Incidents - Get

Dienst:

Sentinel

API-Version:

2024-01-01-preview

Ruft einen Vorfall ab.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-01-01-preview

URI-Parameter

Name	In	Erforderlich	Typ	Beschreibung
incidentId	path	True	string	Vorfall-ID
resourceGroupName	path	True	string	Der Name der Ressourcengruppe. Bei dem Namen wird die Groß-/Kleinschreibung nicht beachtet.
subscriptionId	path	True	string	Die ID des Zielabonnements.
workspaceName	path	True	string	Der Name des Arbeitsbereichs. RegEx-Muster: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version	query	True	string	Die API-Version, die für diesen Vorgang verwendet werden soll.

Antworten

Name	Typ	Beschreibung
200 OK	Incident	OKAY
Other Status Codes	CloudError	Fehlerantwort, die beschreibt, warum der Vorgang fehlgeschlagen ist.

Sicherheit

azure_auth

Azure Active Directory OAuth2-Fluss

Typ: oauth2
Ablauf: implicit
Autorisierungs-URL: https://login.microsoftonline.com/common/oauth2/authorize

Bereiche

Name	Beschreibung
user_impersonation	Identitätswechsel ihres Benutzerkontos

Beispiele

Incidents_Get

Beispielanforderung

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-01-01-preview

dotnet

using Azure;
using Azure.ResourceManager;
using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager.SecurityInsights;

// Generated from example definition: specification/securityinsights/resource-manager/Microsoft.SecurityInsights/preview/2024-01-01-preview/examples/incidents/Incidents_Get.json
// this example is just showing the usage of "Incidents_Get" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this OperationalInsightsWorkspaceSecurityInsightsResource created on azure
// for more information of creating OperationalInsightsWorkspaceSecurityInsightsResource, please refer to the document of OperationalInsightsWorkspaceSecurityInsightsResource
string subscriptionId = "d0cfe6b2-9ac0-4464-9919-dccaee2e48c0";
string resourceGroupName = "myRg";
string workspaceName = "myWorkspace";
ResourceIdentifier operationalInsightsWorkspaceSecurityInsightsResourceId = OperationalInsightsWorkspaceSecurityInsightsResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, workspaceName);
OperationalInsightsWorkspaceSecurityInsightsResource operationalInsightsWorkspaceSecurityInsights = client.GetOperationalInsightsWorkspaceSecurityInsightsResource(operationalInsightsWorkspaceSecurityInsightsResourceId);

// get the collection of this SecurityInsightsIncidentResource
SecurityInsightsIncidentCollection collection = operationalInsightsWorkspaceSecurityInsights.GetSecurityInsightsIncidents();

// invoke the operation
string incidentId = "73e01a99-5cd7-4139-a149-9f2736ff2ab5";
NullableResponse<SecurityInsightsIncidentResource> response = await collection.GetIfExistsAsync(incidentId);
SecurityInsightsIncidentResource result = response.HasValue ? response.Value : null;

if (result == null)
{
    Console.WriteLine($"Succeeded with null as result");
}
else
{
    // the variable result is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityInsightsIncidentData resourceData = result.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Beispiel für eine Antwort

Statuscode:

200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/incidents",
  "properties": {
    "title": "My incident",
    "description": "This is a demo incident",
    "severity": "High",
    "status": "Closed",
    "classification": "FalsePositive",
    "classificationReason": "InaccurateData",
    "classificationComment": "Not a malicious activity",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "assignedTo": "john doe",
      "userPrincipalName": "john@contoso.com",
      "ownerType": "User"
    },
    "labels": [],
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "incidentNumber": 3177,
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": [
        "InitialAccess",
        "Persistence"
      ],
      "techniques": [
        "T1091",
        "T1133",
        "T1053"
      ],
      "providerIncidentUrl": "https://security.microsoft.com/incidents/3177?tid=5b5a146c-eba8-46af-96f8-e31b50d15a3f"
    },
    "relatedAnalyticRuleIds": [
      "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
    ],
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177"
  }
}

