Incidents - List

Referência

Serviço:: Sentinel

Versão da API:: 2024-01-01-preview

Obtém todos os incidentes.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-01-01-preview

Com parâmetros opcionais:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-01-01-preview&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}

Parâmetros de URI

Nome	Em	Obrigatório	Tipo	Description
resourceGroupName	path	True	string	O nome do grupo de recursos. O nome não diferencia maiúsculas de minúsculas.
subscriptionId	path	True	string	A ID da assinatura de destino.
workspaceName	path	True	string	O nome do workspace. Padrão Regex: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	A versão da API a ser usada para esta operação.
$filter	query		string	Filtra os resultados, com base em uma condição booliana. Opcional.
$orderby	query		string	Classifica os resultados. Opcional.
$skipToken	query		string	Skiptoken só será usado se uma operação anterior retornar um resultado parcial. Se uma resposta anterior contiver um elemento nextLink, o valor do elemento nextLink incluirá um parâmetro skiptoken que especifica um ponto de partida a ser usado para chamadas subsequentes. Opcional.
$top	query		integer int32	Retorna apenas os primeiros n resultados. Opcional.

Respostas

Nome	Tipo	Description
200 OK	IncidentList	OKEY
Other Status Codes	CloudError	Resposta de erro que descreve por que a operação falhou.

Segurança

azure_auth

Fluxo OAuth2 do Azure Active Directory

Tipo: oauth2
Flow: implicit
URL de Autorização: https://login.microsoftonline.com/common/oauth2/authorize

Escopos

Nome	Description
user_impersonation	representar sua conta de usuário

Exemplos

Incidents_List

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-01-01-preview&$orderby=properties/createdTimeUtc desc&$top=1

using Azure;
using Azure.ResourceManager;
using System;
using System.Threading.Tasks;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager.SecurityInsights;

// Generated from example definition: specification/securityinsights/resource-manager/Microsoft.SecurityInsights/preview/2024-01-01-preview/examples/incidents/Incidents_List.json
// this example is just showing the usage of "Incidents_List" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this OperationalInsightsWorkspaceSecurityInsightsResource created on azure
// for more information of creating OperationalInsightsWorkspaceSecurityInsightsResource, please refer to the document of OperationalInsightsWorkspaceSecurityInsightsResource
string subscriptionId = "d0cfe6b2-9ac0-4464-9919-dccaee2e48c0";
string resourceGroupName = "myRg";
string workspaceName = "myWorkspace";
ResourceIdentifier operationalInsightsWorkspaceSecurityInsightsResourceId = OperationalInsightsWorkspaceSecurityInsightsResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, workspaceName);
OperationalInsightsWorkspaceSecurityInsightsResource operationalInsightsWorkspaceSecurityInsights = client.GetOperationalInsightsWorkspaceSecurityInsightsResource(operationalInsightsWorkspaceSecurityInsightsResourceId);

// get the collection of this SecurityInsightsIncidentResource
SecurityInsightsIncidentCollection collection = operationalInsightsWorkspaceSecurityInsights.GetSecurityInsightsIncidents();

// invoke the operation and iterate over the result
string orderBy = "properties/createdTimeUtc desc";
int? top = 1;
await foreach (SecurityInsightsIncidentResource item in collection.GetAllAsync(orderBy: orderBy, top: top))
{
    // the variable item is a resource, you could call other operations on this instance as well
    // but just for demo, we get its data from this resource instance
    SecurityInsightsIncidentData resourceData = item.Data;
    // for demo we just print out the id
    Console.WriteLine($"Succeeded on id: {resourceData.Id}");
}

Console.WriteLine($"Succeeded");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Resposta de exemplo

Código de status:: 200

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "type": "Microsoft.SecurityInsights/incidents",
      "properties": {
        "title": "My incident",
        "description": "This is a demo incident",
        "severity": "High",
        "status": "Closed",
        "classification": "FalsePositive",
        "classificationReason": "InaccurateData",
        "classificationComment": "Not a malicious activity",
        "owner": {
          "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
          "email": "john.doe@contoso.com",
          "assignedTo": "john doe",
          "userPrincipalName": "john@contoso.com",
          "ownerType": "User"
        },
        "labels": [],
        "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
        "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
        "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
        "createdTimeUtc": "2019-01-01T13:15:30Z",
        "incidentNumber": 3177,
        "additionalData": {
          "alertsCount": 0,
          "bookmarksCount": 0,
          "commentsCount": 3,
          "alertProductNames": [],
          "tactics": [
            "InitialAccess",
            "Persistence"
          ],
          "techniques": [
            "T1091",
            "T1133",
            "T1053"
          ],
          "providerIncidentUrl": "https://security.microsoft.com/incidents/3177?tid=5b5a146c-eba8-46af-96f8-e31b50d15a3f"
        },
        "relatedAnalyticRuleIds": [
          "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
        ],
        "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
        "providerName": "Azure Sentinel",
        "providerIncidentId": "3177"
      }
    }
  ]
}

