az sentinel watchlist

Nota

Questo riferimento fa parte dell'estensione sentinel per l'interfaccia della riga di comando di Azure (versione 2.37.0 o successiva). L'estensione installerà automaticamente la prima volta che si esegue un comando az sentinel watchlist . Altre informazioni sulle estensioni.

Gestire watchlist con sentinel.

Comandi

Nome	Descrizione	Tipo	Stato
az sentinel watchlist create	Creare un watchlist e i relativi elementi watchlist (creazione bulk, ad esempio tramite tipo di contenuto text/csv). Per creare un watchlist e i relativi elementi, è necessario chiamare questo endpoint con rawContent o con proprietà CONTENT e contentType valide. RawContent viene usato principalmente per un watchlist di piccole dimensioni (dimensioni del contenuto inferiori a 3,8 MB). L'URI di firma di accesso condiviso consente la creazione di watchlist di grandi dimensioni, in cui le dimensioni del contenuto possono raggiungere fino a 500 MB. Lo stato dell'elaborazione di tale file di grandi dimensioni può essere eseguito tramite l'URL restituito nell'intestazione Azure-AsyncOperation.	Estensione	Sperimentale
az sentinel watchlist delete	Eliminare un watchlist.	Estensione	Sperimentale
az sentinel watchlist list	Ottiene tutti gli elenchi di controllo, senza elementi watchlist.	Estensione	Sperimentale
az sentinel watchlist show	Ottiene un watchlist, senza gli elementi watchlist.	Estensione	Sperimentale
az sentinel watchlist update	Aggiornare un watchlist e i relativi elementi watchlist (creazione bulk, ad esempio tramite tipo di contenuto text/csv). Per creare un watchlist e i relativi elementi, è necessario chiamare questo endpoint con rawContent o con proprietà CONTENT e contentType valide. RawContent viene usato principalmente per un watchlist di piccole dimensioni (dimensioni del contenuto inferiori a 3,8 MB). L'URI di firma di accesso condiviso consente la creazione di watchlist di grandi dimensioni, in cui le dimensioni del contenuto possono raggiungere fino a 500 MB. Lo stato dell'elaborazione di tale file di grandi dimensioni può essere eseguito tramite l'URL restituito nell'intestazione Azure-AsyncOperation.	Estensione	Sperimentale

az sentinel watchlist create

Sperimentale

Questo comando è sperimentale e in fase di sviluppo. Livelli di riferimento e supporto: https://aka.ms/CLI_refstatus

Creare un watchlist e i relativi elementi watchlist (creazione bulk, ad esempio tramite tipo di contenuto text/csv). Per creare un watchlist e i relativi elementi, è necessario chiamare questo endpoint con rawContent o con proprietà CONTENT e contentType valide. RawContent viene usato principalmente per un watchlist di piccole dimensioni (dimensioni del contenuto inferiori a 3,8 MB). L'URI di firma di accesso condiviso consente la creazione di watchlist di grandi dimensioni, in cui le dimensioni del contenuto possono raggiungere fino a 500 MB. Lo stato dell'elaborazione di tale file di grandi dimensioni può essere eseguito tramite l'URL restituito nell'intestazione Azure-AsyncOperation.

az sentinel watchlist create --name
                             --resource-group
                             --workspace-name
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--provider]
                             [--raw-content]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]

Parametri necessari

--name --watchlist-alias -n

Alias watchlist.

--resource-group -g

Nome del gruppo di risorse. È possibile configurare il gruppo predefinito con az configure --defaults group=<name>.

--workspace-name -w

Sperimentale

Nome dell'area di lavoro.

Parametri facoltativi

--content-type

Tipo di contenuto del contenuto non elaborato. Esempio: testo/csv o testo/tsv.

--created

Ora di creazione dell'elenco di controllo.

--created-by

Descrive un utente che ha creato l'watchlist Support shorthand-syntax, json-file e yaml-file. Prova "??" per mostrare di più.

--default-duration

Durata predefinita di un watchlist (in formato durata ISO 8601).

--description

Descrizione dell'elenco di controllo.

--display-name

Nome visualizzato dell'elenco di controllo.

--etag

Etag della risorsa di Azure.

--is-deleted

Flag che indica se l'elenco di controllo viene eliminato o meno.

valori accettati: 0, 1, f, false, n, no, t, true, y, yes

--items-search-key

La chiave di ricerca viene usata per ottimizzare le prestazioni delle query quando si usano watchlist per i join con altri dati. Ad esempio, abilitare una colonna con indirizzi IP come campo SearchKey designato, quindi usare questo campo come campo chiave quando si uniscono ad altri dati dell'evento in base all'indirizzo IP.

