az sentinel watchlist

Remarque

Cette référence fait partie de l’extension Sentinel pour Azure CLI (version 2.37.0 ou ultérieure). L’extension installe automatiquement la première fois que vous exécutez une commande az sentinel watchlist . En savoir plus sur les extensions.

Gérer la liste de surveillance avec sentinelle.

Commandes

Nom	Description	Type	Statut
az sentinel watchlist create	Créez une watchlist et ses éléments Watchlist (création en bloc, par exemple via le type de contenu text/csv). Pour créer une watchlist et ses éléments, nous devons appeler ce point de terminaison avec rawContent ou une URI SAR et des propriétés contentType valides. Le rawContent est principalement utilisé pour la petite liste de surveillance (taille de contenu inférieure à 3,8 Mo). L’URI SAS permet de créer une grande liste de surveillance, où la taille de contenu peut atteindre 500 Mo. L’état du traitement de ce fichier volumineux peut être interrogé via l’URL retournée dans l’en-tête Azure-AsyncOperation.	Extension	Expérimental
az sentinel watchlist delete	Supprimez une liste de surveillance.	Extension	Expérimental
az sentinel watchlist list	Obtenez toutes les watchlists, sans éléments de la liste de surveillance.	Extension	Expérimental
az sentinel watchlist show	Obtenez une liste de surveillance, sans ses éléments de liste de surveillance.	Extension	Expérimental
az sentinel watchlist update	Mettez à jour une watchlist et ses éléments watchlist (création en bloc, par exemple par le biais du type de contenu text/csv). Pour créer une watchlist et ses éléments, nous devons appeler ce point de terminaison avec rawContent ou une URI SAR et des propriétés contentType valides. Le rawContent est principalement utilisé pour la petite liste de surveillance (taille de contenu inférieure à 3,8 Mo). L’URI SAS permet de créer une grande liste de surveillance, où la taille de contenu peut atteindre 500 Mo. L’état du traitement de ce fichier volumineux peut être interrogé via l’URL retournée dans l’en-tête Azure-AsyncOperation.	Extension	Expérimental

az sentinel watchlist create

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Créez une watchlist et ses éléments Watchlist (création en bloc, par exemple via le type de contenu text/csv). Pour créer une watchlist et ses éléments, nous devons appeler ce point de terminaison avec rawContent ou une URI SAR et des propriétés contentType valides. Le rawContent est principalement utilisé pour la petite liste de surveillance (taille de contenu inférieure à 3,8 Mo). L’URI SAS permet de créer une grande liste de surveillance, où la taille de contenu peut atteindre 500 Mo. L’état du traitement de ce fichier volumineux peut être interrogé via l’URL retournée dans l’en-tête Azure-AsyncOperation.

az sentinel watchlist create --name
                             --resource-group
                             --workspace-name
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--provider]
                             [--raw-content]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]

Paramètres obligatoires

--name --watchlist-alias -n

Alias de liste de surveillance.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres facultatifs

--content-type

Type de contenu du contenu brut. Exemple : text/csv ou text/tsv.

--created

Heure de création de la liste de surveillance.

--created-by

Décrit un utilisateur qui a créé la watchlist Support shorthand-syntax, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--default-duration

Durée par défaut d’une watchlist (au format de durée ISO 8601).

--description

Description de la liste de surveillance.

--display-name

Nom complet de la watchlist.

--etag

Etag de la ressource Azure.

--is-deleted

Indicateur qui indique si la liste de surveillance est supprimée ou non.

valeurs acceptées: 0, 1, f, false, n, no, t, true, y, yes

--items-search-key

La clé de recherche est utilisée pour optimiser les performances des requêtes lors de l’utilisation de watchlists pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ comme champ clé lors de la jointure à d’autres données d’événement par adresse IP.

--labels

Liste des étiquettes pertinentes pour cette liste watchlist Support shorthand-syntax, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--provider

Fournisseur de la liste de surveillance.

--raw-content

Contenu brut qui représente les éléments de la liste de surveillance à créer. En cas de type de contenu csv/tsv, il s’agit du contenu du fichier qui sera analysé par le point de terminaison.

--skip-num

Nombre de lignes dans un contenu csv/tsv à ignorer avant l’en-tête.

--source

Nom de fichier de la watchlist, appelé « source ».

--source-type

SourceType de la liste de surveillance.

valeurs acceptées: Local file, Remote storage

--tenant-id

TenantId auquel appartient la watchlist.

--updated

La dernière fois que la liste de surveillance a été mise à jour.

--updated-by

Décrit un utilisateur qui a mis à jour la syntaxe abrégée prise en charge de watchlist, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--upload-status

État du chargement watchlist : Nouveau, InProgress ou Terminé. Remarque pls : lorsqu’un état de chargement de Watchlist est égal à InProgress, la liste espionne ne peut pas être supprimée.

--watchlist-id

ID (guid) de la watchlist.

