Incidents - Create Or Update

服務:

Sentinel

API 版本:

2024-03-01

建立或更新事件。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01

URI 參數

名稱	位於	必要	類型	Description
incidentId	path	True	string	事件識別碼
resourceGroupName	path	True	string	資源群組的名稱。 名稱不區分大小寫。
subscriptionId	path	True	string uuid	目標訂用帳戶的標識碼。 此值必須是 UUID。
workspaceName	path	True	string	工作區的名稱。 Regex 模式: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version	query	True	string	用於此作業的 API 版本。

要求本文

名稱	必要	類型	Description
properties.severity	True	IncidentSeverity	事件的嚴重性
properties.status	True	IncidentStatus	事件的狀態
properties.title	True	string	事件的標題
etag		string	Azure 資源的 Etag
properties.classification		IncidentClassification	事件關閉的原因
properties.classificationComment		string	描述事件關閉的原因
properties.classificationReason		IncidentClassificationReason	事件已關閉的分類原因
properties.description		string	事件的描述
properties.firstActivityTimeUtc		string	事件中第一個活動的時間
properties.labels		IncidentLabel[]	與此事件相關的標籤清單
properties.lastActivityTimeUtc		string	事件中最後一個活動的時間
properties.owner		IncidentOwnerInfo	描述事件指派給的使用者

回應

名稱	類型	Description
200 OK	Incident	確定，作業已順利完成
201 Created	Incident	建立時間
Other Status Codes	CloudError	描述作業失敗原因的錯誤回應。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

類型: oauth2
Flow: implicit
授權 URL: https://login.microsoftonline.com/common/oauth2/authorize

範圍

名稱	Description
user_impersonation	模擬您的用戶帳戶

範例

Creates or updates an incident.

範例要求

HTTP

PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

範例回覆

狀態碼:

200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": []
    }
  }
}

狀態碼:

201

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": []
    }
  }
}

定義

名稱	Description
AttackTactic	此警示規則所建立之警示的嚴重性。
CloudError	錯誤回應結構。
CloudErrorBody	錯誤詳細數據。
createdByType	建立資源的身分識別類型。
Incident	代表 Azure Security Insights 中的事件。
IncidentAdditionalData	事件其他數據屬性包。
IncidentClassification	事件關閉的原因
IncidentClassificationReason	事件已關閉的分類原因
IncidentLabel	代表事件標籤
IncidentLabelType	標籤的類型
IncidentOwnerInfo	指派事件給用戶的資訊
IncidentSeverity	事件的嚴重性
IncidentStatus	事件的狀態
OwnerType	事件指派給的擁有者類型。
systemData	與建立和上次修改資源相關的元數據。

AttackTactic

此警示規則所建立之警示的嚴重性。

名稱	類型	Description
Collection	string
CommandAndControl	string
CredentialAccess	string
DefenseEvasion	string
Discovery	string
Execution	string
Exfiltration	string
Impact	string
ImpairProcessControl	string
InhibitResponseFunction	string
InitialAccess	string
LateralMovement	string
Persistence	string
PreAttack	string
PrivilegeEscalation	string
Reconnaissance	string
ResourceDevelopment	string

CloudError

錯誤回應結構。

名稱	類型	Description
error	CloudErrorBody	錯誤數據

CloudErrorBody

錯誤詳細數據。

名稱	類型	Description
code	string	錯誤的識別碼。 程式碼不變，且要以程式設計方式使用。
message	string	描述錯誤的訊息，適用於在使用者介面中顯示。

createdByType

建立資源的身分識別類型。

名稱	類型	Description
Application	string
Key	string
ManagedIdentity	string
User	string