Definições

Nome	Description
AttackTactic	A gravidade dos alertas criados por essa regra de alerta.
CloudError	Estrutura de resposta de erro.
CloudErrorBody	Detalhes do erro.
createdByType	O tipo de identidade que criou o recurso.
Incident
IncidentAdditionalData	Recipiente de propriedades de dados adicionais de incidentes.
IncidentClassification	A razão pela qual o incidente foi fechado
IncidentClassificationReason	O motivo de classificação com o qual o incidente foi fechado
IncidentLabel	Representa um rótulo de incidente
IncidentLabelType	O tipo do rótulo
IncidentList	Liste todos os incidentes.
IncidentOwnerInfo	Informações sobre o usuário às quais um incidente é atribuído
IncidentSeverity	A gravidade do incidente
IncidentStatus	O status do incidente
OwnerType	O tipo do proprietário ao qual o incidente é atribuído.
systemData	Metadados relativos à criação e última modificação do recurso.
TeamInformation	Descreve as informações da equipe

AttackTactic

Enumeration

A gravidade dos alertas criados por essa regra de alerta.

Valor	Description
Collection
CommandAndControl
CredentialAccess
DefenseEvasion
Discovery
Execution
Exfiltration
Impact
ImpairProcessControl
InhibitResponseFunction
InitialAccess
LateralMovement
Persistence
PreAttack
PrivilegeEscalation
Reconnaissance
ResourceDevelopment

CloudError

Object

Estrutura de resposta de erro.

Nome	Tipo	Description
error	CloudErrorBody	Dados de erro

CloudErrorBody

Object

Detalhes do erro.

Nome	Tipo	Description
code	string	Um identificador para o erro. Os códigos são invariáveis e devem ser consumidos programaticamente.
message	string	Uma mensagem que descreve o erro, destinada a ser adequada para exibição em uma interface do usuário.

createdByType

Enumeration

O tipo de identidade que criou o recurso.

Valor	Description
Application
Key
ManagedIdentity
User

Incident

Object

Nome	Tipo	Description
etag	string	Etag do recurso do azure
id	string	ID de recurso totalmente qualificada para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}"
name	string	O nome do recurso
properties.additionalData	IncidentAdditionalData	Dados adicionais sobre o incidente
properties.classification	IncidentClassification	A razão pela qual o incidente foi fechado
properties.classificationComment	string	Descreve o motivo pelo qual o incidente foi fechado
properties.classificationReason	IncidentClassificationReason	O motivo de classificação com o qual o incidente foi fechado
properties.createdTimeUtc	string	A hora em que o incidente foi criado
properties.description	string	A descrição do incidente
properties.firstActivityTimeUtc	string	A hora da primeira atividade no incidente
properties.incidentNumber	integer	Um número sequencial
properties.incidentUrl	string	A URL de link profundo para o incidente no portal do Azure
properties.labels	IncidentLabel[]	Lista de rótulos relevantes para este incidente
properties.lastActivityTimeUtc	string	A hora da última atividade no incidente
properties.lastModifiedTimeUtc	string	A última vez que o incidente foi atualizado
properties.owner	IncidentOwnerInfo	Descreve um usuário ao qual o incidente é atribuído
properties.providerIncidentId	string	A ID do incidente atribuída pelo provedor de incidentes
properties.providerName	string	O nome do provedor de origem que gerou o incidente
properties.relatedAnalyticRuleIds	string[]	Lista de IDs de recursos de regras de análise relacionadas ao incidente
properties.severity	IncidentSeverity	A gravidade do incidente
properties.status	IncidentStatus	O status do incidente
properties.teamInformation	TeamInformation	Descreve uma equipe para o incidente
properties.title	string	O título do incidente
systemData	systemData	Metadados do Azure Resource Manager que contêm informações createdBy e modifiedBy.
type	string	O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

Object

Recipiente de propriedades de dados adicionais de incidentes.

