az sentinel incident

Nota:

Esta referencia forma parte de la extensión sentinel para la CLI de Azure (versión 2.37.0 o posterior). La extensión instalará automáticamente la primera vez que ejecute un comando az sentinel incident . Obtenga más información sobre las extensiones.

Administrar incidentes con Sentinel.

Comandos

Nombre	Description	Tipo	Estado
az sentinel incident comment	Administre el comentario de incidentes con Sentinel.	Extensión	GA
az sentinel incident comment create	Cree el comentario del incidente.	Extensión	Habilitación de características
az sentinel incident comment delete	Elimine el comentario del incidente.	Extensión	Habilitación de características
az sentinel incident comment list	Obtenga todos los comentarios de incidentes.	Extensión	Habilitación de características
az sentinel incident comment show	Obtenga un comentario de incidente.	Extensión	Habilitación de características
az sentinel incident comment update	Actualice el comentario del incidente.	Extensión	Habilitación de características
az sentinel incident create	Cree el incidente.	Extensión	Habilitación de características
az sentinel incident create-team	Cree un equipo de Microsoft para investigar el incidente compartiendo información e información entre los participantes.	Extensión	Habilitación de características
az sentinel incident delete	Elimine el incidente.	Extensión	Habilitación de características
az sentinel incident list	Obtenga todos los incidentes.	Extensión	Habilitación de características
az sentinel incident list-alert	Obtenga todas las alertas de incidentes.	Extensión	Habilitación de características
az sentinel incident list-bookmark	Obtenga todos los marcadores de incidentes.	Extensión	Habilitación de características
az sentinel incident list-entity	Obtenga todas las entidades relacionadas con incidentes.	Extensión	Habilitación de características
az sentinel incident relation	Administrar la relación de incidentes con Sentinel.	Extensión	GA
az sentinel incident relation create	Cree la relación de incidentes.	Extensión	Habilitación de características
az sentinel incident relation delete	Elimine la relación de incidentes.	Extensión	Habilitación de características
az sentinel incident relation list	Obtenga todas las relaciones de incidentes.	Extensión	Habilitación de características
az sentinel incident relation show	Obtener una relación de incidentes.	Extensión	Habilitación de características
az sentinel incident relation update	Actualice la relación de incidentes.	Extensión	Habilitación de características
az sentinel incident run-playbook	Desencadenar cuaderno de estrategias en un incidente específico.	Extensión	Habilitación de características
az sentinel incident show	Obtener un incidente.	Extensión	Habilitación de características
az sentinel incident update	Actualice el incidente.	Extensión	Habilitación de características

az sentinel incident create

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Cree el incidente.

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

Parámetros requeridos

--incident-id --name -n

Identificador de incidente.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros opcionales

--classification

Motivo por el que se cerró el incidente.

valores aceptados: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

Describe el motivo por el que se cerró el incidente.

--classification-reason

Motivo de clasificación con el que se cerró el incidente.

valores aceptados: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

Descripción del incidente.

--etag

Etag del recurso de Azure.

--first-activity-time-utc

Hora de la primera actividad del incidente.

--labels

Lista de etiquetas relevantes para este incidente Compatibilidad con la sintaxis abreviada, json-file y yaml-file. Intenta "??" para mostrar más.

--last-activity-time-utc

Hora de la última actividad del incidente.

--owner

Describe un usuario al que se asigna el incidente a compatibilidad con la sintaxis abreviada, json-file y yaml-file. Intenta "??" para mostrar más.

--provider-incident-id

Identificador de incidente asignado por el proveedor de incidentes.

--provider-name

Nombre del proveedor de origen que generó el incidente.

--severity

Gravedad del incidente.

valores aceptados: High, Informational, Low, Medium

--status

Estado del incidente.

valores aceptados: Active, Closed, New

--title

Título del incidente.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident create-team

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Cree un equipo de Microsoft para investigar el incidente compartiendo información e información entre los participantes.

az sentinel incident create-team --incident-id
                                 --resource-group
                                 --team-name
                                 --workspace-name
                                 [--group-ids]
                                 [--member-ids]
                                 [--team-description]

Parámetros requeridos

--incident-id

Identificador de incidente.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--team-name

Nombre del equipo.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros opcionales

--group-ids

Lista de identificadores de grupo para agregar sus miembros a la sintaxis abreviada del equipo, json-file y yaml-file. Intenta "??" para mostrar más.

--member-ids

Lista de identificadores de miembro que se van a agregar a la sintaxis abreviada del equipo, json-file y yaml-file. Intenta "??" para mostrar más.

--team-description

Descripción del equipo.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident delete

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Elimine el incidente.

az sentinel incident delete [--ids]
                            [--incident-id]
                            [--resource-group]
                            [--subscription]
                            [--workspace-name]
                            [--yes]

Parámetros opcionales

--ids

Uno o varios identificadores de recursos (delimitados por espacios). Debe ser un identificador de recurso completo que contenga toda la información de los argumentos "Resource Id". Debe proporcionar argumentos --ids u otros argumentos "Resource Id".

