az sentinel incident
Hinweis
Diese Referenz ist Teil der Sentinel-Erweiterung für die Azure CLI (Version 2.37.0 oder höher). Die Erweiterung wird automatisch installiert, wenn Sie einen Az Sentinel-Vorfallbefehl zum ersten Mal ausführen. Weitere Informationen zu Erweiterungen
Verwalten von Vorfällen mit Sentinel.
Befehle
| Name | Beschreibung | Typ | Status |
|---|---|---|---|
| az sentinel incident comment |
Verwalten des Vorfallkommentars mit Sentinel. |
Durchwahl | Allgemein verfügbar |
| az sentinel incident comment create |
Erstellen Sie den Vorfallkommentar. |
Durchwahl | Experimentell |
| az sentinel incident comment delete |
Löschen Sie den Vorfallkommentar. |
Durchwahl | Experimentell |
| az sentinel incident comment list |
Rufen Sie alle Vorfallkommentare ab. |
Durchwahl | Experimentell |
| az sentinel incident comment show |
Rufen Sie einen Vorfallkommentar ab. |
Durchwahl | Experimentell |
| az sentinel incident comment update |
Aktualisieren Sie den Vorfallkommentar. |
Durchwahl | Experimentell |
| az sentinel incident create |
Erstellen Sie den Vorfall. |
Durchwahl | Experimentell |
| az sentinel incident create-team |
Erstellen Sie ein Microsoft-Team, um den Vorfall zu untersuchen, indem Sie Informationen und Einblicke zwischen den Teilnehmern teilen. |
Durchwahl | Experimentell |
| az sentinel incident delete |
Löschen Sie den Vorfall. |
Durchwahl | Experimentell |
| az sentinel incident list |
Rufen Sie alle Vorfälle ab. |
Durchwahl | Experimentell |
| az sentinel incident list-alert |
Rufen Sie alle Vorfallwarnungen ab. |
Durchwahl | Experimentell |
| az sentinel incident list-bookmark |
Rufen Sie alle Vorfallmarken ab. |
Durchwahl | Experimentell |
| az sentinel incident list-entity |
Rufen Sie alle vorfallbezogenen Entitäten ab. |
Durchwahl | Experimentell |
| az sentinel incident relation |
Verwalten sie die Vorfallbeziehung mit Sentinel. |
Durchwahl | Allgemein verfügbar |
| az sentinel incident relation create |
Erstellen Sie die Vorfallbeziehung. |
Durchwahl | Experimentell |
| az sentinel incident relation delete |
Löschen Sie die Vorfallbeziehung. |
Durchwahl | Experimentell |
| az sentinel incident relation list |
Rufen Sie alle Vorfallbeziehungen ab. |
Durchwahl | Experimentell |
| az sentinel incident relation show |
Rufen Sie eine Vorfallbeziehung ab. |
Durchwahl | Experimentell |
| az sentinel incident relation update |
Aktualisieren Sie die Vorfallbeziehung. |
Durchwahl | Experimentell |
| az sentinel incident run-playbook |
Lösen Sie playbook für einen bestimmten Vorfall aus. |
Durchwahl | Experimentell |
| az sentinel incident show |
Rufen Sie einen Vorfall ab. |
Durchwahl | Experimentell |
| az sentinel incident update |
Aktualisieren Sie den Vorfall. |
Durchwahl | Experimentell |
az sentinel incident create
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Erstellen Sie den Vorfall.
az sentinel incident create --incident-id
--resource-group
--workspace-name
[--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
[--classification-comment]
[--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
[--description]
[--etag]
[--first-activity-time-utc]
[--labels]
[--last-activity-time-utc]
[--owner]
[--provider-incident-id]
[--provider-name]
[--severity {High, Informational, Low, Medium}]
[--status {Active, Closed, New}]
[--title]Erforderliche Parameter
Vorfall-ID.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Den Namen des Arbeitsbereichs
Optionale Parameter
Der Grund, warum der Vorfall geschlossen wurde.
Beschreibt den Grund, warum der Vorfall geschlossen wurde.
Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde.
Die Beschreibung des Vorfalls.
Etag der Azure-Ressource.
Der Zeitpunkt der ersten Aktivität im Vorfall.
Liste der Bezeichnungen, die für diesen Vorfall relevant sind: Unterstützung kurzhand-Syntax, JSON-Datei und Yaml-Datei. Probieren Sie "??" aus, um mehr anzuzeigen.
Der Zeitpunkt der letzten Aktivität im Vorfall.
Beschreibt einen Benutzer, dem der Vorfall zur Unterstützung von Kurzhand-Syntax, JSON-Datei und Yaml-Datei zugewiesen ist. Probieren Sie "??" aus, um mehr anzuzeigen.
Die vom Vorfallanbieter zugewiesene Vorfall-ID.
Der Name des Quellanbieters, der den Vorfall generiert hat.
Der Schweregrad des Vorfalls.
Der Status des Vorfalls.
Der Titel des Vorfalls.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident create-team
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Erstellen Sie ein Microsoft-Team, um den Vorfall zu untersuchen, indem Sie Informationen und Einblicke zwischen den Teilnehmern teilen.
az sentinel incident create-team --incident-id
--resource-group
--team-name
--workspace-name
[--group-ids]
[--member-ids]
[--team-description]Erforderliche Parameter
Vorfall-ID.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Der Name des Teams.
Den Namen des Arbeitsbereichs
Optionale Parameter
Liste der Gruppen-IDs, um ihre Mitglieder zur Teamsupport-Kurzhandsyntax, JSON-Datei und Yaml-Datei hinzuzufügen. Probieren Sie "??" aus, um mehr anzuzeigen.
Liste der Mitglieds-IDs, die dem Team Support shorthand-syntax, json-file und yaml-file hinzugefügt werden sollen. Probieren Sie "??" aus, um mehr anzuzeigen.
Die Beschreibung des Teams.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident delete
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Löschen Sie den Vorfall.
az sentinel incident delete [--ids]
[--incident-id]
[--resource-group]
[--subscription]
[--workspace-name]
[--yes]Optionale Parameter
Eine oder mehrere Ressourcen-IDs (durch Leerzeichen getrennt). Dabei sollte es sich um eine vollständige Ressourcen-ID mit allen Informationen der Argumente "Ressourcen-ID" sein. Sie sollten entweder --ids oder andere Argumente für die Ressourcen-ID angeben.
Vorfall-ID.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Den Namen des Arbeitsbereichs
Nicht zur Bestätigung auffordern
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident list
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Rufen Sie alle Vorfälle ab.
az sentinel incident list --resource-group
--workspace-name
[--filter]
[--orderby]
[--skip-token]
[--top]Erforderliche Parameter
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Den Namen des Arbeitsbereichs
Optionale Parameter
Filtert die Ergebnisse basierend auf einer booleschen Bedingung. Optional.
Sortiert die Ergebnisse. Optional.
Skiptoken wird nur verwendet, wenn ein vorheriger Vorgang ein Teilergebnis zurückgegeben hat. Wenn eine vorherige Antwort ein nextLink-Element enthält, enthält der Wert des nextLink-Elements einen Skiptoken-Parameter, der einen Ausgangspunkt angibt, der für nachfolgende Aufrufe verwendet werden soll. Optional.
Gibt nur die ersten n Ergebnisse zurück. Optional.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident list-alert
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Rufen Sie alle Vorfallwarnungen ab.
az sentinel incident list-alert --incident-id
--resource-group
--workspace-nameErforderliche Parameter
Vorfall-ID.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Den Namen des Arbeitsbereichs
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident list-bookmark
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Rufen Sie alle Vorfallmarken ab.
az sentinel incident list-bookmark --incident-id
--resource-group
--workspace-nameErforderliche Parameter
Vorfall-ID.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Den Namen des Arbeitsbereichs
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident list-entity
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Rufen Sie alle vorfallbezogenen Entitäten ab.
az sentinel incident list-entity --incident-id
--resource-group
--workspace-nameErforderliche Parameter
Vorfall-ID.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Den Namen des Arbeitsbereichs
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident run-playbook
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Lösen Sie playbook für einen bestimmten Vorfall aus.
az sentinel incident run-playbook --incident-identifier
--resource-group
--workspace-name
[--logic-apps-resource-id]
[--tenant-id]Erforderliche Parameter
Bezeichner des Vorfalls.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Den Namen des Arbeitsbereichs
Optionale Parameter
Ressourcen-ID von Logik-Apps.
