次の方法で共有


Incidents - List

すべてのインシデントを取得します。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}

URI パラメーター

名前 / 必須 説明
resourceGroupName
path True

string

リソース グループの名前。 名前の大文字と小文字は区別されます。

subscriptionId
path True

string

uuid

ターゲット サブスクリプションの ID。 値は UUID である必要があります。

workspaceName
path True

string

ワークスペースの名前。

正規表現パターン: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

この操作に使用する API バージョン。

$filter
query

string

ブール条件に基づいて結果をフィルター処理します。 省略可能。

$orderby
query

string

結果を並べ替えます。 省略可能。

$skipToken
query

string

Skiptoken は、前の操作で部分的な結果が返された場合にのみ使用されます。 前の応答に nextLink 要素が含まれている場合、nextLink 要素の値には、後続の呼び出しに使用する開始点を指定する skiptoken パラメーターが含まれます。 省略可能。

$top
query

integer

int32

最初の n 個の結果のみを返します。 省略可能。

応答

名前 説明
200 OK

IncidentList

OK、操作が正常に完了しました

Other Status Codes

CloudError

操作に失敗した理由を説明するエラー応答。

セキュリティ

azure_auth

Azure Active Directory OAuth2 フロー

型: oauth2
フロー: implicit
Authorization URL (承認 URL): https://login.microsoftonline.com/common/oauth2/authorize

スコープ

名前 説明
user_impersonation ユーザー アカウントの借用

Get all incidents.

要求のサンプル

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1

応答のサンプル

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "type": "Microsoft.SecurityInsights/incidents",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
        "createdTimeUtc": "2019-01-01T13:15:30Z",
        "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
        "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
        "description": "This is a demo incident",
        "title": "My incident",
        "owner": {
          "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
          "email": "john.doe@contoso.com",
          "userPrincipalName": "john@contoso.com",
          "assignedTo": "john doe"
        },
        "severity": "High",
        "classification": "FalsePositive",
        "classificationComment": "Not a malicious activity",
        "classificationReason": "IncorrectAlertLogic",
        "status": "Closed",
        "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
        "incidentNumber": 3177,
        "labels": [],
        "providerName": "Azure Sentinel",
        "providerIncidentId": "3177",
        "relatedAnalyticRuleIds": [
          "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
          "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
        ],
        "additionalData": {
          "alertsCount": 0,
          "bookmarksCount": 0,
          "commentsCount": 3,
          "alertProductNames": [],
          "tactics": [
            "Persistence"
          ]
        }
      }
    }
  ]
}

定義

名前 説明
AttackTactic

このアラート ルールによって作成されたアラートの重大度。

CloudError

エラー応答の構造。

CloudErrorBody

エラーの詳細。

createdByType

リソースを作成した ID の種類。

Incident

Azure Security Insights のインシデントを表します。

IncidentAdditionalData

インシデントの追加データ プロパティ バッグ。

IncidentClassification

インシデントが閉じられた理由

IncidentClassificationReason

インシデントが閉じられた分類の理由

IncidentLabel

インシデント ラベルを表します

IncidentLabelType

ラベルの種類

IncidentList

すべてのインシデントを一覧表示します。

IncidentOwnerInfo

インシデントが割り当てられているユーザーに関する情報

IncidentSeverity

インシデントの重大度

IncidentStatus

インシデントの状態

OwnerType

インシデントが割り当てられている所有者の種類。

systemData

リソースの作成と最後の変更に関連するメタデータ。

AttackTactic

このアラート ルールによって作成されたアラートの重大度。

名前 説明
Collection

string

CommandAndControl

string

CredentialAccess

string

DefenseEvasion

string

Discovery

string

Execution

string

Exfiltration

string

Impact

string

ImpairProcessControl

string

InhibitResponseFunction

string

InitialAccess

string

LateralMovement

string

Persistence

string

PreAttack

string

PrivilegeEscalation

string

Reconnaissance

string

ResourceDevelopment

string

CloudError

エラー応答の構造。

名前 説明
error

CloudErrorBody

エラー データ

CloudErrorBody

エラーの詳細。

名前 説明
code

string

エラーの識別子。 コードは不変であり、プログラムによって使用されることを意図しています。

message

string

ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。

createdByType

リソースを作成した ID の種類。

名前 説明
Application

string

Key

string

ManagedIdentity

string

User

string

Incident

Azure Security Insights のインシデントを表します。

名前 説明
etag

string

Azure リソースの Etag

id

string

リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

name

string

リソースの名前

properties.additionalData

IncidentAdditionalData

インシデントに関する追加データ

properties.classification

IncidentClassification

インシデントが閉じられた理由

properties.classificationComment

string

インシデントが閉じられた理由について説明します

properties.classificationReason

IncidentClassificationReason

インシデントが閉じられた分類の理由

properties.createdTimeUtc

string

インシデントが作成された時刻

properties.description

string

インシデントの説明

properties.firstActivityTimeUtc

string

インシデントの最初のアクティビティの時刻

properties.incidentNumber

integer

連続する数値

properties.incidentUrl

string

Azure portalのインシデントへのディープ リンク URL

properties.labels

IncidentLabel[]

