az sentinel incident
Remarque
Cette référence fait partie de l’extension Sentinel pour Azure CLI (version 2.37.0 ou ultérieure). L’extension installe automatiquement la première fois que vous exécutez une commande d’incident az sentinel. En savoir plus sur les extensions.
Gérer l’incident avec sentinelle.
Commandes
| Nom | Description | Type | Statut |
|---|---|---|---|
| az sentinel incident comment |
Gérer le commentaire d’incident avec sentinelle. |
Extension | GA |
| az sentinel incident comment create |
Créez le commentaire d’incident. |
Extension | Expérimental |
| az sentinel incident comment delete |
Supprimez le commentaire d’incident. |
Extension | Expérimental |
| az sentinel incident comment list |
Obtenez tous les commentaires d’incident. |
Extension | Expérimental |
| az sentinel incident comment show |
Obtenez un commentaire d’incident. |
Extension | Expérimental |
| az sentinel incident comment update |
Mettez à jour le commentaire d’incident. |
Extension | Expérimental |
| az sentinel incident create |
Créez l’incident. |
Extension | Expérimental |
| az sentinel incident create-team |
Créez une équipe Microsoft pour examiner l’incident en partageant des informations et des insights entre les participants. |
Extension | Expérimental |
| az sentinel incident delete |
Supprimez l’incident. |
Extension | Expérimental |
| az sentinel incident list |
Obtenez tous les incidents. |
Extension | Expérimental |
| az sentinel incident list-alert |
Obtenez toutes les alertes d’incident. |
Extension | Expérimental |
| az sentinel incident list-bookmark |
Obtenez tous les signets d’incident. |
Extension | Expérimental |
| az sentinel incident list-entity |
Obtenez toutes les entités associées aux incidents. |
Extension | Expérimental |
| az sentinel incident relation |
Gérer la relation d’incident avec sentinelle. |
Extension | GA |
| az sentinel incident relation create |
Créez la relation d’incident. |
Extension | Expérimental |
| az sentinel incident relation delete |
Supprimez la relation d’incident. |
Extension | Expérimental |
| az sentinel incident relation list |
Obtenez toutes les relations d’incident. |
Extension | Expérimental |
| az sentinel incident relation show |
Obtenez une relation d’incident. |
Extension | Expérimental |
| az sentinel incident relation update |
Mettez à jour la relation d’incident. |
Extension | Expérimental |
| az sentinel incident run-playbook |
Déclenchez un playbook sur un incident spécifique. |
Extension | Expérimental |
| az sentinel incident show |
Obtenez un incident. |
Extension | Expérimental |
| az sentinel incident update |
Mettez à jour l’incident. |
Extension | Expérimental |
az sentinel incident create
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Créez l’incident.
az sentinel incident create --incident-id
--resource-group
--workspace-name
[--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
[--classification-comment]
[--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
[--description]
[--etag]
[--first-activity-time-utc]
[--labels]
[--last-activity-time-utc]
[--owner]
[--provider-incident-id]
[--provider-name]
[--severity {High, Informational, Low, Medium}]
[--status {Active, Closed, New}]
[--title]Paramètres obligatoires
ID d’incident.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom de l’espace de travail.
Paramètres facultatifs
La raison pour laquelle l’incident a été fermé.
Décrit la raison pour laquelle l’incident a été fermé.
La raison de classification avec laquelle l’incident a été fermé.
Description de l’incident.
Etag de la ressource Azure.
Heure de la première activité dans l’incident.
Liste des étiquettes pertinentes pour cet incident Prennent en charge la syntaxe abrégée, json-file et yaml-file. Essayez « ?? » pour en montrer plus.
Heure de la dernière activité dans l’incident.
Décrit un utilisateur auquel l’incident est affecté à la prise en charge de la syntaxe abrégée, du fichier json et du fichier yaml-file. Essayez « ?? » pour en montrer plus.
ID d’incident attribué par le fournisseur d’incidents.
Nom du fournisseur source qui a généré l’incident.
Gravité de l’incident.
État de l’incident.
Titre de l’incident.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident create-team
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Créez une équipe Microsoft pour examiner l’incident en partageant des informations et des insights entre les participants.
az sentinel incident create-team --incident-id
--resource-group
--team-name
--workspace-name
[--group-ids]
[--member-ids]
[--team-description]Paramètres obligatoires
ID d’incident.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom de l’équipe.
Nom de l’espace de travail.
Paramètres facultatifs
Liste des ID de groupe à ajouter leurs membres au support technique de la syntaxe abrégée, json-file et yaml-file. Essayez « ?? » pour en montrer plus.
