Delen via


az sentinel incident

Notitie

Deze verwijzing maakt deel uit van de sentinel-extensie voor de Azure CLI (versie 2.37.0 of hoger). De extensie installeert automatisch de eerste keer dat u een az sentinel incident-opdracht uitvoert. Meer informatie over extensies.

Incident beheren met sentinel.

Opdracht

Name Description Type Status
az sentinel incident comment

Incidentcommentaar beheren met sentinel.

Toestel GA
az sentinel incident comment create

Maak de opmerking bij het incident.

Toestel Experimenteel
az sentinel incident comment delete

Verwijder de opmerking van het incident.

Toestel Experimenteel
az sentinel incident comment list

Alle incidentopmerkingen ophalen.

Toestel Experimenteel
az sentinel incident comment show

Een incidentcommentaar ophalen.

Toestel Experimenteel
az sentinel incident comment update

Werk de opmerking van het incident bij.

Toestel Experimenteel
az sentinel incident create

Maak het incident.

Toestel Experimenteel
az sentinel incident create-team

Maak een Microsoft-team om het incident te onderzoeken door informatie en inzichten tussen deelnemers te delen.

Toestel Experimenteel
az sentinel incident delete

Verwijder het incident.

Toestel Experimenteel
az sentinel incident list

Haal alle incidenten op.

Toestel Experimenteel
az sentinel incident list-alert

Alle incidentwaarschuwingen ophalen.

Toestel Experimenteel
az sentinel incident list-bookmark

Haal alle incidentbladwijzers op.

Toestel Experimenteel
az sentinel incident list-entity

Alle incidentgerelateerde entiteiten ophalen.

Toestel Experimenteel
az sentinel incident relation

Incidentrelatie met sentinel beheren.

Toestel GA
az sentinel incident relation create

Maak de incidentrelatie.

Toestel Experimenteel
az sentinel incident relation delete

Verwijder de incidentrelatie.

Toestel Experimenteel
az sentinel incident relation list

Haal alle incidentrelaties op.

Toestel Experimenteel
az sentinel incident relation show

Een incidentrelatie ophalen.

Toestel Experimenteel
az sentinel incident relation update

Werk de incidentrelatie bij.

Toestel Experimenteel
az sentinel incident run-playbook

Playbook activeren voor een specifiek incident.

Toestel Experimenteel
az sentinel incident show

Een incident ophalen.

Toestel Experimenteel
az sentinel incident update

Werk het incident bij.

Toestel Experimenteel

az sentinel incident create

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Maak het incident.

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

Vereiste parameters

--incident-id --name -n

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Optionele parameters

--classification

De reden dat het incident is gesloten.

Geaccepteerde waarden: BenignPositive, FalsePositive, TruePositive, Undetermined
--classification-comment

Beschrijft de reden waarom het incident is gesloten.

--classification-reason

De classificatiereden waarmee het incident is gesloten.

Geaccepteerde waarden: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected
--description

De beschrijving van het incident.

--etag

Etag van de Azure-resource.

--first-activity-time-utc

De tijd van de eerste activiteit in het incident.

--labels

Lijst met labels die relevant zijn voor dit incident ondersteuning voor shorthand-syntaxis, json-file en yaml-file. Probeer '??' om meer weer te geven.

--last-activity-time-utc

De tijd van de laatste activiteit in het incident.

--owner

Beschrijft een gebruiker die het incident is toegewezen aan ondersteuning voor de syntaxis van shorthand, json-file en yaml-file. Probeer '??' om meer weer te geven.

--provider-incident-id

De incident-id die is toegewezen door de incidentprovider.

--provider-name

De naam van de bronprovider die het incident heeft gegenereerd.

--severity

De ernst van het incident.

Geaccepteerde waarden: High, Informational, Low, Medium
--status

De status van het incident.

Geaccepteerde waarden: Active, Closed, New
--title

De titel van het incident.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident create-team

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Maak een Microsoft-team om het incident te onderzoeken door informatie en inzichten tussen deelnemers te delen.

az sentinel incident create-team --incident-id
                                 --resource-group
                                 --team-name
                                 --workspace-name
                                 [--group-ids]
                                 [--member-ids]
                                 [--team-description]

Vereiste parameters

--incident-id

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--team-name

De naam van het team.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Optionele parameters

--group-ids

Lijst met groeps-id's om hun leden toe te voegen aan het team Ondersteuning shorthand-syntaxis, json-file en yaml-file. Probeer '??' om meer weer te geven.

--member-ids

Lijst met lid-id's die moeten worden toegevoegd aan het team ondersteuningssyntaxis, json-file en yaml-file. Probeer '??' om meer weer te geven.

--team-description

De beschrijving van het team.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident delete

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Verwijder het incident.

az sentinel incident delete [--ids]
                            [--incident-id]
                            [--resource-group]
                            [--subscription]
                            [--workspace-name]
                            [--yes]

Optionele parameters

--ids

Een of meer resource-id's (met spatie gescheiden). Dit moet een volledige resource-id zijn die alle informatie over de argumenten Resource-id bevat. Geef de argumenten --id's of andere resource-id's op.