--watchlist-type

Type de la liste de surveillance.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel watchlist delete

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Supprimez une liste de surveillance.

az sentinel watchlist delete [--ids]
                             [--name]
                             [--resource-group]
                             [--subscription]
                             [--workspace-name]
                             [--yes]

Paramètres facultatifs

--ids

Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».

--name --watchlist-alias -n

Alias de liste de surveillance.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

--yes -y

Ne pas demander de confirmation.

valeur par défaut: False

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel watchlist list

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Obtenez toutes les watchlists, sans éléments de la liste de surveillance.

az sentinel watchlist list --resource-group
                           --workspace-name
                           [--skip-token]

Paramètres obligatoires

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres facultatifs

--skip-token

Skiptoken est utilisé uniquement si une opération précédente a retourné un résultat partiel. Si une réponse précédente contient un élément nextLink, la valeur de l’élément nextLink inclut un paramètre skiptoken qui spécifie un point de départ à utiliser pour les appels suivants. facultatif.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel watchlist show

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Obtenez une liste de surveillance, sans ses éléments de liste de surveillance.

az sentinel watchlist show [--ids]
                           [--name]
                           [--resource-group]
                           [--subscription]
                           [--workspace-name]

Paramètres facultatifs

--ids

Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».

--name --watchlist-alias -n

Alias de liste de surveillance.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel watchlist update

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Mettez à jour une watchlist et ses éléments watchlist (création en bloc, par exemple par le biais du type de contenu text/csv). Pour créer une watchlist et ses éléments, nous devons appeler ce point de terminaison avec rawContent ou une URI SAR et des propriétés contentType valides. Le rawContent est principalement utilisé pour la petite liste de surveillance (taille de contenu inférieure à 3,8 Mo). L’URI SAS permet de créer une grande liste de surveillance, où la taille de contenu peut atteindre 500 Mo. L’état du traitement de ce fichier volumineux peut être interrogé via l’URL retournée dans l’en-tête Azure-AsyncOperation.

az sentinel watchlist update [--add]
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                             [--ids]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--name]
                             [--provider]
                             [--raw-content]
                             [--remove]
                             [--resource-group]
                             [--set]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--subscription]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]
                             [--workspace-name]

Paramètres facultatifs

--add

Ajoutez un objet à une liste d’objets en spécifiant un chemin d’accès et des paires clé-valeur. Exemple : --add property.listProperty <key=value, string ou JSON string>.

--content-type

Type de contenu du contenu brut. Exemple : text/csv ou text/tsv.

--created

Heure de création de la liste de surveillance.

--created-by

Décrit un utilisateur qui a créé la watchlist Support shorthand-syntax, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--default-duration

Durée par défaut d’une watchlist (au format de durée ISO 8601).

--description

Description de la liste de surveillance.

--display-name

Nom complet de la watchlist.

--etag

Etag de la ressource Azure.

--force-string

Lorsque vous utilisez « set » ou « add », conservez les littéraux de chaîne au lieu de tenter de convertir en JSON.

valeurs acceptées: 0, 1, f, false, n, no, t, true, y, yes

--ids

Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».

--is-deleted

Indicateur qui indique si la liste de surveillance est supprimée ou non.

valeurs acceptées: 0, 1, f, false, n, no, t, true, y, yes

--items-search-key

La clé de recherche est utilisée pour optimiser les performances des requêtes lors de l’utilisation de watchlists pour les jointures avec d’autres données. Par exemple, activez une colonne avec des adresses IP comme champ SearchKey désigné, puis utilisez ce champ comme champ clé lors de la jointure à d’autres données d’événement par adresse IP.

--labels

Liste des étiquettes pertinentes pour cette liste watchlist Support shorthand-syntax, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--name --watchlist-alias -n

Alias de liste de surveillance.

--provider

Fournisseur de la liste de surveillance.

--raw-content

Contenu brut qui représente les éléments de la liste de surveillance à créer. En cas de type de contenu csv/tsv, il s’agit du contenu du fichier qui sera analysé par le point de terminaison.

--remove

Supprimez une propriété ou un élément d’une liste. Exemple : --remove property.list OR --remove propertyToRemove.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--set

Mettez à jour un objet en spécifiant un chemin d’accès et une valeur de propriété à définir. Exemple : --set property1.property2=.

--skip-num

Nombre de lignes dans un contenu csv/tsv à ignorer avant l’en-tête.

--source

Nom de fichier de la watchlist, appelé « source ».

--source-type

SourceType de la liste de surveillance.

valeurs acceptées: Local file, Remote storage

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--tenant-id

TenantId auquel appartient la watchlist.

--updated

La dernière fois que la liste de surveillance a été mise à jour.

--updated-by

Décrit un utilisateur qui a mis à jour la syntaxe abrégée prise en charge de watchlist, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--upload-status

État du chargement watchlist : Nouveau, InProgress ou Terminé. Remarque pls : lorsqu’un état de chargement de Watchlist est égal à InProgress, la liste espionne ne peut pas être supprimée.

--watchlist-id

ID (guid) de la watchlist.

--watchlist-type

Type de la liste de surveillance.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.