Incident

代表 Azure Security Insights 中的事件。

名稱	類型	Description
etag	string	Azure 資源的 Etag
id	string	資源的完整資源識別碼。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
name	string	資源的名稱
properties.additionalData	IncidentAdditionalData	事件的其他數據
properties.classification	IncidentClassification	事件關閉的原因
properties.classificationComment	string	描述事件關閉的原因
properties.classificationReason	IncidentClassificationReason	事件已關閉的分類原因
properties.createdTimeUtc	string	事件建立的時間
properties.description	string	事件的描述
properties.firstActivityTimeUtc	string	事件中第一個活動的時間
properties.incidentNumber	integer	循序數位
properties.incidentUrl	string	Azure 入口網站 中事件的深層連結 URL
properties.labels	IncidentLabel[]	與此事件相關的標籤清單
properties.lastActivityTimeUtc	string	事件中最後一個活動的時間
properties.lastModifiedTimeUtc	string	上次更新事件的時間
properties.owner	IncidentOwnerInfo	描述事件指派給的使用者
properties.providerIncidentId	string	事件提供者指派的事件標識碼
properties.providerName	string	產生事件的來源提供者名稱
properties.relatedAnalyticRuleIds	string[]	與事件相關的分析規則資源標識碼清單
properties.severity	IncidentSeverity	事件的嚴重性
properties.status	IncidentStatus	事件的狀態
properties.title	string	事件的標題
systemData	systemData	Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。
type	string	資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts”

IncidentAdditionalData

事件其他數據屬性包。

名稱	類型	Description
alertProductNames	string[]	事件中警示的產品名稱清單
alertsCount	integer	事件中的警示數目
bookmarksCount	integer	事件中的書籤數目
commentsCount	integer	事件中的批注數目
providerIncidentUrl	string	Microsoft 365 Defender 入口網站中事件的提供者事件 URL
tactics	AttackTactic[]	與事件相關聯的策略

IncidentClassification

事件關閉的原因

名稱	類型	Description
BenignPositive	string	事件為良性正面
FalsePositive	string	事件誤判為真
TruePositive	string	事件確判為真
Undetermined	string	事件分類未決定

IncidentClassificationReason

事件已關閉的分類原因

名稱	類型	Description
InaccurateData	string	分類原因不正確數據
IncorrectAlertLogic	string	分類原因不正確警示邏輯
SuspiciousActivity	string	分類原因為可疑活動
SuspiciousButExpected	string	分類原因可疑，但預期

IncidentLabel

代表事件標籤

名稱	類型	Description
labelName	string	標籤名稱
labelType	IncidentLabelType	標籤的類型

IncidentLabelType

標籤的類型

名稱	類型	Description
AutoAssigned	string	系統自動建立的標籤
User	string	用戶手動建立的標籤

IncidentOwnerInfo

指派事件給用戶的資訊

名稱	類型	Description
assignedTo	string	指派事件的用戶名稱。
email	string	指派事件之用戶的電子郵件。
objectId	string	指派事件之用戶的物件識別碼。
ownerType	OwnerType	事件指派給的擁有者類型。
userPrincipalName	string	指派事件之用戶的用戶主體名稱。

IncidentSeverity

事件的嚴重性

名稱	類型	Description
High	string	高嚴重性
Informational	string	資訊嚴重性
Low	string	低嚴重性
Medium	string	中嚴重性

IncidentStatus

事件的狀態

名稱	類型	Description
Active	string	正在處理的作用中事件
Closed	string	非作用中事件
New	string	目前未處理的作用中事件

OwnerType

事件指派給的擁有者類型。

名稱	類型	Description
Group	string	事件擁有者類型是 AAD 群組
Unknown	string	事件擁有者類型未知
User	string	事件擁有者類型是 AAD 使用者

systemData

與建立和上次修改資源相關的元數據。

名稱	類型	Description
createdAt	string	資源建立的時間戳 (UTC) 。
createdBy	string	建立資源的身分識別。
createdByType	createdByType	建立資源的身分識別類型。
lastModifiedAt	string	上次修改的資源時間戳 (UTC)
lastModifiedBy	string	上次修改資源的身分識別。
lastModifiedByType	createdByType	上次修改資源的身分識別類型。