你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Incidents - List Bookmarks
获取事件的所有书签。
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/bookmarks?api-version=2024-03-01
URI 参数
名称 | 在 | 必需 | 类型 | 说明 |
---|---|---|---|---|
incident
|
path | True |
string |
事件 ID |
resource
|
path | True |
string |
资源组的名称。 此名称不区分大小写。 |
subscription
|
path | True |
string uuid |
目标订阅的 ID。 该值必须是 UUID。 |
workspace
|
path | True |
string |
工作区的名称。 Regex pattern: |
api-version
|
query | True |
string |
要用于此操作的 API 版本。 |
响应
名称 | 类型 | 说明 |
---|---|---|
200 OK |
确定 |
|
Other Status Codes |
描述操作失败原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
名称 | 说明 |
---|---|
user_impersonation | 模拟用户帐户 |
示例
Get all incident bookmarks.
Sample Request
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/bookmarks?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/afbd324f-6c48-459c-8710-8d1e1cd03812",
"name": "afbd324f-6c48-459c-8710-8d1e1cd03812",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Bookmark",
"properties": {
"displayName": "SecurityEvent - 868f40f4698d",
"created": "2020-06-17T15:34:01.4265524+00:00",
"updated": "2020-06-17T15:34:01.4265524+00:00",
"createdBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"updatedBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"eventTime": "2020-06-17T15:34:01.4265524+00:00",
"labels": [],
"query": "SecurityEvent\r\n| take 1\n",
"queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
"additionalData": {
"ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
"EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
},
"friendlyName": "SecurityEvent - 868f40f4698d"
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/bookmarks/bbbd324f-6c48-459c-8710-8d1e1cd03812",
"name": "bbbd324f-6c48-459c-8710-8d1e1cd03812",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Bookmark",
"properties": {
"displayName": "SecurityEvent - 868f40f4698d",
"created": "2020-06-17T15:34:01.4265524+00:00",
"updated": "2020-06-17T15:34:01.4265524+00:00",
"createdBy": {
"objectId": "303ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"updatedBy": {
"objectId": "b03ca914-5eb6-45e5-9417-fe0797c372fd",
"email": "user@microsoft.com",
"name": "user"
},
"eventTime": "2020-06-17T15:34:01.4265524+00:00",
"labels": [],
"query": "SecurityEvent\r\n| take 1\n",
"queryResult": "{\"TimeGenerated\":\"2020-05-24T01:24:25.67Z\",\"Account\":\"\\\\ADMINISTRATOR\",\"AccountType\":\"User\",\"Computer\":\"SecurityEvents\",\"EventSourceName\":\"Microsoft-Windows-Security-Auditing\",\"Channel\":\"Security\",\"Task\":12544,\"Level\":\"16\",\"EventID\":4625,\"Activity\":\"4625 - An account failed to log on.\",\"AuthenticationPackageName\":\"NTLM\",\"FailureReason\":\"%%2313\",\"IpAddress\":\"176.113.115.73\",\"IpPort\":\"0\",\"LmPackageName\":\"-\",\"LogonProcessName\":\"NtLmSsp \",\"LogonType\":3,\"LogonTypeName\":\"3 - Network\",\"Process\":\"-\",\"ProcessId\":\"0x0\",\"__entityMapping\":{\"\\\\ADMINISTRATOR\":\"Account\",\"SecurityEvents\":\"Host\"}}",
"additionalData": {
"ETag": "\"3b00acab-0000-0d00-0000-5f15e4ed0000\"",
