你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Incidents - List Bookmarks

参考

Service:: Sentinel

API Version:: 2024-03-01

获取事件的所有书签。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/bookmarks?api-version=2024-03-01

URI 参数

名称	在	必需	类型	说明
incidentId	path	True	string	事件 ID
resourceGroupName	path	True	string	资源组的名称。此名称不区分大小写。
subscriptionId	path	True	string uuid	目标订阅的 ID。该值必须是 UUID。
workspaceName	path	True	string	工作区的名称。 Regex pattern: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	要用于此操作的 API 版本。

响应

名称	类型	说明
200 OK	IncidentBookmarkList	确定
Other Status Codes	CloudError	描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名称	说明
user_impersonation	模拟用户帐户

示例

Get all incident bookmarks.

Sample Request

HTTP

POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/bookmarks?api-version=2024-03-01

Sample Response

Status code:: 200

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/afbd324f-6c48-459c-8710-8d1e1cd03812",
      "name": "afbd324f-6c48-459c-8710-8d1e1cd03812",
      "type": "Microsoft.SecurityInsights/Entities",
      "kind": "Bookmark",
      "properties": {
        "displayName": "SecurityEvent - 868f40f4698d",
        "created": "2020-06-17T15:34:01.4265524+00:00",
        "updated": "2020-06-17T15:34:01.4265524+00:00",
        "createdBy": {
          "objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
          "email": "user@microsoft.com",
          "name": "user"
        },
        "updatedBy": {
          "objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
          "email": "user@microsoft.com",
          "name": "user"
        },
        "eventTime": "2020-06-17T15:34:01.4265524+00:00",
        "labels": [],
        "query": "SecurityEvent\r\n| take 1\n",
        "queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
        "additionalData": {
          "ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
          "EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
        },
        "friendlyName": "SecurityEvent - 868f40f4698d"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/bbbd324f-6c48-459c-8710-8d1e1cd03812",
      "name": "bbbd324f-6c48-459c-8710-8d1e1cd03812",
      "type": "Microsoft.SecurityInsights/Entities",
      "kind": "Bookmark",
      "properties": {
        "displayName": "SecurityEvent - 868f40f4698d",
        "created": "2020-06-17T15:34:01.4265524+00:00",
        "updated": "2020-06-17T15:34:01.4265524+00:00",
        "createdBy": {
          "objectId": "303ca914-5eb6-45e5-9417-fe0797c372fd",
          "email": "user@microsoft.com",
          "name": "user"
        },
        "updatedBy": {
          "objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
          "email": "user@microsoft.com",
          "name": "user"
        },
        "eventTime": "2020-06-17T15:34:01.4265524+00:00",
        "labels": [],
        "query": "SecurityEvent\r\n| take 1\n",
        "queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
        "additionalData": {
          "ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
          "EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
        },
        "friendlyName": "SecurityEvent - 868f40f4698d"
      }
    }
  ]
}

定义

名称	说明
CloudError	错误响应结构。
CloudErrorBody	错误详细信息。
createdByType	创建资源的标识类型。
EntityKindEnum	聚合实体的种类。
HuntingBookmark	表示搜寻书签实体。
IncidentBookmarkList	事件书签列表。
IncidentInfo	描述书签的相关事件信息
IncidentSeverity	事件的严重性
systemData	与资源的创建和上次修改相关的元数据。
UserInfo	执行某些操作的用户信息

CloudError

错误响应结构。

名称	类型	说明
error	CloudErrorBody	错误数据

CloudErrorBody

错误详细信息。

名称	类型	说明
code	string	错误的标识符。代码是固定的，旨在以编程方式使用。
message	string	描述错误的消息，该消息适用于在用户界面中显示。

createdByType

创建资源的标识类型。

名称	类型	说明
Application	string
Key	string
ManagedIdentity	string
User	string

EntityKindEnum

聚合实体的种类。

名称	类型	说明
Account	string	实体表示系统中的帐户。
AzureResource	string	实体表示系统中的 azure 资源。
Bookmark	string	实体表示系统中的书签。
CloudApplication	string	实体表示系统中的云应用程序。
DnsResolution	string	实体表示系统中的 dns 解析。
File	string	实体表示系统中的文件。
FileHash	string	实体表示系统中的文件哈希。
Host	string	实体表示系统中的主机。
IoTDevice	string	实体表示系统中的 IoT 设备。
Ip	string	实体表示系统中的 IP。
MailCluster	string	实体表示系统中的邮件群集。
MailMessage	string	实体表示系统中的邮件。
Mailbox	string	实体表示系统中的邮箱。
Malware	string	实体表示系统中的恶意软件。
Process	string	实体表示系统中的进程。
RegistryKey	string	实体表示系统中的注册表项。
RegistryValue	string	实体表示系统中的注册表值。
SecurityAlert	string	实体表示系统中的安全警报。
SecurityGroup	string	实体表示系统中的安全组。
SubmissionMail	string	实体表示系统中的提交邮件。
Url	string	实体表示系统中的 URL。

HuntingBookmark

表示搜寻书签实体。

名称	类型	说明
id	string	资源的完全限定的资源 ID。例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: Bookmark	实体的类型。
name	string	资源的名称
properties.additionalData	object	一个自定义字段包，这些字段应是实体的一部分，并将呈现给用户。
properties.created	string	创建书签的时间
properties.createdBy	UserInfo	描述创建书签的用户
properties.displayName	string	书签的显示名称
properties.eventTime	string	事件的时间
properties.friendlyName	string	图形项显示名称，它是图形项实例的简短可读说明。此属性是可选的，可能是系统生成的。
properties.incidentInfo	IncidentInfo	描述与书签相关的事件
properties.labels	string[]	与此书签相关的标签列表
properties.notes	string	书签的注释
properties.query	string	书签的查询。
properties.queryResult	string	书签的查询结果。
properties.updated	string	上次更新书签的时间
properties.updatedBy	UserInfo	描述更新书签的用户
systemData	systemData	包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。
type	string	资源类型。例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

IncidentBookmarkList

事件书签列表。

名称	类型	说明
value	HuntingBookmark[]	事件书签数组。

IncidentInfo

描述书签的相关事件信息

名称	类型	说明
incidentId	string	事件 ID
relationName	string	关系名称
severity	IncidentSeverity	事件的严重性
title	string	事件的标题

IncidentSeverity

事件的严重性

名称	类型	说明
High	string	高严重性
Informational	string	信息严重性
Low	string	低严重性
Medium	string	中等严重性

systemData

与资源的创建和上次修改相关的元数据。

名称	类型	说明
createdAt	string	资源的创建时间戳 (UTC) 。
createdBy	string	创建资源的标识。
createdByType	createdByType	创建资源的标识类型。
lastModifiedAt	string	资源上次修改的时间戳 (UTC)
lastModifiedBy	string	上次修改资源的标识。
lastModifiedByType	createdByType	上次修改资源的标识类型。

UserInfo

执行某些操作的用户信息

名称	类型	说明
email	string	用户的电子邮件。
name	string	用户的名称。
objectId	string	用户的对象 ID。