Compartilhar via


Incidents - List

Obtém todos os incidentes.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-01-01-preview
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-01-01-preview&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}

Parâmetros de URI

Nome Em Obrigatório Tipo Description
resourceGroupName
path True

string

O nome do grupo de recursos. O nome não diferencia maiúsculas de minúsculas.

subscriptionId
path True

string

A ID da assinatura de destino.

workspaceName
path True

string

O nome do workspace.

Padrão Regex: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

A versão da API a ser usada para esta operação.

$filter
query

string

Filtra os resultados, com base em uma condição booliana. Opcional.

$orderby
query

string

Classifica os resultados. Opcional.

$skipToken
query

string

Skiptoken só será usado se uma operação anterior retornar um resultado parcial. Se uma resposta anterior contiver um elemento nextLink, o valor do elemento nextLink incluirá um parâmetro skiptoken que especifica um ponto de partida a ser usado para chamadas subsequentes. Opcional.

$top
query

integer

int32

Retorna apenas os primeiros n resultados. Opcional.

Respostas

Nome Tipo Description
200 OK

IncidentList

OKEY

Other Status Codes

CloudError

Resposta de erro que descreve por que a operação falhou.

Segurança

azure_auth

Fluxo OAuth2 do Azure Active Directory

Tipo: oauth2
Flow: implicit
URL de Autorização: https://login.microsoftonline.com/common/oauth2/authorize

Escopos

Nome Description
user_impersonation representar sua conta de usuário

Exemplos

Incidents_List

Solicitação de exemplo

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-01-01-preview&$orderby=properties/createdTimeUtc desc&$top=1

Resposta de exemplo

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "type": "Microsoft.SecurityInsights/incidents",
      "properties": {
        "title": "My incident",
        "description": "This is a demo incident",
        "severity": "High",
        "status": "Closed",
        "classification": "FalsePositive",
        "classificationReason": "InaccurateData",
        "classificationComment": "Not a malicious activity",
        "owner": {
          "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
          "email": "john.doe@contoso.com",
          "assignedTo": "john doe",
          "userPrincipalName": "john@contoso.com",
          "ownerType": "User"
        },
        "labels": [],
        "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
        "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
        "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
        "createdTimeUtc": "2019-01-01T13:15:30Z",
        "incidentNumber": 3177,
        "additionalData": {
          "alertsCount": 0,
          "bookmarksCount": 0,
          "commentsCount": 3,
          "alertProductNames": [],
          "tactics": [
            "InitialAccess",
            "Persistence"
          ],
          "techniques": [
            "T1091",
            "T1133",
            "T1053"
          ],
          "providerIncidentUrl": "https://security.microsoft.com/incidents/3177?tid=5b5a146c-eba8-46af-96f8-e31b50d15a3f"
        },
        "relatedAnalyticRuleIds": [
          "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7"
        ],
        "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
        "providerName": "Azure Sentinel",
        "providerIncidentId": "3177"
      }
    }
  ]
}

Definições

Nome Description
AttackTactic

A gravidade dos alertas criados por essa regra de alerta.

CloudError

Estrutura de resposta de erro.

CloudErrorBody

Detalhes do erro.

createdByType

O tipo de identidade que criou o recurso.

Incident
IncidentAdditionalData

Recipiente de propriedades de dados adicionais de incidentes.

IncidentClassification

A razão pela qual o incidente foi fechado

IncidentClassificationReason

O motivo de classificação com o qual o incidente foi fechado

IncidentLabel

Representa um rótulo de incidente

IncidentLabelType

O tipo do rótulo

IncidentList

Liste todos os incidentes.

IncidentOwnerInfo

Informações sobre o usuário às quais um incidente é atribuído

IncidentSeverity

A gravidade do incidente

IncidentStatus

O status do incidente

OwnerType

O tipo do proprietário ao qual o incidente é atribuído.

systemData

Metadados relativos à criação e última modificação do recurso.

TeamInformation

Descreve as informações da equipe

AttackTactic

A gravidade dos alertas criados por essa regra de alerta.

Valor Description
Collection
CommandAndControl
CredentialAccess
DefenseEvasion
Discovery
Execution
Exfiltration
Impact
ImpairProcessControl
InhibitResponseFunction
InitialAccess
LateralMovement
Persistence
PreAttack
PrivilegeEscalation
Reconnaissance
ResourceDevelopment

CloudError

Estrutura de resposta de erro.

Nome Tipo Description
error

CloudErrorBody

Dados de erro

CloudErrorBody

Detalhes do erro.

Nome Tipo Description
code

string

Um identificador para o erro. Os códigos são invariáveis e devem ser consumidos programaticamente.

message

string

Uma mensagem que descreve o erro, destinada a ser adequada para exibição em uma interface do usuário.

createdByType

O tipo de identidade que criou o recurso.