--incident-id --name -n

Identificador de incidente.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

--yes -y

No solicita confirmación.

valor predeterminado: False

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident list

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Obtenga todos los incidentes.

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

Parámetros requeridos

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros opcionales

--filter

Filtra los resultados, en función de una condición booleana. Opcional.

--orderby

Ordena los resultados. Opcional.

--skip-token

Skiptoken solo se usa si una operación anterior devolvió un resultado parcial. Si una respuesta anterior contiene un elemento nextLink, el valor del elemento nextLink incluirá un parámetro skiptoken que especifica un punto de partida que se usará para las llamadas posteriores. Opcional.

--top

Devuelve solo los primeros n resultados. Opcional.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident list-alert

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Obtenga todas las alertas de incidentes.

az sentinel incident list-alert --incident-id
                                --resource-group
                                --workspace-name

Parámetros requeridos

--incident-id

Identificador de incidente.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident list-bookmark

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Obtenga todos los marcadores de incidentes.

az sentinel incident list-bookmark --incident-id
                                   --resource-group
                                   --workspace-name

Parámetros requeridos

--incident-id

Identificador de incidente.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident list-entity

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Obtenga todas las entidades relacionadas con incidentes.

az sentinel incident list-entity --incident-id
                                 --resource-group
                                 --workspace-name

Parámetros requeridos

--incident-id

Identificador de incidente.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident run-playbook

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Desencadenar cuaderno de estrategias en un incidente específico.

az sentinel incident run-playbook --incident-identifier
                                  --resource-group
                                  --workspace-name
                                  [--logic-apps-resource-id]
                                  [--tenant-id]

Parámetros requeridos

--incident-identifier

Identificador del incidente.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros opcionales

--logic-apps-resource-id

Identificador de recurso de las aplicaciones lógicas.

--tenant-id

Identificador del inquilino.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident show

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Obtener un incidente.

az sentinel incident show [--ids]
                          [--incident-id]
                          [--resource-group]
                          [--subscription]
                          [--workspace-name]

Parámetros opcionales

--ids

Uno o varios identificadores de recursos (delimitados por espacios). Debe ser un identificador de recurso completo que contenga toda la información de los argumentos "Resource Id". Debe proporcionar argumentos --ids u otros argumentos "Resource Id".

--incident-id --name -n

Identificador de incidente.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.

az sentinel incident update

Habilitación de características

Este comando es experimental y está en desarrollo. Niveles de referencia y soporte técnico: https://aka.ms/CLI_refstatus

Actualice el incidente.

az sentinel incident update [--add]
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                            [--ids]
                            [--incident-id]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--remove]
                            [--resource-group]
                            [--set]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--subscription]
                            [--title]
                            [--workspace-name]

Parámetros opcionales

--add

Agregue un objeto a una lista de objetos especificando una ruta de acceso y pares clave-valor. Ejemplo: --add property.listProperty <key=value, string o JSON string>.

--classification

Motivo por el que se cerró el incidente.

valores aceptados: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

Describe el motivo por el que se cerró el incidente.

--classification-reason

Motivo de clasificación con el que se cerró el incidente.

valores aceptados: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

Descripción del incidente.

--etag

Etag del recurso de Azure.

--first-activity-time-utc

Hora de la primera actividad del incidente.

--force-string

Al usar 'set' o 'add', conserve los literales de cadena en lugar de intentar convertir en JSON.

valores aceptados: 0, 1, f, false, n, no, t, true, y, yes

--ids

Uno o varios identificadores de recursos (delimitados por espacios). Debe ser un identificador de recurso completo que contenga toda la información de los argumentos "Resource Id". Debe proporcionar argumentos --ids u otros argumentos "Resource Id".

--incident-id --name -n

Identificador de incidente.

--labels

Lista de etiquetas relevantes para este incidente Compatibilidad con la sintaxis abreviada, json-file y yaml-file. Intenta "??" para mostrar más.

--last-activity-time-utc

Hora de la última actividad del incidente.

--owner

Describe un usuario al que se asigna el incidente a compatibilidad con la sintaxis abreviada, json-file y yaml-file. Intenta "??" para mostrar más.

--provider-incident-id

Identificador de incidente asignado por el proveedor de incidentes.

--provider-name

Nombre del proveedor de origen que generó el incidente.

--remove

Quite una propiedad o un elemento de una lista. Ejemplo: --remove property.list OR --remove propertyToRemove.

--resource-group -g

Nombre del grupo de recursos. Puede configurar el grupo predeterminado mediante az configure --defaults group=<name>.

--set

Actualice un objeto especificando una ruta de acceso de propiedad y un valor que se va a establecer. Ejemplo: --set property1.property2=.

--severity

Gravedad del incidente.

valores aceptados: High, Informational, Low, Medium

--status

Estado del incidente.

valores aceptados: Active, Closed, New

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--title

Título del incidente.

--workspace-name -w

Habilitación de características

El nombre del área de trabajo.

Parámetros globales

--debug

Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.

--help -h

Muestre este mensaje de ayuda y salga.

--only-show-errors

Mostrar solo los errores y suprimir las advertencias.

--output -o

Formato de salida.

valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc

valor predeterminado: json

--query

Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.