Liste des ID membres à ajouter à la syntaxe abrégée du support de l’équipe, json-file et yaml-file. Essayez « ?? » pour en montrer plus.
Description de l’équipe.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident delete
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Supprimez l’incident.
az sentinel incident delete [--ids]
[--incident-id]
[--resource-group]
[--subscription]
[--workspace-name]
[--yes]Paramètres facultatifs
Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».
ID d’incident.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Nom de l’espace de travail.
Ne pas demander de confirmation.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident list
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Obtenez tous les incidents.
az sentinel incident list --resource-group
--workspace-name
[--filter]
[--orderby]
[--skip-token]
[--top]Paramètres obligatoires
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom de l’espace de travail.
Paramètres facultatifs
Filtre les résultats, en fonction d’une condition booléenne. facultatif.
Trie les résultats. facultatif.
Skiptoken est utilisé uniquement si une opération précédente a retourné un résultat partiel. Si une réponse précédente contient un élément nextLink, la valeur de l’élément nextLink inclut un paramètre skiptoken qui spécifie un point de départ à utiliser pour les appels suivants. facultatif.
Retourne uniquement les n premiers résultats. facultatif.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident list-alert
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Obtenez toutes les alertes d’incident.
az sentinel incident list-alert --incident-id
--resource-group
--workspace-nameParamètres obligatoires
ID d’incident.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom de l’espace de travail.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident list-bookmark
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Obtenez tous les signets d’incident.
az sentinel incident list-bookmark --incident-id
--resource-group
--workspace-nameParamètres obligatoires
ID d’incident.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom de l’espace de travail.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident list-entity
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Obtenez toutes les entités associées aux incidents.
az sentinel incident list-entity --incident-id
--resource-group
--workspace-nameParamètres obligatoires
ID d’incident.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom de l’espace de travail.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident run-playbook
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Déclenchez un playbook sur un incident spécifique.
az sentinel incident run-playbook --incident-identifier
--resource-group
--workspace-name
[--logic-apps-resource-id]
[--tenant-id]Paramètres obligatoires
Identificateur de l’incident.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom de l’espace de travail.
Paramètres facultatifs
ID de ressource des applications logiques.
ID du locataire.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident show
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Obtenez un incident.
az sentinel incident show [--ids]
[--incident-id]
[--resource-group]
[--subscription]
[--workspace-name]Paramètres facultatifs
Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».
ID d’incident.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Nom de l’espace de travail.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az sentinel incident update
Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus
Mettez à jour l’incident.
az sentinel incident update [--add]
[--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
[--classification-comment]
[--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
[--description]
[--etag]
[--first-activity-time-utc]
[--force-string {0, 1, f, false, n, no, t, true, y, yes}]
[--ids]
[--incident-id]
[--labels]
[--last-activity-time-utc]
[--owner]
[--provider-incident-id]
[--provider-name]
[--remove]
[--resource-group]
[--set]
[--severity {High, Informational, Low, Medium}]
[--status {Active, Closed, New}]
[--subscription]
[--title]
[--workspace-name]Paramètres facultatifs
Ajoutez un objet à une liste d’objets en spécifiant un chemin d’accès et des paires clé-valeur. Exemple : --add property.listProperty <key=value, string ou JSON string>.
La raison pour laquelle l’incident a été fermé.
Décrit la raison pour laquelle l’incident a été fermé.
La raison de classification avec laquelle l’incident a été fermé.
Description de l’incident.
Etag de la ressource Azure.
Heure de la première activité dans l’incident.
Lorsque vous utilisez « set » ou « add », conservez les littéraux de chaîne au lieu de tenter de convertir en JSON.
Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».
ID d’incident.
Liste des étiquettes pertinentes pour cet incident Prennent en charge la syntaxe abrégée, json-file et yaml-file. Essayez « ?? » pour en montrer plus.
Heure de la dernière activité dans l’incident.
Décrit un utilisateur auquel l’incident est affecté à la prise en charge de la syntaxe abrégée, du fichier json et du fichier yaml-file. Essayez « ?? » pour en montrer plus.
ID d’incident attribué par le fournisseur d’incidents.
Nom du fournisseur source qui a généré l’incident.
Supprimez une propriété ou un élément d’une liste. Exemple : --remove property.list OR --remove propertyToRemove.
Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.
Mettez à jour un objet en spécifiant un chemin d’accès et une valeur de propriété à définir. Exemple : --set property1.property2=.
Gravité de l’incident.
État de l’incident.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Titre de l’incident.
Nom de l’espace de travail.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
