Incidents - List
すべてのインシデントを取得します。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}
URI パラメーター
名前 | / | 必須 | 型 | 説明 |
---|---|---|---|---|
resource
|
path | True |
string |
リソース グループの名前。 名前の大文字と小文字は区別されます。 |
subscription
|
path | True |
string uuid |
ターゲット サブスクリプションの ID。 値は UUID である必要があります。 |
workspace
|
path | True |
string |
ワークスペースの名前。 正規表現パターン: |
api-version
|
query | True |
string |
この操作に使用する API バージョン。 |
$filter
|
query |
string |
ブール条件に基づいて結果をフィルター処理します。 省略可能。 |
|
$orderby
|
query |
string |
結果を並べ替えます。 省略可能。 |
|
$skip
|
query |
string |
Skiptoken は、前の操作で部分的な結果が返された場合にのみ使用されます。 前の応答に nextLink 要素が含まれている場合、nextLink 要素の値には、後続の呼び出しに使用する開始点を指定する skiptoken パラメーターが含まれます。 省略可能。 |
|
$top
|
query |
integer int32 |
最初の n 個の結果のみを返します。 省略可能。 |
応答
名前 | 型 | 説明 |
---|---|---|
200 OK |
OK、操作が正常に完了しました |
|
Other Status Codes |
操作に失敗した理由を説明するエラー応答。 |
セキュリティ
azure_auth
Azure Active Directory OAuth2 フロー
型:
oauth2
フロー:
implicit
Authorization URL (承認 URL):
https://login.microsoftonline.com/common/oauth2/authorize
スコープ
名前 | 説明 |
---|---|
user_impersonation | ユーザー アカウントの借用 |
例
Get all incidents.
要求のサンプル
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1
応答のサンプル
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}
定義
名前 | 説明 |
---|---|
Attack |
このアラート ルールによって作成されたアラートの重大度。 |
Cloud |
エラー応答の構造。 |
Cloud |
エラーの詳細。 |
created |
リソースを作成した ID の種類。 |
Incident |
Azure Security Insights のインシデントを表します。 |
Incident |
インシデントの追加データ プロパティ バッグ。 |
Incident |
インシデントが閉じられた理由 |
Incident |
インシデントが閉じられた分類の理由 |
Incident |
インシデント ラベルを表します |
Incident |
ラベルの種類 |
Incident |
すべてのインシデントを一覧表示します。 |
Incident |
インシデントが割り当てられているユーザーに関する情報 |
Incident |
インシデントの重大度 |
Incident |
インシデントの状態 |
Owner |
インシデントが割り当てられている所有者の種類。 |
system |
リソースの作成と最後の変更に関連するメタデータ。 |
AttackTactic
このアラート ルールによって作成されたアラートの重大度。
名前 | 型 | 説明 |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
エラー応答の構造。
名前 | 型 | 説明 |
---|---|---|
error |
エラー データ |
CloudErrorBody
エラーの詳細。
名前 | 型 | 説明 |
---|---|---|
code |
string |
エラーの識別子。 コードは不変であり、プログラムによって使用されることを意図しています。 |
message |
string |
ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。 |
createdByType
リソースを作成した ID の種類。
名前 | 型 | 説明 |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Azure Security Insights のインシデントを表します。
名前 | 型 | 説明 |
---|---|---|
etag |
string |
Azure リソースの Etag |
id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
リソースの名前 |
properties.additionalData |
インシデントに関する追加データ |
|
properties.classification |
インシデントが閉じられた理由 |
|
properties.classificationComment |
string |
インシデントが閉じられた理由について説明します |
properties.classificationReason |
インシデントが閉じられた分類の理由 |
|
properties.createdTimeUtc |
string |
インシデントが作成された時刻 |
properties.description |
string |
インシデントの説明 |
properties.firstActivityTimeUtc |
string |
インシデントの最初のアクティビティの時刻 |
properties.incidentNumber |
integer |
連続する数値 |
properties.incidentUrl |
string |
Azure portalのインシデントへのディープ リンク URL |
properties.labels |
このインシデントに関連するラベルの一覧 |
|
properties.lastActivityTimeUtc |
