedBy

描述更新书签的用户

systemData

Azure 资源管理器包含 createdBy 和 modifiedBy 信息的元数据。

type
  • string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft”。存储/storageAccounts”

IncidentBookmarkList

事件书签列表。

Name Type Description
value

事件书签数组。

IncidentInfo

描述书签的相关事件信息

Name Type Description
incidentId
  • string

事件 ID

relationName
  • string

关系名称

severity

事件的严重性

title
  • string

事件的标题

IncidentSeverity

事件的严重性

Name Type Description
High
  • string

高严重性

Informational
  • string

信息严重性

Low
  • string

低严重性

Medium
  • string

中等严重性

systemData

与创建和上次修改资源相关的元数据。

Name Type Description
createdAt
  • string

资源创建时间戳 (UTC) 。

createdBy
  • string

创建资源的标识。

createdByType

创建资源的标识的类型。

lastModifiedAt
  • string

资源上次修改的时间戳 (UTC)

lastModifiedBy
  • string

上次修改资源的标识。

lastModifiedByType

上次修改资源的标识的类型。

UserInfo

执行某些操作的用户信息

Name Type Description
email
  • string

用户的电子邮件。

name
  • string

用户的名称。

objectId
  • string

用户的对象 ID。