Incidents - Create Or Update
Erstellt oder aktualisiert einen Incident.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01URI-Parameter
| Name | In | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
incident
|
path | True |
string |
Incident-ID |
|
resource
|
path | True |
string |
Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet. |
|
subscription
|
path | True |
string uuid |
Hierbei handelt es sich um die ID des Zielabonnements. Der Wert muss eine UUID sein. |
|
workspace
|
path | True |
string |
Den Namen des Arbeitsbereichs RegEx-Muster: |
|
api-version
|
query | True |
string |
Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version. |
Anforderungstext
| Name | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
| properties.severity | True |
Der Schweregrad des Vorfalls |
|
| properties.status | True |
Die status des Vorfalls |
|
| properties.title | True |
string |
Der Titel des Vorfalls |
| etag |
string |
Etag der Azure-Ressource |
|
| properties.classification |
Der Grund, warum der Vorfall geschlossen wurde |
||
| properties.classificationComment |
string |
Beschreibt den Grund, warum der Vorfall geschlossen wurde. |
|
| properties.classificationReason |
Der Klassifizierungsgrund, aus dem der Vorfall geschlossen wurde, mit |
||
| properties.description |
string |
Beschreibung des Vorfalls |
|
| properties.firstActivityTimeUtc |
string |
Der Zeitpunkt der ersten Aktivität im Incident |
|
| properties.labels |
Liste der Bezeichnungen, die für diesen Vorfall relevant sind |
||
| properties.lastActivityTimeUtc |
string |
Der Zeitpunkt der letzten Aktivität im Incident |
|
| properties.owner |
Beschreibt einen Benutzer, dem der Incident zugewiesen ist. |
Antworten
| Name | Typ | Beschreibung |
|---|---|---|
| 200 OK |
OK, Vorgang erfolgreich abgeschlossen |
|
| 201 Created |
Erstellt |
|
| Other Status Codes |
Fehlerantwort mit Beschreibung des Grunds für den Fehler. |
Sicherheit
azure_auth
Azure Active Directory-OAuth2-Flow
Typ:
oauth2
Ablauf:
implicit
Autorisierungs-URL:
https://login.microsoftonline.com/common/oauth2/authorize
Bereiche
| Name | Beschreibung |
|---|---|
| user_impersonation | Identitätswechsel Ihres Benutzerkontos |
Beispiele
Creates or updates an incident.
Beispielanforderung
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Beispiel für eine Antwort
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}Definitionen
| Name | Beschreibung |
|---|---|
|
Attack |
Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt werden. |
|
Cloud |
Fehlerantwortstruktur. |
|
Cloud |
Fehlerdetails. |
|
created |
Der Identitätstyp, der die Ressource erstellt hat. |
| Incident |
Stellt einen Incident in Azure Security Insights dar. |
|
Incident |
Zusätzliche Dateneigenschaftsbehälter für Incidents. |
|
Incident |
Der Grund, warum der Vorfall geschlossen wurde |
|
Incident |
Der Klassifizierungsgrund, aus dem der Vorfall geschlossen wurde, mit |
|
Incident |
Stellt eine Incidentbezeichnung dar. |
|
Incident |
Der Typ der Bezeichnung |
|
Incident |
Informationen zum Benutzer, dem ein Vorfall zugewiesen ist |
|
Incident |
Der Schweregrad des Vorfalls |
|
Incident |
Die status des Vorfalls |
|
Owner |
Der Typ des Besitzers, dem der Vorfall zugewiesen ist. |
|
system |
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen. |
AttackTactic
Der Schweregrad für Warnungen, die von dieser Warnungsregel erstellt werden.
| Name | Typ | Beschreibung |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Fehlerantwortstruktur.
| Name | Typ | Beschreibung |
|---|---|---|
| error |
Fehlerdaten |
CloudErrorBody
Fehlerdetails.
| Name | Typ | Beschreibung |
|---|---|---|
| code |
string |
Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden. |
| message |
string |
Eine Meldung, die den Fehler beschreibt, die für die Anzeige in einer Benutzeroberfläche geeignet sein soll. |
createdByType
Der Identitätstyp, der die Ressource erstellt hat.
| Name | Typ | Beschreibung |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
Incident
Stellt einen Incident in Azure Security Insights dar.
| Name | Typ | Beschreibung |
|---|---|---|
| etag |
string |
Etag der Azure-Ressource |
| id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| name |
string |
Der Name der Ressource |
| properties.additionalData |
Zusätzliche Daten zum Vorfall |
|
| properties.classification |
Der Grund, warum der Vorfall geschlossen wurde |
|
| properties.classificationComment |
string |
Beschreibt den Grund, warum der Vorfall geschlossen wurde. |
| properties.classificationReason |
Der Klassifizierungsgrund, aus dem der Vorfall geschlossen wurde, mit |
|
| properties.createdTimeUtc |
string |
Der Zeitpunkt, zu dem der Vorfall erstellt wurde |
| properties.description |
string |
Beschreibung des Vorfalls |
| properties.firstActivityTimeUtc |
string |
Der Zeitpunkt der ersten Aktivität im Incident |
| properties.incidentNumber |
integer |
Eine sequenzielle Zahl |
| properties.incidentUrl |
string |
Die Deep-Link-URL zum Incident in Azure-Portal |
| properties.labels |
Liste der Bezeichnungen, die für diesen Vorfall relevant sind |
|
| properties.lastActivityTimeUtc |
string |
Der Zeitpunkt der letzten Aktivität im Incident |
| properties.lastModifiedTimeUtc |
string |
Zeitpunkt der letzten Aktualisierung des Incidents |
| properties.owner |
Beschreibt einen Benutzer, dem der Incident zugewiesen ist. |
|
| properties.providerIncidentId |
string |
Die vom Incidentanbieter zugewiesene Incident-ID |
| properties.providerName |
string |
Der Name des Quellanbieters, der den Incident generiert hat. |
| properties.relatedAnalyticRuleIds |
string[] |
Liste der Ressourcen-IDs von Analyseregeln im Zusammenhang mit dem Incident |
| properties.severity |
Der Schweregrad des Vorfalls |
|
| properties.status |
Die status des Vorfalls |
|
| properties.title |
string |
Der Titel des Vorfalls |
| systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
| type |
string |
Der Typ der Ressource. Z.B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Zusätzliche Dateneigenschaftsbehälter für Incidents.
