Partager via


Incidents - Get

Obtient un incident.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-01-01-preview

Paramètres URI

Nom Dans Obligatoire Type Description
incidentId
path True

string

ID d’incident

resourceGroupName
path True

string

Nom du groupe de ressources. Le nom ne respecte pas la casse.

subscriptionId
path True

string

ID de l’abonnement cible.

workspaceName
path True

string

Nom de l’espace de travail.

Modèle d’expression régulière: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

Version de l’API à utiliser pour cette opération.

Réponses

Nom Type Description
200 OK

Incident

D’ACCORD

Other Status Codes

CloudError

Réponse d’erreur décrivant pourquoi l’opération a échoué.

Sécurité

azure_auth

Flux OAuth2 Azure Active Directory

Type: oauth2
Flux: implicit
URL d’autorisation: https://login.microsoftonline.com/common/oauth2/authorize

Étendues

Nom Description
user_impersonation emprunter l’identité de votre compte d’utilisateur

Exemples

Incidents_Get

Exemple de requête

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-01-01-preview

Exemple de réponse

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/incidents",
  "properties": {
    "title": "My incident",
    "description": "This is a demo incident",
    "severity": "High",
    "status": "Closed",
    "classification": "FalsePositive",
    "classificationReason": "InaccurateData",
    "classificationComment": "Not a malicious activity",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "assignedTo": "john doe",
      "userPrincipalName": "john@contoso.com",
      "ownerType": "User"
    },
    "labels": [],
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "incidentNumber": 3177,
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": [
        "InitialAccess",
        "Persistence"
      ],
      "techniques": [
        "T1091",
        "T1133",
        "T1053"
      ],
      "providerIncidentUrl": "https://security.microsoft.com/incidents/3177?tid=5b5a146c-eba8-46af-96f8-e31b50d15a3f"
    },
    "relatedAnalyticRuleIds": [
      "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
    ],
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177"
  }
}

Définitions

Nom Description
AttackTactic

Gravité des alertes créées par cette règle d’alerte.

CloudError

Structure de réponse d’erreur.

CloudErrorBody

Détails de l’erreur.

createdByType

Type d’identité qui a créé la ressource.

Incident
IncidentAdditionalData

Incident d’un conteneur de propriétés de données supplémentaires.

IncidentClassification

La raison pour laquelle l’incident a été fermé

IncidentClassificationReason

La raison de classification avec laquelle l’incident a été fermé

IncidentLabel

Représente une étiquette d’incident

IncidentLabelType

Type de l’étiquette

IncidentOwnerInfo

Informations sur l’utilisateur auquel un incident est affecté

IncidentSeverity

Gravité de l’incident

IncidentStatus

État de l’incident

OwnerType

Type du propriétaire auquel l’incident est affecté.

systemData

Métadonnées relatives à la création et à la dernière modification de la ressource.

TeamInformation

Décrit les informations d’équipe

AttackTactic

Gravité des alertes créées par cette règle d’alerte.

Valeur Description
Collection
CommandAndControl
CredentialAccess
DefenseEvasion
Discovery
Execution
Exfiltration
Impact
ImpairProcessControl
InhibitResponseFunction
InitialAccess
LateralMovement
Persistence
PreAttack
PrivilegeEscalation
Reconnaissance
ResourceDevelopment

CloudError

Structure de réponse d’erreur.

Nom Type Description
error

CloudErrorBody

Données d’erreur

CloudErrorBody

Détails de l’erreur.

Nom Type Description
code

string

Identificateur de l’erreur. Les codes sont invariants et sont destinés à être consommés par programme.

message

string

Message décrivant l’erreur, destiné à être adapté à l’affichage dans une interface utilisateur.

createdByType

Type d’identité qui a créé la ressource.

Valeur Description
Application
Key
ManagedIdentity
User

Incident

Nom Type Description
etag

string

Etag de la ressource Azure

id

string

ID de ressource complet pour la ressource. Par exemple, « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} »

name

string

Nom de la ressource

properties.additionalData

IncidentAdditionalData

Données supplémentaires sur l’incident

properties.classification

IncidentClassification

La raison pour laquelle l’incident a été fermé

properties.classificationComment

string

Décrit la raison pour laquelle l’incident a été fermé

properties.classificationReason

IncidentClassificationReason

La raison de classification avec laquelle l’incident a été fermé

properties.createdTimeUtc

string

Heure de création de l’incident

properties.description

string

Description de l’incident

properties.firstActivityTimeUtc

string

Heure de la première activité dans l’incident

properties.incidentNumber

integer

Nombre séquentiel

properties.incidentUrl

string

URL de lien profond vers l’incident dans le portail Azure

properties.labels

IncidentLabel[]

