Incidents - Get

Service:

Sentinel

Version d'API:

2024-01-01-preview

Obtient un incident.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-01-01-preview

Paramètres URI

Nom	Dans	Obligatoire	Type	Description
incidentId	path	True	string	ID d’incident
resourceGroupName	path	True	string	Nom du groupe de ressources. Le nom ne respecte pas la casse.
subscriptionId	path	True	string	ID de l’abonnement cible.
workspaceName	path	True	string	Nom de l’espace de travail. Modèle d’expression régulière: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version	query	True	string	Version de l’API à utiliser pour cette opération.

Réponses

Nom	Type	Description
200 OK	Incident	D’ACCORD
Other Status Codes	CloudError	Réponse d’erreur décrivant pourquoi l’opération a échoué.

Sécurité

azure_auth

Flux OAuth2 Azure Active Directory

Type: oauth2
Flux: implicit
URL d’autorisation: https://login.microsoftonline.com/common/oauth2/authorize

Étendues

Nom	Description
user_impersonation	emprunter l’identité de votre compte d’utilisateur

Exemples

Incidents_Get

Exemple de requête

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-01-01-preview

dotnet

using Azure;
using Azure.ResourceManager;
using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager.SecurityInsights;

// Generated from example definition: specification/securityinsights/resource-manager/Microsoft.SecurityInsights/preview/2024-01-01-preview/examples/incidents/Incidents_Get.json
// this example is just showing the usage of "Incidents_Get" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this OperationalInsightsWorkspaceSecurityInsightsResource created on azure
// for more information of creating OperationalInsightsWorkspaceSecurityInsightsResource, please refer to the document of OperationalInsightsWorkspaceSecurityInsightsResource
string subscriptionId = "d0cfe6b2-9ac0-4464-9919-dccaee2e48c0";
string resourceGroupName = "myRg";
string workspaceName = "myWorkspace";
ResourceIdentifier operationalInsightsWorkspaceSecurityInsightsResourceId = OperationalInsightsWorkspaceSecurityInsightsResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, workspaceName);
OperationalInsightsWorkspaceSecurityInsightsResource operationalInsightsWorkspaceSecurityInsights = client.GetOperationalInsightsWorkspaceSecurityInsightsResource(operationalInsightsWorkspaceSecurityInsightsResourceId);

// get the collection of this SecurityInsightsIncidentResource
SecurityInsightsIncidentCollection collection = operationalInsightsWorkspaceSecurityInsights.GetSecurityInsightsIncidents();

// invoke the operation
string incidentId = "73e01a99-5cd7-4139-a149-9f2736ff2ab5";
NullableResponse<SecurityInsightsIncidentResource> response = await collection.GetIfExistsAsync(incidentId);
SecurityInsightsIncidentResource result = response.HasValue ? response.Value : null;

if (result == null)
{
    Console.WriteLine($"Succeeded with null as result");
}
else
{
    // the variable result is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityInsightsIncidentData resourceData = result.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Exemple de réponse

Code d’état:

200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/incidents",
  "properties": {
    "title": "My incident",
    "description": "This is a demo incident",
    "severity": "High",
    "status": "Closed",
    "classification": "FalsePositive",
    "classificationReason": "InaccurateData",
    "classificationComment": "Not a malicious activity",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "assignedTo": "john doe",
      "userPrincipalName": "john@contoso.com",
      "ownerType": "User"
    },
    "labels": [],
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "incidentNumber": 3177,
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": [
        "InitialAccess",
        "Persistence"
      ],
      "techniques": [
        "T1091",
        "T1133",
        "T1053"
      ],
      "providerIncidentUrl": "https://security.microsoft.com/incidents/3177?tid=5b5a146c-eba8-46af-96f8-e31b50d15a3f"
    },
    "relatedAnalyticRuleIds": [
      "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
    ],
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177"
  }
}

Définitions

Nom	Description
AttackTactic	Gravité des alertes créées par cette règle d’alerte.
CloudError	Structure de réponse d’erreur.
CloudErrorBody	Détails de l’erreur.
createdByType	Type d’identité qui a créé la ressource.
Incident
IncidentAdditionalData	Incident d’un conteneur de propriétés de données supplémentaires.
IncidentClassification	La raison pour laquelle l’incident a été fermé
IncidentClassificationReason	La raison de classification avec laquelle l’incident a été fermé
IncidentLabel	Représente une étiquette d’incident
IncidentLabelType	Type de l’étiquette
IncidentOwnerInfo	Informations sur l’utilisateur auquel un incident est affecté
IncidentSeverity	Gravité de l’incident
IncidentStatus	État de l’incident
OwnerType	Type du propriétaire auquel l’incident est affecté.
systemData	Métadonnées relatives à la création et à la dernière modification de la ressource.
TeamInformation	Décrit les informations d’équipe

AttackTactic

Enumeration

Gravité des alertes créées par cette règle d’alerte.

Valeur	Description
Collection
CommandAndControl
CredentialAccess
DefenseEvasion
Discovery
Execution
Exfiltration
Impact
ImpairProcessControl
InhibitResponseFunction
InitialAccess
LateralMovement
Persistence
PreAttack
PrivilegeEscalation
Reconnaissance
ResourceDevelopment

CloudError

Object

Structure de réponse d’erreur.

Nom	Type	Description
error	CloudErrorBody	Données d’erreur

CloudErrorBody

Object

Détails de l’erreur.

Nom	Type	Description
code	string	Identificateur de l’erreur. Les codes sont invariants et sont destinés à être consommés par programme.
message	string	Message décrivant l’erreur, destiné à être adapté à l’affichage dans une interface utilisateur.

createdByType

Enumeration

Type d’identité qui a créé la ressource.