--incident-id --name -n

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

--yes -y

Niet vragen om bevestiging.

Default value: False
Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident list

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Haal alle incidenten op.

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

Vereiste parameters

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Optionele parameters

--filter

Filtert de resultaten op basis van een Booleaanse voorwaarde. Optioneel.

--orderby

Sorteert de resultaten. Optioneel.

--skip-token

Skiptoken wordt alleen gebruikt als een vorige bewerking een gedeeltelijk resultaat heeft geretourneerd. Als een eerder antwoord een nextLink-element bevat, bevat de waarde van het nextLink-element een skiptokenparameter die een beginpunt aangeeft dat moet worden gebruikt voor volgende aanroepen. Optioneel.

--top

Retourneert alleen de eerste n resultaten. Optioneel.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident list-alert

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Alle incidentwaarschuwingen ophalen.

az sentinel incident list-alert --incident-id
                                --resource-group
                                --workspace-name

Vereiste parameters

--incident-id

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident list-bookmark

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Haal alle incidentbladwijzers op.

az sentinel incident list-bookmark --incident-id
                                   --resource-group
                                   --workspace-name

Vereiste parameters

--incident-id

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident list-entity

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Alle incidentgerelateerde entiteiten ophalen.

az sentinel incident list-entity --incident-id
                                 --resource-group
                                 --workspace-name

Vereiste parameters

--incident-id

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident run-playbook

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Playbook activeren voor een specifiek incident.

az sentinel incident run-playbook --incident-identifier
                                  --resource-group
                                  --workspace-name
                                  [--logic-apps-resource-id]
                                  [--tenant-id]

Vereiste parameters

--incident-identifier

Id van incident.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Optionele parameters

--logic-apps-resource-id

Resource-id van logische apps.

--tenant-id

Id van tenant.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident show

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Een incident ophalen.

az sentinel incident show [--ids]
                          [--incident-id]
                          [--resource-group]
                          [--subscription]
                          [--workspace-name]

Optionele parameters

--ids

Een of meer resource-id's (met spatie gescheiden). Dit moet een volledige resource-id zijn die alle informatie over de argumenten Resource-id bevat. Geef de argumenten --id's of andere resource-id's op.

--incident-id --name -n

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az sentinel incident update

Experimenteel

Deze opdracht is experimenteel en in ontwikkeling. Referentie- en ondersteuningsniveaus: https://aka.ms/CLI_refstatus

Werk het incident bij.

az sentinel incident update [--add]
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                            [--ids]
                            [--incident-id]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--remove]
                            [--resource-group]
                            [--set]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--subscription]
                            [--title]
                            [--workspace-name]

Optionele parameters

--add

Voeg een object toe aan een lijst met objecten door een pad- en sleutelwaardeparen op te geven. Voorbeeld: --add property.listProperty <key=value, string of JSON string>.

--classification

De reden dat het incident is gesloten.

Geaccepteerde waarden: BenignPositive, FalsePositive, TruePositive, Undetermined
--classification-comment

Beschrijft de reden waarom het incident is gesloten.

--classification-reason

De classificatiereden waarmee het incident is gesloten.

Geaccepteerde waarden: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected
--description

De beschrijving van het incident.

--etag

Etag van de Azure-resource.

--first-activity-time-utc

De tijd van de eerste activiteit in het incident.

--force-string

Wanneer u 'set' of 'toevoegen' gebruikt, behoudt u letterlijke tekenreeksen in plaats van te converteren naar JSON.

Geaccepteerde waarden: 0, 1, f, false, n, no, t, true, y, yes
--ids

Een of meer resource-id's (met spatie gescheiden). Dit moet een volledige resource-id zijn die alle informatie over de argumenten Resource-id bevat. Geef de argumenten --id's of andere resource-id's op.

--incident-id --name -n

Incident-id.

--labels

Lijst met labels die relevant zijn voor dit incident ondersteuning voor shorthand-syntaxis, json-file en yaml-file. Probeer '??' om meer weer te geven.

--last-activity-time-utc

De tijd van de laatste activiteit in het incident.

--owner

Beschrijft een gebruiker die het incident is toegewezen aan ondersteuning voor de syntaxis van shorthand, json-file en yaml-file. Probeer '??' om meer weer te geven.

--provider-incident-id

De incident-id die is toegewezen door de incidentprovider.

--provider-name

De naam van de bronprovider die het incident heeft gegenereerd.

--remove

Een eigenschap of element uit een lijst verwijderen. Voorbeeld: --remove property.list OR --remove propertyToRemove.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met behulp van az configure --defaults group=<name>.

--set

Werk een object bij door een eigenschapspad en waarde op te geven die u wilt instellen. Voorbeeld: --set property1.property2=.

--severity

De ernst van het incident.

Geaccepteerde waarden: High, Informational, Low, Medium
--status

De status van het incident.

Geaccepteerde waarden: Active, Closed, New
--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--title

De titel van het incident.

--workspace-name -w
Experimenteel

De naam van de werkruimte.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.