string |
インシデントの最後のアクティビティの時刻 |
properties.lastModifiedTimeUtc |
string |
インシデントが最後に更新された時刻 |
properties.owner |
インシデントが割り当てられているユーザーについて説明します |
|
properties.providerIncidentId |
string |
インシデント プロバイダーによって割り当てられたインシデント ID |
properties.providerName |
string |
インシデントを生成したソース プロバイダーの名前 |
properties.relatedAnalyticRuleIds |
string[] |
インシデントに関連する分析ルールのリソース ID の一覧 |
properties.severity |
インシデントの重大度 |
|
properties.status |
インシデントの状態 |
|
properties.title |
string |
インシデントのタイトル |
systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
インシデントの追加データ プロパティ バッグ。
名前 | 型 | 説明 |
---|---|---|
alertProductNames |
string[] |
インシデント内のアラートの製品名の一覧 |
alertsCount |
integer |
インシデント内のアラートの数 |
bookmarksCount |
integer |
インシデント内のブックマークの数 |
commentsCount |
integer |
インシデント内のコメントの数 |
providerIncidentUrl |
string |
Microsoft 365 Defender ポータルのインシデントのプロバイダー インシデント URL |
tactics |
インシデントに関連する戦術 |
IncidentClassification
インシデントが閉じられた理由
名前 | 型 | 説明 |
---|---|---|
BenignPositive |
string |
インシデントは無害な陽性でした |
FalsePositive |
string |
インシデントが誤検知 |
TruePositive |
string |
インシデントは真陽性でした |
Undetermined |
string |
インシデント分類が未確定 |
IncidentClassificationReason
インシデントが閉じられた分類の理由
名前 | 型 | 説明 |
---|---|---|
InaccurateData |
string |
分類の理由が不正確なデータでした |
IncorrectAlertLogic |
string |
分類の理由が正しくないアラート ロジックでした |
SuspiciousActivity |
string |
分類の理由が疑わしいアクティビティでした |
SuspiciousButExpected |
string |
分類の理由は疑わしいが、予想される |
IncidentLabel
インシデント ラベルを表します
名前 | 型 | 説明 |
---|---|---|
labelName |
string |
ラベルの名前 |
labelType |
ラベルの種類 |
IncidentLabelType
ラベルの種類
名前 | 型 | 説明 |
---|---|---|
AutoAssigned |
string |
システムによって自動的に作成されるラベル |
User |
string |
ユーザーが手動で作成したラベル |
IncidentList
すべてのインシデントを一覧表示します。
名前 | 型 | 説明 |
---|---|---|
nextLink |
string |
次のインシデントのセットをフェッチする URL。 |
value |
Incident[] |
インシデントの配列。 |
IncidentOwnerInfo
インシデントが割り当てられているユーザーに関する情報
名前 | 型 | 説明 |
---|---|---|
assignedTo |
string |
インシデントが割り当てられているユーザーの名前。 |
string |
インシデントが割り当てられているユーザーのメール。 |
|
objectId |
string |
インシデントが割り当てられているユーザーのオブジェクト ID。 |
ownerType |
インシデントが割り当てられている所有者の種類。 |
|
userPrincipalName |
string |
インシデントが割り当てられているユーザーのユーザー プリンシパル名。 |
IncidentSeverity
インシデントの重大度
名前 | 型 | 説明 |
---|---|---|
High |
string |
重要度レベル |
Informational |
string |
情報の重要度 |
Low |
string |
重大度: 低 |
Medium |
string |
重要度レベル |
IncidentStatus
インシデントの状態
名前 | 型 | 説明 |
---|---|---|
Active |
string |
処理されているアクティブなインシデント |
Closed |
string |
アクティブでないインシデント |
New |
string |
現在処理されていないアクティブなインシデント |
OwnerType
インシデントが割り当てられている所有者の種類。
名前 | 型 | 説明 |
---|---|---|
Group |
string |
インシデント所有者の種類は AAD グループです |
Unknown |
string |
インシデント所有者の種類が不明です |
User |
string |
インシデント所有者の種類は AAD ユーザーです |
systemData
リソースの作成と最後の変更に関連するメタデータ。
名前 | 型 | 説明 |
---|---|---|
createdAt |
string |
リソース作成のタイムスタンプ (UTC)。 |
createdBy |
string |
リソースを作成した ID。 |
createdByType |
リソースを作成した ID の種類。 |
|
lastModifiedAt |
string |
リソースの最終変更のタイムスタンプ (UTC) |
lastModifiedBy |
string |
リソースを最後に変更した ID。 |
lastModifiedByType |
リソースを最後に変更した ID の種類。 |