Liste des étiquettes pertinentes pour cet incident

properties.lastActivityTimeUtc

string

Heure de la dernière activité dans l’incident

properties.lastModifiedTimeUtc

string

La dernière fois que l’incident a été mis à jour

properties.owner

IncidentOwnerInfo

Décrit un utilisateur auquel l’incident est affecté

properties.providerIncidentId

string

ID d’incident attribué par le fournisseur d’incidents

properties.providerName

string

Nom du fournisseur source qui a généré l’incident

properties.relatedAnalyticRuleIds

string[]

Liste des ID de ressource des règles analytiques liées à l’incident

properties.severity

IncidentSeverity

Gravité de l’incident

properties.status

IncidentStatus

État de l’incident

properties.teamInformation

TeamInformation

Décrit une équipe pour l’incident

properties.title

string

Titre de l’incident

systemData

systemData

Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy.

type

string

Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts »

IncidentAdditionalData

Incident d’un conteneur de propriétés de données supplémentaires.

Nom Type Description
alertProductNames

string[]

Liste des noms de produits d’alertes dans l’incident

alertsCount

integer

Nombre d’alertes dans l’incident

bookmarksCount

integer

Nombre de signets dans l’incident

commentsCount

integer

Nombre de commentaires dans l’incident

providerIncidentUrl

string

URL de l’incident du fournisseur vers l’incident dans le portail Microsoft 365 Defender

tactics

AttackTactic[]

Tactiques associées à l’incident

techniques

string[]

Les techniques associées aux tactiques de l’incident

IncidentClassification

La raison pour laquelle l’incident a été fermé

Valeur Description
BenignPositive

L’incident a été positif sans gravité

FalsePositive

L’incident a été faux positif

TruePositive

L’incident a été vrai positif

Undetermined

La classification des incidents n’a pas été déterminée

IncidentClassificationReason

La raison de classification avec laquelle l’incident a été fermé

Valeur Description
InaccurateData

La raison de classification était des données inexactes

IncorrectAlertLogic

La raison de classification était une logique d’alerte incorrecte

SuspiciousActivity

La raison de classification était une activité suspecte

SuspiciousButExpected

La raison de classification était suspecte mais attendue

IncidentLabel

Représente une étiquette d’incident

Nom Type Description
labelName

string

Nom de l’étiquette

labelType

IncidentLabelType

Type de l’étiquette

IncidentLabelType

Type de l’étiquette

Valeur Description
AutoAssigned

Étiquette créée automatiquement par le système

User

Étiquette créée manuellement par un utilisateur

IncidentOwnerInfo

Informations sur l’utilisateur auquel un incident est affecté

Nom Type Description
assignedTo

string

Nom de l’utilisateur auquel l’incident est affecté.

email

string

E-mail de l’utilisateur auquel l’incident est affecté.

objectId

string

ID d’objet de l’utilisateur auquel l’incident est affecté.

ownerType

OwnerType

Type du propriétaire auquel l’incident est affecté.

userPrincipalName

string

Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté.

IncidentSeverity

Gravité de l’incident

Valeur Description
High

Gravité élevée

Informational

Gravité de l’information

Low

Gravité faible

Medium

Gravité moyenne

IncidentStatus

État de l’incident

Valeur Description
Active

Un incident actif qui est géré

Closed

Un incident non actif

New

Un incident actif qui n’est pas géré actuellement

OwnerType

Type du propriétaire auquel l’incident est affecté.

Valeur Description
Group

Le type de propriétaire d’incident est un groupe AAD

Unknown

Le type de propriétaire d’incident est inconnu

User

Le type de propriétaire d’incident est un utilisateur AAD

systemData

Métadonnées relatives à la création et à la dernière modification de la ressource.

Nom Type Description
createdAt

string

Horodatage de la création de ressources (UTC).

createdBy

string

Identité qui a créé la ressource.

createdByType

createdByType

Type d’identité qui a créé la ressource.

lastModifiedAt

string

Horodatage de la dernière modification de ressource (UTC)

lastModifiedBy

string

Identité qui a modifié la ressource pour la dernière fois.

lastModifiedByType

createdByType

Type d’identité qui a modifié la ressource pour la dernière fois.

TeamInformation

Décrit les informations d’équipe

Nom Type Description
description

string

Description de l’équipe

name

string

Nom de l’équipe

primaryChannelUrl

string

URL du canal principal de l’équipe

teamCreationTimeUtc

string

Heure de création de l’équipe

teamId

string

ID d’équipe