Definitionen

Name	Beschreibung
AttackTactic	Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden.
CloudError	Fehlerantwortstruktur.
CloudErrorBody	Fehlerdetails.
createdByType	Der Identitätstyp, der die Ressource erstellt hat.
Incident
IncidentAdditionalData	Zusätzlichen Dateneigenschaftenbehälter für Vorfälle.
IncidentClassification	Der Grund, warum der Vorfall geschlossen wurde
IncidentClassificationReason	Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde
IncidentLabel	Stellt eine Vorfallbezeichnung dar.
IncidentLabelType	Der Typ der Bezeichnung
IncidentOwnerInfo	Informationen zum Benutzer, dem ein Vorfall zugewiesen ist
IncidentSeverity	Der Schweregrad des Vorfalls
IncidentStatus	Der Status des Vorfalls
OwnerType	Der Typ des Besitzers, dem der Vorfall zugewiesen ist.
systemData	Metadaten zur Erstellung und letzten Änderung der Ressource.
TeamInformation	Beschreibt Teaminformationen

AttackTactic

Enumeration

Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt wurden.

Wert	Beschreibung
Collection
CommandAndControl
CredentialAccess
DefenseEvasion
Discovery
Execution
Exfiltration
Impact
ImpairProcessControl
InhibitResponseFunction
InitialAccess
LateralMovement
Persistence
PreAttack
PrivilegeEscalation
Reconnaissance
ResourceDevelopment

CloudError

Objekt

Fehlerantwortstruktur.

Name	Typ	Beschreibung
error	CloudErrorBody	Fehlerdaten

CloudErrorBody

Objekt

Fehlerdetails.

Name	Typ	Beschreibung
code	string	Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollen programmgesteuert genutzt werden.
message	string	Eine Meldung, die den Fehler beschreibt, der für die Anzeige in einer Benutzeroberfläche geeignet ist.

createdByType

Enumeration

Der Identitätstyp, der die Ressource erstellt hat.

Wert	Beschreibung
Application
Key
ManagedIdentity
User

Incident

Objekt

Name	Typ	Beschreibung
etag	string	Etag der Azure-Ressource
id	string	Vollqualifizierte Ressourcen-ID für die Ressource. Z. B. "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}"
name	string	Der Name der Ressource
properties.additionalData	IncidentAdditionalData	Zusätzliche Daten zum Vorfall
properties.classification	IncidentClassification	Der Grund, warum der Vorfall geschlossen wurde
properties.classificationComment	string	Beschreibt den Grund, warum der Vorfall geschlossen wurde.
properties.classificationReason	IncidentClassificationReason	Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde
properties.createdTimeUtc	string	Der Zeitpunkt, zu dem der Vorfall erstellt wurde
properties.description	string	Die Beschreibung des Vorfalls
properties.firstActivityTimeUtc	string	Zeitpunkt der ersten Aktivität im Vorfall
properties.incidentNumber	integer	Eine sequenzielle Zahl
properties.incidentUrl	string	Die Deep-Link-URL zum Vorfall im Azure-Portal
properties.labels	IncidentLabel[]	Liste der Bezeichnungen, die für diesen Vorfall relevant sind
properties.lastActivityTimeUtc	string	Der Zeitpunkt der letzten Aktivität im Vorfall
properties.lastModifiedTimeUtc	string	Zeitpunkt der letzten Aktualisierung des Vorfalls
properties.owner	IncidentOwnerInfo	Beschreibt einen Benutzer, dem der Vorfall zugewiesen ist
properties.providerIncidentId	string	Die vom Vorfallanbieter zugewiesene Vorfall-ID
properties.providerName	string	Der Name des Quellanbieters, der den Vorfall generiert hat
properties.relatedAnalyticRuleIds	string[]	Liste der Ressourcen-IDs von Analyseregeln im Zusammenhang mit dem Vorfall
properties.severity	IncidentSeverity	Der Schweregrad des Vorfalls
properties.status	IncidentStatus	Der Status des Vorfalls
properties.teamInformation	TeamInformation	Beschreibt ein Team für den Vorfall
properties.title	string	Der Titel des Vorfalls
systemData	systemData	Azure Resource Manager-Metadaten, die createdBy- und modifiedBy-Informationen enthalten.
type	string	Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

Objekt

Zusätzlichen Dateneigenschaftenbehälter für Vorfälle.