--labels

Elenco di etichette rilevanti per questo watchlist Supportare sintassi abbreviata, json-file e yaml-file. Prova "??" per mostrare di più.

--provider

Provider dell'elenco di controllo.

--raw-content

Contenuto non elaborato che rappresenta gli elementi watchlist da creare. In caso di tipo di contenuto csv/tsv, si tratta del contenuto del file che verrà analizzato dall'endpoint.

--skip-num

Numero di righe in un contenuto csv/tsv da ignorare prima dell'intestazione.

--source

Nome file dell'watchlist, denominato 'source'.

--source-type

SourceType dell'elenco di controllo.

valori accettati: Local file, Remote storage

--tenant-id

TenantId a cui appartiene l'elenco di controllo.

--updated

Ultima volta che l'elenco di controllo è stato aggiornato.

--updated-by

Descrive un utente che ha aggiornato l'elenco espressioni di controllo Supportare sintassi abbreviata, json-file e yaml-file. Prova "??" per mostrare di più.

--upload-status

Stato del caricamento watchlist: Nuovo, InProgress o Completato. Nota pls: quando lo stato di caricamento di un watchlist è uguale a InProgress, l'elenco di controllo non può essere eliminato.

--watchlist-id

ID (guid) dell'elenco di controllo.

--watchlist-type

Tipo dell'elenco di controllo.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az sentinel watchlist delete

Sperimentale

Questo comando è sperimentale e in fase di sviluppo. Livelli di riferimento e supporto: https://aka.ms/CLI_refstatus

Eliminare un watchlist.

az sentinel watchlist delete [--ids]
                             [--name]
                             [--resource-group]
                             [--subscription]
                             [--workspace-name]
                             [--yes]

Parametri facoltativi

--ids

Uno o più ID della risorsa (delimitato da spazio). Deve essere un ID risorsa completo contenente tutte le informazioni degli argomenti "ID risorsa". È necessario specificare --ids o altri argomenti "ID risorsa".

--name --watchlist-alias -n

Alias watchlist.

--resource-group -g

Nome del gruppo di risorse. È possibile configurare il gruppo predefinito con az configure --defaults group=<name>.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--workspace-name -w

Sperimentale

Nome dell'area di lavoro.

--yes -y

Indica che non è richiesta la conferma.

valore predefinito: False

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az sentinel watchlist list

Sperimentale

Questo comando è sperimentale e in fase di sviluppo. Livelli di riferimento e supporto: https://aka.ms/CLI_refstatus

Ottiene tutti gli elenchi di controllo, senza elementi watchlist.

az sentinel watchlist list --resource-group
                           --workspace-name
                           [--skip-token]

Parametri necessari

--resource-group -g

Nome del gruppo di risorse. È possibile configurare il gruppo predefinito con az configure --defaults group=<name>.

--workspace-name -w

Sperimentale

Nome dell'area di lavoro.

Parametri facoltativi

--skip-token

Skiptoken viene usato solo se un'operazione precedente ha restituito un risultato parziale. Se una risposta precedente contiene un elemento nextLink, il valore dell'elemento nextLink includerà un parametro skiptoken che specifica un punto di partenza da usare per le chiamate successive. (Facoltativo).

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az sentinel watchlist show

Sperimentale

Questo comando è sperimentale e in fase di sviluppo. Livelli di riferimento e supporto: https://aka.ms/CLI_refstatus

Ottiene un watchlist, senza gli elementi watchlist.

az sentinel watchlist show [--ids]
                           [--name]
                           [--resource-group]
                           [--subscription]
                           [--workspace-name]

Parametri facoltativi

--ids

Uno o più ID della risorsa (delimitato da spazio). Deve essere un ID risorsa completo contenente tutte le informazioni degli argomenti "ID risorsa". È necessario specificare --ids o altri argomenti "ID risorsa".

--name --watchlist-alias -n

Alias watchlist.

--resource-group -g

Nome del gruppo di risorse. È possibile configurare il gruppo predefinito con az configure --defaults group=<name>.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--workspace-name -w

Sperimentale

Nome dell'area di lavoro.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az sentinel watchlist update

Sperimentale

Questo comando è sperimentale e in fase di sviluppo. Livelli di riferimento e supporto: https://aka.ms/CLI_refstatus

Aggiornare un watchlist e i relativi elementi watchlist (creazione bulk, ad esempio tramite tipo di contenuto text/csv). Per creare un watchlist e i relativi elementi, è necessario chiamare questo endpoint con rawContent o con proprietà CONTENT e contentType valide. RawContent viene usato principalmente per un watchlist di piccole dimensioni (dimensioni del contenuto inferiori a 3,8 MB). L'URI di firma di accesso condiviso consente la creazione di watchlist di grandi dimensioni, in cui le dimensioni del contenuto possono raggiungere fino a 500 MB. Lo stato dell'elaborazione di tale file di grandi dimensioni può essere eseguito tramite l'URL restituito nell'intestazione Azure-AsyncOperation.