Nome	Tipo	Description
alertProductNames	string[]	Lista de nomes de produtos de alertas no incidente
alertsCount	integer	O número de alertas no incidente
bookmarksCount	integer	O número de indicadores no incidente
commentsCount	integer	O número de comentários no incidente
providerIncidentUrl	string	A URL de incidente do provedor para o incidente no portal do Microsoft 365 Defender
tactics	AttackTactic[]	As táticas associadas ao incidente
techniques	string[]	As técnicas associadas às táticas do incidente

IncidentClassification

Enumeration

A razão pela qual o incidente foi fechado

Valor	Description
BenignPositive	Incidente positivo benigno
FalsePositive	Incidente foi falso positivo
TruePositive	O incidente foi verdadeiro positivo
Undetermined	A classificação de incidentes não foi determinada

IncidentClassificationReason

Enumeration

O motivo de classificação com o qual o incidente foi fechado

Valor	Description
InaccurateData	O motivo da classificação foram dados imprecisos
IncorrectAlertLogic	O motivo da classificação foi a lógica de alerta incorreta
SuspiciousActivity	O motivo da classificação foi atividade suspeita
SuspiciousButExpected	O motivo da classificação era suspeito, mas esperado

IncidentLabel

Object

Representa um rótulo de incidente

Nome	Tipo	Description
labelName	string	O nome do rótulo
labelType	IncidentLabelType	O tipo do rótulo

IncidentLabelType

Enumeration

O tipo do rótulo

Valor	Description
AutoAssigned	Rótulo criado automaticamente pelo sistema
User	Rótulo criado manualmente por um usuário

IncidentList

Object

Liste todos os incidentes.

Nome	Tipo	Description
nextLink	string	URL para buscar o próximo conjunto de incidentes.
value	Incident[]

IncidentOwnerInfo

Object

Informações sobre o usuário às quais um incidente é atribuído

Nome	Tipo	Description
assignedTo	string	O nome do usuário ao qual o incidente é atribuído.
email	string	O email do usuário ao qual o incidente é atribuído.
objectId	string	A ID do objeto do usuário à qual o incidente é atribuído.
ownerType	OwnerType	O tipo do proprietário ao qual o incidente é atribuído.
userPrincipalName	string	O nome principal do usuário ao qual o incidente é atribuído.

IncidentSeverity

Enumeration

A gravidade do incidente

Valor	Description
High	Alta gravidade
Informational	Severidade informativa
Low	Baixa gravidade
Medium	Gravidade média

IncidentStatus

Enumeration

O status do incidente

Valor	Description
Active	Um incidente ativo que está sendo tratado
Closed	Um incidente não ativo
New	Um incidente ativo que não está sendo tratado no momento

OwnerType

Enumeration

O tipo do proprietário ao qual o incidente é atribuído.

Valor	Description
Group	O tipo de proprietário do incidente é um grupo do AAD
Unknown	O tipo de proprietário do incidente é desconhecido
User	O tipo de proprietário do incidente é um usuário do AAD

systemData

Object

Metadados relativos à criação e última modificação do recurso.

Nome	Tipo	Description
createdAt	string	O carimbo de data/hora da criação de recursos (UTC).
createdBy	string	A identidade que criou o recurso.
createdByType	createdByType	O tipo de identidade que criou o recurso.
lastModifiedAt	string	O carimbo de data/hora da última modificação do recurso (UTC)
lastModifiedBy	string	A identidade que modificou o recurso pela última vez.
lastModifiedByType	createdByType	O tipo de identidade que modificou o recurso pela última vez.

TeamInformation

Object

Descreve as informações da equipe

Nome	Tipo	Description
description	string	A descrição da equipe
name	string	O nome da equipe
primaryChannelUrl	string	A URL do canal primário da equipe
teamCreationTimeUtc	string	A hora em que a equipe foi criada
teamId	string	ID da equipe

Compartilhar via

Incidents - List

Parâmetros de URI

Respostas

Segurança

azure_auth

Escopos

Exemplos

Incidents_List

Solicitação de exemplo

Resposta de exemplo

Definições

AttackTactic

CloudError

CloudErrorBody

createdByType

Incident

IncidentAdditionalData

IncidentClassification

IncidentClassificationReason

IncidentLabel

IncidentLabelType

IncidentList

IncidentOwnerInfo

IncidentSeverity

IncidentStatus

OwnerType

systemData

TeamInformation

Recursos adicionais