Name	Typ	Beschreibung
alertProductNames	string[]	Liste der Produktnamen von Warnungen im Vorfall
alertsCount	integer	Die Anzahl der Warnungen im Vorfall
bookmarksCount	integer	Die Anzahl der Lesezeichen im Vorfall
commentsCount	integer	Die Anzahl der Kommentare im Vorfall
providerIncidentUrl	string	Die Anbietervorfall-URL zum Vorfall im Microsoft 365 Defender-Portal
tactics	AttackTactic[]	Die Taktiken, die mit Vorfällen verbunden sind
techniques	string[]	Die Techniken, die mit der Taktik des Vorfalls verbunden sind

IncidentClassification

Enumeration

Der Grund, warum der Vorfall geschlossen wurde

Wert	Beschreibung
BenignPositive	Vorfall war gut positiv
FalsePositive	Vorfall war falsch positiv
TruePositive	Vorfall war wahr positiv
Undetermined	Die Vorfallklassifizierung wurde nicht festgelegt.

IncidentClassificationReason

Enumeration

Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde

Wert	Beschreibung
InaccurateData	Der Klassifizierungsgrund war ungenaue Daten.
IncorrectAlertLogic	Der Klassifizierungsgrund war falsche Warnungslogik.
SuspiciousActivity	Klassifizierungsgrund war verdächtige Aktivitäten
SuspiciousButExpected	Klassifizierungsgrund war verdächtig, aber erwartet

IncidentLabel

Objekt

Stellt eine Vorfallbezeichnung dar.

Name	Typ	Beschreibung
labelName	string	Der Name der Bezeichnung
labelType	IncidentLabelType	Der Typ der Bezeichnung

IncidentLabelType

Enumeration

Der Typ der Bezeichnung

Wert	Beschreibung
AutoAssigned	Vom System erstellte Bezeichnung automatisch
User	Beschriftung manuell von einem Benutzer erstellt

IncidentOwnerInfo

Objekt

Informationen zum Benutzer, dem ein Vorfall zugewiesen ist

Name	Typ	Beschreibung
assignedTo	string	Der Name des Benutzers, dem der Vorfall zugewiesen ist.
email	string	Die E-Mail des Benutzers, dem der Vorfall zugewiesen ist.
objectId	string	Die Objekt-ID des Benutzers, dem der Vorfall zugewiesen ist.
ownerType	OwnerType	Der Typ des Besitzers, dem der Vorfall zugewiesen ist.
userPrincipalName	string	Der Benutzerprinzipalname des Benutzers, dem der Vorfall zugewiesen ist.

IncidentSeverity

Enumeration

Der Schweregrad des Vorfalls

Wert	Beschreibung
High	Hoher Schweregrad
Informational	Schweregrad der Information
Low	Niedriger Schweregrad
Medium	Mittlerer Schweregrad

IncidentStatus

Enumeration

Der Status des Vorfalls

Wert	Beschreibung
Active	Ein aktiver Vorfall, der behandelt wird
Closed	Ein nicht aktiver Vorfall
New	Ein aktiver Vorfall, der derzeit nicht behandelt wird

OwnerType

Enumeration

Der Typ des Besitzers, dem der Vorfall zugewiesen ist.

Wert	Beschreibung
Group	Der Vorfallbesitzertyp ist eine AAD-Gruppe.
Unknown	Der Typ des Vorfallbesitzers ist unbekannt.
User	Der Typ des Vorfallbesitzers ist ein AAD-Benutzer.

systemData

Objekt

Metadaten zur Erstellung und letzten Änderung der Ressource.

Name	Typ	Beschreibung
createdAt	string	Der Zeitstempel der Ressourcenerstellung (UTC).
createdBy	string	Die Identität, die die Ressource erstellt hat.
createdByType	createdByType	Der Identitätstyp, der die Ressource erstellt hat.
lastModifiedAt	string	Der Zeitstempel der letzten Änderung der Ressource (UTC)
lastModifiedBy	string	Die Identität, die die Ressource zuletzt geändert hat.
lastModifiedByType	createdByType	Der Identitätstyp, der die Ressource zuletzt geändert hat.

TeamInformation

Objekt

Beschreibt Teaminformationen

Name	Typ	Beschreibung
description	string	Die Beschreibung des Teams
name	string	Der Name des Teams
primaryChannelUrl	string	Die url des primären Kanals des Teams
teamCreationTimeUtc	string	Die Zeit, zu der das Team erstellt wurde
teamId	string	Team-ID