Valor Description
Application
Key
ManagedIdentity
User

Incident

Nome Tipo Description
etag

string

Etag do recurso do azure

id

string

ID de recurso totalmente qualificada para o recurso. Por exemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}"

name

string

O nome do recurso

properties.additionalData

IncidentAdditionalData

Dados adicionais sobre o incidente

properties.classification

IncidentClassification

A razão pela qual o incidente foi fechado

properties.classificationComment

string

Descreve o motivo pelo qual o incidente foi fechado

properties.classificationReason

IncidentClassificationReason

O motivo de classificação com o qual o incidente foi fechado

properties.createdTimeUtc

string

A hora em que o incidente foi criado

properties.description

string

A descrição do incidente

properties.firstActivityTimeUtc

string

A hora da primeira atividade no incidente

properties.incidentNumber

integer

Um número sequencial

properties.incidentUrl

string

A URL de link profundo para o incidente no portal do Azure

properties.labels

IncidentLabel[]

Lista de rótulos relevantes para este incidente

properties.lastActivityTimeUtc

string

A hora da última atividade no incidente

properties.lastModifiedTimeUtc

string

A última vez que o incidente foi atualizado

properties.owner

IncidentOwnerInfo

Descreve um usuário ao qual o incidente é atribuído

properties.providerIncidentId

string

A ID do incidente atribuída pelo provedor de incidentes

properties.providerName

string

O nome do provedor de origem que gerou o incidente

properties.relatedAnalyticRuleIds

string[]

Lista de IDs de recursos de regras de análise relacionadas ao incidente

properties.severity

IncidentSeverity

A gravidade do incidente

properties.status

IncidentStatus

O status do incidente

properties.teamInformation

TeamInformation

Descreve uma equipe para o incidente

properties.title

string

O título do incidente

systemData

systemData

Metadados do Azure Resource Manager que contêm informações createdBy e modifiedBy.

type

string

O tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

Recipiente de propriedades de dados adicionais de incidentes.

Nome Tipo Description
alertProductNames

string[]

Lista de nomes de produtos de alertas no incidente

alertsCount

integer

O número de alertas no incidente

bookmarksCount

integer

O número de indicadores no incidente

commentsCount

integer

O número de comentários no incidente

providerIncidentUrl

string

A URL de incidente do provedor para o incidente no portal do Microsoft 365 Defender

tactics

AttackTactic[]

As táticas associadas ao incidente

techniques

string[]

As técnicas associadas às táticas do incidente

IncidentClassification

A razão pela qual o incidente foi fechado

Valor Description
BenignPositive

Incidente positivo benigno

FalsePositive

Incidente foi falso positivo

TruePositive

O incidente foi verdadeiro positivo

Undetermined

A classificação de incidentes não foi determinada

IncidentClassificationReason

O motivo de classificação com o qual o incidente foi fechado

Valor Description
InaccurateData

O motivo da classificação foram dados imprecisos

IncorrectAlertLogic

O motivo da classificação foi a lógica de alerta incorreta

SuspiciousActivity

O motivo da classificação foi atividade suspeita

SuspiciousButExpected

O motivo da classificação era suspeito, mas esperado

IncidentLabel

Representa um rótulo de incidente

Nome Tipo Description
labelName

string

O nome do rótulo

labelType

IncidentLabelType

O tipo do rótulo

IncidentLabelType

O tipo do rótulo

Valor Description
AutoAssigned

Rótulo criado automaticamente pelo sistema

User

Rótulo criado manualmente por um usuário

IncidentList

Liste todos os incidentes.

Nome Tipo Description
nextLink

string

URL para buscar o próximo conjunto de incidentes.

value

Incident[]

IncidentOwnerInfo

Informações sobre o usuário às quais um incidente é atribuído

Nome Tipo Description
assignedTo

string

O nome do usuário ao qual o incidente é atribuído.

email

string

O email do usuário ao qual o incidente é atribuído.

objectId

string

A ID do objeto do usuário à qual o incidente é atribuído.

ownerType

OwnerType

O tipo do proprietário ao qual o incidente é atribuído.

userPrincipalName

string

O nome principal do usuário ao qual o incidente é atribuído.

IncidentSeverity

A gravidade do incidente

Valor Description
High

Alta gravidade

Informational

Severidade informativa

Low

Baixa gravidade

Medium

Gravidade média

IncidentStatus

O status do incidente

Valor Description
Active

Um incidente ativo que está sendo tratado

Closed

Um incidente não ativo

New

Um incidente ativo que não está sendo tratado no momento

OwnerType

O tipo do proprietário ao qual o incidente é atribuído.

Valor Description
Group

O tipo de proprietário do incidente é um grupo do AAD

Unknown

O tipo de proprietário do incidente é desconhecido

User

O tipo de proprietário do incidente é um usuário do AAD

systemData

Metadados relativos à criação e última modificação do recurso.

Nome Tipo Description
createdAt

string

O carimbo de data/hora da criação de recursos (UTC).

createdBy

string

A identidade que criou o recurso.

createdByType

createdByType

O tipo de identidade que criou o recurso.

lastModifiedAt

string

O carimbo de data/hora da última modificação do recurso (UTC)

lastModifiedBy

string

A identidade que modificou o recurso pela última vez.

lastModifiedByType

createdByType

O tipo de identidade que modificou o recurso pela última vez.

TeamInformation

Descreve as informações da equipe

Nome Tipo Description
description

string

A descrição da equipe

name

string

O nome da equipe

primaryChannelUrl

string

A URL do canal primário da equipe

teamCreationTimeUtc

string

A hora em que a equipe foi criada

teamId

string

ID da equipe