你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Watchlists - List

服务:

Sentinel

API 版本:

2024-09-01

获取所有监视列表，而不获取监视列表项。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/watchlists?api-version=2024-09-01

具有可选参数:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/watchlists?api-version=2024-09-01&$skipToken={$skipToken}

URI 参数

名称	在	必需	类型	说明
resourceGroupName	path	True	string minLength: 1 maxLength: 90	资源组的名称。 名称不区分大小写。
subscriptionId	path	True	string (uuid)	目标订阅的 ID。 该值必须是 UUID。
workspaceName	path	True	string minLength: 1 maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$	工作区的名称。
api-version	query	True	string minLength: 1	用于此作的 API 版本。
$skipToken	query		string	仅当以前的作返回了部分结果时，才使用 Skiptoken。 如果以前的响应包含 nextLink 元素，则 nextLink 元素的值将包含一个 skiptoken 参数，该参数指定用于后续调用的起点。 自选。

响应

名称	类型	说明
200 OK	WatchlistList	还行
Other Status Codes	CloudError	描述作失败的原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

类型: oauth2
流向: implicit
授权 URL: https://login.microsoftonline.com/common/oauth2/authorize

作用域

名称	说明
user_impersonation	模拟用户帐户

示例

Get all watchlists.

示例请求

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists?api-version=2024-09-01

示例响应

状态代码:

200

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/watchlists/highValueAsset",
      "name": "highValueAsset",
      "type": "Microsoft.SecurityInsights/Watchlists",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "watchlistId": "76d5a51f-ba1f-4038-9d22-59fda38dc017",
        "displayName": "High Value Assets Watchlist",
        "provider": "Microsoft",
        "source": "watchlist.csv",
        "sourceType": "Local",
        "created": "2020-09-28T00:26:54.7746089+00:00",
        "updated": "2020-09-28T00:26:57+00:00",
        "createdBy": {
          "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
          "email": "john@contoso.com",
          "name": "john doe"
        },
        "updatedBy": {
          "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
          "email": "john@contoso.com",
          "name": "john doe"
        },
        "description": "Watchlist from CSV content",
        "watchlistType": "watchlist",
        "watchlistAlias": "highValueAsset",
        "itemsSearchKey": "header1",
        "isDeleted": false,
        "labels": [
          "Tag1",
          "Tag2"
        ],
        "defaultDuration": "P1279DT12H30M5S",
        "tenantId": "f686d426-8d16-42db-81b7-ab578e110ccd"
      }
    }
  ]
}

定义

名称	说明
CloudError	错误响应结构。
CloudErrorBody	错误详细信息。
createdByType	创建资源的标识的类型。
ProvisioningState	描述预配状态
sourceType	监视列表的 sourceType
systemData	与创建和上次修改资源相关的元数据。
UserInfo	执行某些作的用户信息
Watchlist	表示 Azure 安全见解中的监视列表。
WatchlistList	列出所有监视列表。

CloudError

Object

错误响应结构。

名称	类型	说明
error	CloudErrorBody	错误数据

CloudErrorBody

Object

错误详细信息。

名称	类型	说明
code	string	错误的标识符。 代码是固定的，旨在以编程方式使用。
message	string	描述错误的消息，旨在适合在用户界面中显示。

createdByType

枚举

创建资源的标识的类型。

值	说明
Application
Key
ManagedIdentity
User

ProvisioningState

枚举

描述预配状态

值	说明
Canceled	已取消的预配状态。
Deleting	删除预配状态。
Failed	失败的预配状态。
InProgress	InProgress 预配状态。
New	新建预配状态。
Succeeded	成功预配状态。
Uploading	上传预配状态。

sourceType

枚举

监视列表的 sourceType

值	说明
AzureStorage	Azure 存储中的源。
Local	本地文件中的源。

systemData

Object

与创建和上次修改资源相关的元数据。

名称	类型	说明
createdAt	string (date-time)	资源创建时间戳（UTC）。
createdBy	string	创建资源的标识。
createdByType	createdByType	创建资源的标识的类型。
lastModifiedAt	string (date-time)	上次修改的资源时间戳（UTC）
lastModifiedBy	string	上次修改资源的标识。
lastModifiedByType	createdByType	上次修改资源的标识的类型。

UserInfo

Object

执行某些作的用户信息

名称	类型	说明
email	string	用户的电子邮件。
name	string	用户的名称。
objectId	string (uuid)	用户的对象 ID。

Watchlist

Object

表示 Azure 安全见解中的监视列表。

名称	类型	说明
etag	string	Azure 资源的 Etag
id	string (arm-id)	资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}”
name	string	资源的名称
properties.contentType	string	原始内容的内容类型。 示例：text/csv 或 text/tsv
properties.created	string (date-time)	创建监视列表的时间
properties.createdBy	UserInfo	描述创建监视列表的用户
properties.defaultDuration	string (duration)	监视列表的默认持续时间（采用 ISO 8601 持续时间格式）
properties.description	string	监视列表的说明
properties.displayName	string	监视列表的显示名称
properties.isDeleted	boolean	指示是否删除监视列表的标志
properties.itemsSearchKey	string	使用监视列表与其他数据联接时，搜索键用于优化查询性能。 例如，启用 IP 地址为指定 SearchKey 字段的列，然后在按 IP 地址联接到其他事件数据时将此字段用作键字段。
properties.labels	string[]	与此监视列表相关的标签列表
properties.numberOfLinesToSkip	integer (int32)	要跳过标头之前的 csv/tsv 内容中的行数
properties.provider	string	监视列表的提供程序
properties.provisioningState	ProvisioningState	描述预配状态
properties.rawContent	string	表示要创建的监视列表项的原始内容。 对于 csv/tsv 内容类型，它是将由终结点分析的文件的内容
properties.source	string	监视列表的文件名，称为“source”
properties.sourceType	sourceType	监视列表的 sourceType
properties.tenantId	string	监视列表所属的 tenantId
properties.updated	string (date-time)	上次更新监视列表的时间
properties.updatedBy	UserInfo	描述更新监视列表的用户
properties.uploadStatus	string	监视列表上传的状态：新建、InProgress 或 Complete。 注意：监视列表上传状态为 InProgress 时，无法删除监视列表
properties.watchlistAlias	string	监视列表的别名
properties.watchlistId	string	监视列表的 ID （Guid）
properties.watchlistType	string	监视列表的类型
systemData	systemData	包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。
type	string	资源的类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

WatchlistList

Object

列出所有监视列表。

名称	类型	说明
nextLink	string	用于提取下一组监视列表的 URL。
value	Watchlist[]	监视列表的数组。