ID des Mandanten.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident show
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Rufen Sie einen Vorfall ab.
az sentinel incident show [--ids]
[--incident-id]
[--resource-group]
[--subscription]
[--workspace-name]Optionale Parameter
Eine oder mehrere Ressourcen-IDs (durch Leerzeichen getrennt). Dabei sollte es sich um eine vollständige Ressourcen-ID mit allen Informationen der Argumente "Ressourcen-ID" sein. Sie sollten entweder --ids oder andere Argumente für die Ressourcen-ID angeben.
Vorfall-ID.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Den Namen des Arbeitsbereichs
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az sentinel incident update
Dieser Befehl ist experimentell und wird entwickelt. Referenz- und Supportebenen: https://aka.ms/CLI_refstatus
Aktualisieren Sie den Vorfall.
az sentinel incident update [--add]
[--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
[--classification-comment]
[--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
[--description]
[--etag]
[--first-activity-time-utc]
[--force-string {0, 1, f, false, n, no, t, true, y, yes}]
[--ids]
[--incident-id]
[--labels]
[--last-activity-time-utc]
[--owner]
[--provider-incident-id]
[--provider-name]
[--remove]
[--resource-group]
[--set]
[--severity {High, Informational, Low, Medium}]
[--status {Active, Closed, New}]
[--subscription]
[--title]
[--workspace-name]Optionale Parameter
Fügen Sie einer Liste von Objekten ein Objekt hinzu, indem Sie ein Pfad- und Schlüsselwertpaar angeben. Beispiel: --add property.listProperty <key=value, string or JSON string>.
Der Grund, warum der Vorfall geschlossen wurde.
Beschreibt den Grund, warum der Vorfall geschlossen wurde.
Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde.
Die Beschreibung des Vorfalls.
Etag der Azure-Ressource.
Der Zeitpunkt der ersten Aktivität im Vorfall.
Wenn Sie "set" oder "add" verwenden, behalten Sie Zeichenfolgenliterale bei, anstatt zu versuchen, in JSON zu konvertieren.
Eine oder mehrere Ressourcen-IDs (durch Leerzeichen getrennt). Dabei sollte es sich um eine vollständige Ressourcen-ID mit allen Informationen der Argumente "Ressourcen-ID" sein. Sie sollten entweder --ids oder andere Argumente für die Ressourcen-ID angeben.
Vorfall-ID.
Liste der Bezeichnungen, die für diesen Vorfall relevant sind: Unterstützung kurzhand-Syntax, JSON-Datei und Yaml-Datei. Probieren Sie "??" aus, um mehr anzuzeigen.
Der Zeitpunkt der letzten Aktivität im Vorfall.
Beschreibt einen Benutzer, dem der Vorfall zur Unterstützung von Kurzhand-Syntax, JSON-Datei und Yaml-Datei zugewiesen ist. Probieren Sie "??" aus, um mehr anzuzeigen.
Die vom Vorfallanbieter zugewiesene Vorfall-ID.
Der Name des Quellanbieters, der den Vorfall generiert hat.
Entfernen sie eine Eigenschaft oder ein Element aus einer Liste. Beispiel: --remove property.list OR --remove propertyToRemove.
Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.
Aktualisieren Sie ein Objekt, indem Sie einen festzulegenden Eigenschaftspfad und -wert angeben. Beispiel: --set property1.property2=.
Der Schweregrad des Vorfalls.
Der Status des Vorfalls.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Der Titel des Vorfalls.
Den Namen des Arbeitsbereichs
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