Valeur	Description
Application
Key
ManagedIdentity
User

Incident

Object

Nom	Type	Description
etag	string	Etag de la ressource Azure
id	string	ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} »
name	string	Nom de la ressource
properties.additionalData	IncidentAdditionalData	Données supplémentaires sur l’incident
properties.classification	IncidentClassification	La raison pour laquelle l’incident a été fermé
properties.classificationComment	string	Décrit la raison pour laquelle l’incident a été fermé
properties.classificationReason	IncidentClassificationReason	La raison de classification avec laquelle l’incident a été fermé
properties.createdTimeUtc	string	Heure de création de l’incident
properties.description	string	Description de l’incident
properties.firstActivityTimeUtc	string	Heure de la première activité dans l’incident
properties.incidentNumber	integer	Nombre séquentiel
properties.incidentUrl	string	URL de lien profond vers l’incident dans le portail Azure
properties.labels	IncidentLabel[]	Liste des étiquettes pertinentes pour cet incident
properties.lastActivityTimeUtc	string	Heure de la dernière activité dans l’incident
properties.lastModifiedTimeUtc	string	La dernière fois que l’incident a été mis à jour
properties.owner	IncidentOwnerInfo	Décrit un utilisateur auquel l’incident est affecté
properties.providerIncidentId	string	ID d’incident attribué par le fournisseur d’incidents
properties.providerName	string	Nom du fournisseur source qui a généré l’incident
properties.relatedAnalyticRuleIds	string[]	Liste des ID de ressource des règles analytiques liées à l’incident
properties.severity	IncidentSeverity	Gravité de l’incident
properties.status	IncidentStatus	État de l’incident
properties.teamInformation	TeamInformation	Décrit une équipe pour l’incident
properties.title	string	Titre de l’incident
systemData	systemData	Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy.
type	string	Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts »

IncidentAdditionalData

Object

Incident d’un conteneur de propriétés de données supplémentaires.

Nom	Type	Description
alertProductNames	string[]	Liste des noms de produits d’alertes dans l’incident
alertsCount	integer	Nombre d’alertes dans l’incident
bookmarksCount	integer	Nombre de signets dans l’incident
commentsCount	integer	Nombre de commentaires dans l’incident
providerIncidentUrl	string	URL de l’incident du fournisseur vers l’incident dans le portail Microsoft 365 Defender
tactics	AttackTactic[]	Tactiques associées à l’incident
techniques	string[]	Les techniques associées aux tactiques de l’incident

IncidentClassification

Enumeration

La raison pour laquelle l’incident a été fermé

Valeur	Description
BenignPositive	L’incident a été positif sans gravité
FalsePositive	L’incident a été faux positif
TruePositive	L’incident a été vrai positif
Undetermined	La classification des incidents n’a pas été déterminée

IncidentClassificationReason

Enumeration

La raison de classification avec laquelle l’incident a été fermé

Valeur	Description
InaccurateData	La raison de classification était des données inexactes
IncorrectAlertLogic	La raison de classification était une logique d’alerte incorrecte
SuspiciousActivity	La raison de classification était une activité suspecte
SuspiciousButExpected	La raison de classification était suspecte mais attendue

IncidentLabel

Object

Représente une étiquette d’incident

Nom	Type	Description
labelName	string	Nom de l’étiquette
labelType	IncidentLabelType	Type de l’étiquette

IncidentLabelType

Enumeration

Type de l’étiquette

Valeur	Description
AutoAssigned	Étiquette créée automatiquement par le système
User	Étiquette créée manuellement par un utilisateur

IncidentOwnerInfo

Object

Informations sur l’utilisateur auquel un incident est affecté

Nom	Type	Description
assignedTo	string	Nom de l’utilisateur auquel l’incident est affecté.
email	string	E-mail de l’utilisateur auquel l’incident est affecté.
objectId	string	ID d’objet de l’utilisateur auquel l’incident est affecté.
ownerType	OwnerType	Type du propriétaire auquel l’incident est affecté.
userPrincipalName	string	Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté.

IncidentSeverity

Enumeration

Gravité de l’incident

Valeur	Description
High	Gravité élevée
Informational	Gravité de l’information
Low	Gravité faible
Medium	Gravité moyenne

IncidentStatus

Enumeration

État de l’incident

Valeur	Description
Active	Un incident actif qui est géré
Closed	Un incident non actif
New	Un incident actif qui n’est pas géré actuellement

OwnerType

Enumeration

Type du propriétaire auquel l’incident est affecté.

Valeur	Description
Group	Le type de propriétaire d’incident est un groupe AAD
Unknown	Le type de propriétaire d’incident est inconnu
User	Le type de propriétaire d’incident est un utilisateur AAD

systemData

Object

Métadonnées relatives à la création et à la dernière modification de la ressource.

Nom	Type	Description
createdAt	string	Horodatage de la création de ressources (UTC).
createdBy	string	Identité qui a créé la ressource.
createdByType	createdByType	Type d’identité qui a créé la ressource.
lastModifiedAt	string	Horodatage de la dernière modification de ressource (UTC)
lastModifiedBy	string	Identité qui a modifié la ressource pour la dernière fois.
lastModifiedByType	createdByType	Type d’identité qui a modifié la ressource pour la dernière fois.

TeamInformation

Object

Décrit les informations d’équipe

Nom	Type	Description
description	string	Description de l’équipe
name	string	Nom de l’équipe
primaryChannelUrl	string	URL du canal principal de l’équipe
teamCreationTimeUtc	string	Heure de création de l’équipe
teamId	string	ID d’équipe