"EntityId": "afbd324f-6c48-459c-8710-8d1e1cd03812"
},
"friendlyName": "SecurityEvent - 868f40f4698d"
}
}
]
}
定义
名称 | 说明 |
---|---|
Cloud |
错误响应结构。 |
Cloud |
错误详细信息。 |
created |
创建资源的标识类型。 |
Entity |
聚合实体的种类。 |
Hunting |
表示搜寻书签实体。 |
Incident |
事件书签列表。 |
Incident |
描述书签的相关事件信息 |
Incident |
事件的严重性 |
system |
与资源的创建和上次修改相关的元数据。 |
User |
执行某些操作的用户信息 |
CloudError
错误响应结构。
名称 | 类型 | 说明 |
---|---|---|
error |
错误数据 |
CloudErrorBody
错误详细信息。
名称 | 类型 | 说明 |
---|---|---|
code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
message |
string |
描述错误的消息,该消息适用于在用户界面中显示。 |
createdByType
创建资源的标识类型。
名称 | 类型 | 说明 |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityKindEnum
聚合实体的种类。
名称 | 类型 | 说明 |
---|---|---|
Account |
string |
实体表示系统中的帐户。 |
AzureResource |
string |
实体表示系统中的 azure 资源。 |
Bookmark |
string |
实体表示系统中的书签。 |
CloudApplication |
string |
实体表示系统中的云应用程序。 |
DnsResolution |
string |
实体表示系统中的 dns 解析。 |
File |
string |
实体表示系统中的文件。 |
FileHash |
string |
实体表示系统中的文件哈希。 |
Host |
string |
实体表示系统中的主机。 |
IoTDevice |
string |
实体表示系统中的 IoT 设备。 |
Ip |
string |
实体表示系统中的 IP。 |
MailCluster |
string |
实体表示系统中的邮件群集。 |
MailMessage |
string |
实体表示系统中的邮件。 |
Mailbox |
string |
实体表示系统中的邮箱。 |
Malware |
string |
实体表示系统中的恶意软件。 |
Process |
string |
实体表示系统中的进程。 |
RegistryKey |
string |
实体表示系统中的注册表项。 |
RegistryValue |
string |
实体表示系统中的注册表值。 |
SecurityAlert |
string |
实体表示系统中的安全警报。 |
SecurityGroup |
string |
实体表示系统中的安全组。 |
SubmissionMail |
string |
实体表示系统中的提交邮件。 |
Url |
string |
实体表示系统中的 URL。 |
HuntingBookmark
表示搜寻书签实体。
名称 | 类型 | 说明 |
---|---|---|
id |
string |
资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Bookmark |
实体的类型。 |
name |
string |
资源的名称 |
properties.additionalData |
object |
一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。 |
properties.created |
string |
创建书签的时间 |
properties.createdBy |
描述创建书签的用户 |
|
properties.displayName |
string |
书签的显示名称 |
properties.eventTime |
string |
事件的时间 |
properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
properties.incidentInfo |
描述与书签相关的事件 |
|
properties.labels |
string[] |
与此书签相关的标签列表 |
properties.notes |
string |
书签的注释 |
properties.query |
string |
书签的查询。 |
properties.queryResult |
string |
书签的查询结果。 |
properties.updated |
string |
上次更新书签的时间 |
properties.updatedBy |
描述更新书签的用户 |
|
systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
IncidentBookmarkList
事件书签列表。
名称 | 类型 | 说明 |
---|---|---|
value |
事件书签数组。 |
IncidentInfo
描述书签的相关事件信息
名称 | 类型 | 说明 |
---|---|---|
incidentId |
string |
事件 ID |
relationName |
string |
关系名称 |
severity |
事件的严重性 |
|
title |
string |
事件的标题 |
IncidentSeverity
事件的严重性
名称 | 类型 | 说明 |
---|---|---|
High |
string |
高严重性 |
Informational |
string |
信息严重性 |
Low |
string |
低严重性 |
Medium |
string |
中等严重性 |
systemData
与资源的创建和上次修改相关的元数据。
名称 | 类型 | 说明 |
---|---|---|
createdAt |
string |
资源的创建时间戳 (UTC) 。 |
createdBy |
string |
创建资源的标识。 |
createdByType |
创建资源的标识类型。 |
|
lastModifiedAt |
string |
资源上次修改的时间戳 (UTC) |
lastModifiedBy |
string |
上次修改资源的标识。 |
lastModifiedByType |
上次修改资源的标识类型。 |
UserInfo
执行某些操作的用户信息
名称 | 类型 | 说明 |
---|---|---|
string |
用户的电子邮件。 |
|
name |
string |
用户的名称。 |
objectId |
string |
用户的对象 ID。 |