このインシデントに関連するラベルの一覧

properties.lastActivityTimeUtc

string

インシデントの最後のアクティビティの時刻

properties.lastModifiedTimeUtc

string

インシデントが最後に更新された時刻

properties.owner

IncidentOwnerInfo

インシデントが割り当てられているユーザーについて説明します

properties.providerIncidentId

string

インシデント プロバイダーによって割り当てられたインシデント ID

properties.providerName

string

インシデントを生成したソース プロバイダーの名前

properties.relatedAnalyticRuleIds

string[]

インシデントに関連する分析ルールのリソース ID の一覧

properties.severity

IncidentSeverity

インシデントの重大度

properties.status

IncidentStatus

インシデントの状態

properties.title

string

インシデントのタイトル

systemData

systemData

createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。

type

string

リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

インシデントの追加データ プロパティ バッグ。

名前 説明
alertProductNames

string[]

インシデント内のアラートの製品名の一覧

alertsCount

integer

インシデント内のアラートの数

bookmarksCount

integer

インシデント内のブックマークの数

commentsCount

integer

インシデント内のコメントの数

providerIncidentUrl

string

Microsoft 365 Defender ポータルのインシデントのプロバイダー インシデント URL

tactics

AttackTactic[]

インシデントに関連する戦術

IncidentClassification

インシデントが閉じられた理由

名前 説明
BenignPositive

string

インシデントは無害な陽性でした

FalsePositive

string

インシデントが誤検知

TruePositive

string

インシデントは真陽性でした

Undetermined

string

インシデント分類が未確定

IncidentClassificationReason

インシデントが閉じられた分類の理由

名前 説明
InaccurateData

string

分類の理由が不正確なデータでした

IncorrectAlertLogic

string

分類の理由が正しくないアラート ロジックでした

SuspiciousActivity

string

分類の理由が疑わしいアクティビティでした

SuspiciousButExpected

string

分類の理由は疑わしいが、予想される

IncidentLabel

インシデント ラベルを表します

名前 説明
labelName

string

ラベルの名前

labelType

IncidentLabelType

ラベルの種類

IncidentLabelType

ラベルの種類

名前 説明
AutoAssigned

string

システムによって自動的に作成されるラベル

User

string

ユーザーが手動で作成したラベル

IncidentList

すべてのインシデントを一覧表示します。

名前 説明
nextLink

string

次のインシデントのセットをフェッチする URL。

value

Incident[]

インシデントの配列。

IncidentOwnerInfo

インシデントが割り当てられているユーザーに関する情報

名前 説明
assignedTo

string

インシデントが割り当てられているユーザーの名前。

email

string

インシデントが割り当てられているユーザーのメール。

objectId

string

インシデントが割り当てられているユーザーのオブジェクト ID。

ownerType

OwnerType

インシデントが割り当てられている所有者の種類。

userPrincipalName

string

インシデントが割り当てられているユーザーのユーザー プリンシパル名。

IncidentSeverity

インシデントの重大度

名前 説明
High

string

重要度レベル****

Informational

string

情報の重要度

Low

string

重大度: 低

Medium

string

重要度レベル****

IncidentStatus

インシデントの状態

名前 説明
Active

string

処理されているアクティブなインシデント

Closed

string

アクティブでないインシデント

New

string

現在処理されていないアクティブなインシデント

OwnerType

インシデントが割り当てられている所有者の種類。

名前 説明
Group

string

インシデント所有者の種類は AAD グループです

Unknown

string

インシデント所有者の種類が不明です

User

string

インシデント所有者の種類は AAD ユーザーです

systemData

リソースの作成と最後の変更に関連するメタデータ。

名前 説明
createdAt

string

リソース作成のタイムスタンプ (UTC)。

createdBy

string

リソースを作成した ID。

createdByType

createdByType

リソースを作成した ID の種類。

lastModifiedAt

string

リソースの最終変更のタイムスタンプ (UTC)

lastModifiedBy

string

リソースを最後に変更した ID。

lastModifiedByType

createdByType

リソースを最後に変更した ID の種類。