| Name | Typ | Beschreibung |
|---|---|---|
| alertProductNames |
string[] |
Liste der Produktnamen von Warnungen im Incident |
| alertsCount |
integer |
Die Anzahl der Warnungen im Incident |
| bookmarksCount |
integer |
Die Anzahl der Lesezeichen im Incident |
| commentsCount |
integer |
Die Anzahl der Kommentare im Incident |
| providerIncidentUrl |
string |
Die Anbieter-Incident-URL zum Incident im Microsoft 365 Defender-Portal |
| tactics |
Die Taktiken im Zusammenhang mit dem Vorfall |
IncidentClassification
Der Grund, warum der Vorfall geschlossen wurde
| Name | Typ | Beschreibung |
|---|---|---|
| BenignPositive |
string |
Vorfall war gutartig positiv |
| FalsePositive |
string |
Der Vorfall war falsch positiv. |
| TruePositive |
string |
Der Vorfall war wahr positiv. |
| Undetermined |
string |
Die Incidentklassifizierung war nicht festgelegt. |
IncidentClassificationReason
Der Klassifizierungsgrund, aus dem der Vorfall geschlossen wurde, mit
| Name | Typ | Beschreibung |
|---|---|---|
| InaccurateData |
string |
Klassifikationsgrund waren ungenaue Daten |
| IncorrectAlertLogic |
string |
Der Klassifizierungsgrund war eine falsche Warnungslogik. |
| SuspiciousActivity |
string |
Klassifizierungsgrund war verdächtige Aktivität |
| SuspiciousButExpected |
string |
Klassifizierungsgrund war verdächtig, aber erwartet |
IncidentLabel
Stellt eine Incidentbezeichnung dar.
| Name | Typ | Beschreibung |
|---|---|---|
| labelName |
string |
Der Name der Bezeichnung |
| labelType |
Der Typ der Bezeichnung |
IncidentLabelType
Der Typ der Bezeichnung
| Name | Typ | Beschreibung |
|---|---|---|
| AutoAssigned |
string |
Vom System automatisch erstellte Bezeichnung |
| User |
string |
Von einem Benutzer manuell erstellte Bezeichnung |
IncidentOwnerInfo
Informationen zum Benutzer, dem ein Vorfall zugewiesen ist
| Name | Typ | Beschreibung |
|---|---|---|
| assignedTo |
string |
Der Name des Benutzers, dem der Incident zugewiesen ist. |
|
string |
Die E-Mail des Benutzers, dem der Vorfall zugewiesen ist. |
|
| objectId |
string |
Die Objekt-ID des Benutzers, dem der Incident zugewiesen ist. |
| ownerType |
Der Typ des Besitzers, dem der Vorfall zugewiesen ist. |
|
| userPrincipalName |
string |
Der Benutzerprinzipalname des Benutzers, dem der Incident zugewiesen ist. |
IncidentSeverity
Der Schweregrad des Vorfalls
| Name | Typ | Beschreibung |
|---|---|---|
| High |
string |
Hoher Schweregrad |
| Informational |
string |
Informationsschweregrad |
| Low |
string |
Niedriger Schweregrad |
| Medium |
string |
Mittlerer Schweregrad |
IncidentStatus
Die status des Vorfalls
| Name | Typ | Beschreibung |
|---|---|---|
| Active |
string |
Ein aktiver Vorfall, der behandelt wird |
| Closed |
string |
Ein nicht aktiver Vorfall |
| New |
string |
Ein aktiver Vorfall, der derzeit nicht behandelt wird |
OwnerType
Der Typ des Besitzers, dem der Vorfall zugewiesen ist.
| Name | Typ | Beschreibung |
|---|---|---|
| Group |
string |
Der Typ des Incidentbesitzers ist eine AAD-Gruppe. |
| Unknown |
string |
Der Typ des Incidentbesitzers ist unbekannt. |
| User |
string |
Der Typ des Incidentbesitzers ist ein AAD-Benutzer. |
systemData
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.
| Name | Typ | Beschreibung |
|---|---|---|
| createdAt |
string |
Der Zeitstempel der Ressourcenerstellung (UTC). |
| createdBy |
string |
Die Identität, die die Ressource erstellt hat. |
| createdByType |
Der Identitätstyp, der die Ressource erstellt hat. |
|
| lastModifiedAt |
string |
Der Zeitstempel der letzten Änderung der Ressource (UTC) |
| lastModifiedBy |
string |
Die Identität, die die Ressource zuletzt geändert hat. |
| lastModifiedByType |
Der Identitätstyp, der die Ressource zuletzt geändert hat. |