az sentinel watchlist update [--add]
                             [--content-type]
                             [--created]
                             [--created-by]
                             [--default-duration]
                             [--description]
                             [--display-name]
                             [--etag]
                             [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                             [--ids]
                             [--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
                             [--items-search-key]
                             [--labels]
                             [--name]
                             [--provider]
                             [--raw-content]
                             [--remove]
                             [--resource-group]
                             [--set]
                             [--skip-num]
                             [--source]
                             [--source-type {Local file, Remote storage}]
                             [--subscription]
                             [--tenant-id]
                             [--updated]
                             [--updated-by]
                             [--upload-status]
                             [--watchlist-id]
                             [--watchlist-type]
                             [--workspace-name]

Parametri facoltativi

--add

Aggiungere un oggetto a un elenco di oggetti specificando un percorso e coppie chiave-valore. Esempio: --add property.listProperty <key=value, stringa o stringa> JSON.

--content-type

Tipo di contenuto del contenuto non elaborato. Esempio: testo/csv o testo/tsv.

--created

Ora di creazione dell'elenco di controllo.

--created-by

Descrive un utente che ha creato l'watchlist Support shorthand-syntax, json-file e yaml-file. Prova "??" per mostrare di più.

--default-duration

Durata predefinita di un watchlist (in formato durata ISO 8601).

--description

Descrizione dell'elenco di controllo.

--display-name

Nome visualizzato dell'elenco di controllo.

--etag

Etag della risorsa di Azure.

--force-string

Quando si usa 'set' o 'add', mantenere i valori letterali stringa anziché tentare di eseguire la conversione in JSON.

valori accettati: 0, 1, f, false, n, no, t, true, y, yes

--ids

Uno o più ID della risorsa (delimitato da spazio). Deve essere un ID risorsa completo contenente tutte le informazioni degli argomenti "ID risorsa". È necessario specificare --ids o altri argomenti "ID risorsa".

--is-deleted

Flag che indica se l'elenco di controllo viene eliminato o meno.

valori accettati: 0, 1, f, false, n, no, t, true, y, yes

--items-search-key

La chiave di ricerca viene usata per ottimizzare le prestazioni delle query quando si usano watchlist per i join con altri dati. Ad esempio, abilitare una colonna con indirizzi IP come campo SearchKey designato, quindi usare questo campo come campo chiave quando si uniscono ad altri dati dell'evento in base all'indirizzo IP.

--labels

Elenco di etichette rilevanti per questo watchlist Supportare sintassi abbreviata, json-file e yaml-file. Prova "??" per mostrare di più.

--name --watchlist-alias -n

Alias watchlist.

--provider

Provider dell'elenco di controllo.

--raw-content

Contenuto non elaborato che rappresenta gli elementi watchlist da creare. In caso di tipo di contenuto csv/tsv, si tratta del contenuto del file che verrà analizzato dall'endpoint.

--remove

Rimuovere una proprietà o un elemento da un elenco. Esempio: --remove property.list OR --remove propertyToRemove.

--resource-group -g

Nome del gruppo di risorse. È possibile configurare il gruppo predefinito con az configure --defaults group=<name>.

--set

Aggiornare un oggetto specificando un percorso di proprietà e un valore da impostare. Esempio: --set property1.property2=.

--skip-num

Numero di righe in un contenuto csv/tsv da ignorare prima dell'intestazione.

--source

Nome file dell'watchlist, denominato 'source'.

--source-type

SourceType dell'elenco di controllo.

valori accettati: Local file, Remote storage

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--tenant-id

TenantId a cui appartiene l'elenco di controllo.

--updated

Ultima volta che l'elenco di controllo è stato aggiornato.

--updated-by

Descrive un utente che ha aggiornato l'elenco espressioni di controllo Supportare sintassi abbreviata, json-file e yaml-file. Prova "??" per mostrare di più.

--upload-status

Stato del caricamento watchlist: Nuovo, InProgress o Completato. Nota pls: quando lo stato di caricamento di un watchlist è uguale a InProgress, l'elenco di controllo non può essere eliminato.

--watchlist-id

ID (guid) dell'elenco di controllo.

--watchlist-type

Tipo dell'elenco di controllo.

--workspace-name -w

Sperimentale

Nome dell'area di lavoro.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la sottoscrizione predefinita usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.