az sentinel incident

注意

此參考是 Azure CLI 的 sentinel 延伸模組的一部分 （2.37.0 版或更高版本）。 擴充功能會在您第一次執行 az sentinel 事件 命令時自動安裝。 深入了解擴充功能。

使用 sentinel 管理事件。

命令

名稱	Description	類型	狀態
az sentinel incident comment	使用 sentinel 管理事件批註。	擴充	GA
az sentinel incident comment create	建立事件批註。	擴充	實驗性
az sentinel incident comment delete	刪除事件批註。	擴充	實驗性
az sentinel incident comment list	取得所有事件批註。	擴充	實驗性
az sentinel incident comment show	取得事件批註。	擴充	實驗性
az sentinel incident comment update	更新事件批註。	擴充	實驗性
az sentinel incident create	建立事件。	擴充	實驗性
az sentinel incident create-team	建立 Microsoft 小組，藉由在參與者之間共用資訊和深入解析來調查事件。	擴充	實驗性
az sentinel incident delete	刪除事件。	擴充	實驗性
az sentinel incident list	取得所有事件。	擴充	實驗性
az sentinel incident list-alert	取得所有事件警示。	擴充	實驗性
az sentinel incident list-bookmark	取得所有事件書簽。	擴充	實驗性
az sentinel incident list-entity	取得所有事件相關實體。	擴充	實驗性
az sentinel incident relation	使用 sentinel 管理事件關聯。	擴充	GA
az sentinel incident relation create	建立事件關聯。	擴充	實驗性
az sentinel incident relation delete	刪除事件關聯。	擴充	實驗性
az sentinel incident relation list	取得所有事件關係。	擴充	實驗性
az sentinel incident relation show	取得事件關聯。	擴充	實驗性
az sentinel incident relation update	更新事件關聯。	擴充	實驗性
az sentinel incident run-playbook	在特定事件上觸發劇本。	擴充	實驗性
az sentinel incident show	取得事件。	擴充	實驗性
az sentinel incident update	更新事件。	擴充	實驗性

az sentinel incident create

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

建立事件。

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

必要參數

--incident-id --name -n

事件識別碼。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--workspace-name -w

實驗

工作區的名稱。

選擇性參數

--classification

事件關閉的原因。

接受的值: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

描述事件關閉的原因。

--classification-reason

事件關閉的分類原因。

接受的值: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

事件的描述。

--etag

Azure 資源的 Etag。

--first-activity-time-utc

事件中第一個活動的時間。

--labels

此事件相關的標籤清單支援速記語法、json-file 和 yaml-file。 請嘗試 「？？」 以顯示更多。

--last-activity-time-utc

事件中最後一個活動的時間。

--owner

描述事件指派給支援速記語法、json-file 和 yaml-file 的使用者。 請嘗試 「？？」 以顯示更多。

--provider-incident-id

事件提供者指派的事件識別碼。

--provider-name

產生事件的來源提供者名稱。

--severity

事件的嚴重性。

接受的值: High, Informational, Low, Medium

--status

事件的狀態。

接受的值: Active, Closed, New

--title

事件的標題。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident create-team

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

建立 Microsoft 小組，藉由在參與者之間共用資訊和深入解析來調查事件。

az sentinel incident create-team --incident-id
                                 --resource-group
                                 --team-name
                                 --workspace-name
                                 [--group-ids]
                                 [--member-ids]
                                 [--team-description]

必要參數

--incident-id

事件識別碼。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--team-name

小組的名稱。

--workspace-name -w

實驗

工作區的名稱。

選擇性參數

--group-ids

群組識別碼清單，以將其成員新增至小組支援速記語法、json-file 和 yaml-file。 請嘗試 「？？」 以顯示更多。

--member-ids

要新增至小組支援速記語法、json-file 和 yaml-file 的成員識別碼清單。 請嘗試 「？？」 以顯示更多。

--team-description

小組的描述。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident delete

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

刪除事件。

az sentinel incident delete [--ids]
                            [--incident-id]
                            [--resource-group]
                            [--subscription]
                            [--workspace-name]
                            [--yes]

選擇性參數

--ids

一或多個資源識別碼 (以空格分隔)。 它應該是包含 「資源識別碼」引數所有資訊的完整資源識別碼。 您應該提供 --ids 或其他「資源識別碼」引數。

--incident-id --name -n

事件識別碼。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--workspace-name -w

實驗

工作區的名稱。

--yes -y

不提示確認。

預設值: False

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident list

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

取得所有事件。

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

必要參數

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--workspace-name -w

實驗

工作區的名稱。

選擇性參數

--filter

根據布林值條件篩選結果。 選擇性。

--orderby

排序結果。 選擇性。

--skip-token

只有在先前的作業傳回部分結果時，才會使用 Skiptoken。 如果先前的回應包含 nextLink 元素，則 nextLink 元素的值會包含 skiptoken 參數，指定要用於後續呼叫的起點。 選擇性。

--top

只傳回前 n 個結果。 選擇性。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident list-alert

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

取得所有事件警示。

az sentinel incident list-alert --incident-id
                                --resource-group
                                --workspace-name

必要參數

--incident-id

事件識別碼。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--workspace-name -w

實驗

工作區的名稱。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident list-bookmark

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

取得所有事件書簽。

az sentinel incident list-bookmark --incident-id
                                   --resource-group
                                   --workspace-name

必要參數

--incident-id

事件識別碼。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--workspace-name -w

實驗

工作區的名稱。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident list-entity

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

取得所有事件相關實體。

az sentinel incident list-entity --incident-id
                                 --resource-group
                                 --workspace-name

必要參數

--incident-id

事件識別碼。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--workspace-name -w

實驗

工作區的名稱。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident run-playbook

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

在特定事件上觸發劇本。

az sentinel incident run-playbook --incident-identifier
                                  --resource-group
                                  --workspace-name
                                  [--logic-apps-resource-id]
                                  [--tenant-id]

必要參數

--incident-identifier

事件的識別碼。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--workspace-name -w

實驗

工作區的名稱。

選擇性參數

--logic-apps-resource-id

邏輯應用程式的資源識別碼。

--tenant-id

租使用者的識別碼。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident show

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

取得事件。

az sentinel incident show [--ids]
                          [--incident-id]
                          [--resource-group]
                          [--subscription]
                          [--workspace-name]

選擇性參數

--ids

一或多個資源識別碼 (以空格分隔)。 它應該是包含 「資源識別碼」引數所有資訊的完整資源識別碼。 您應該提供 --ids 或其他「資源識別碼」引數。

--incident-id --name -n

事件識別碼。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--workspace-name -w

實驗

工作區的名稱。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az sentinel incident update

實驗

此命令是實驗性且正在開發中。 參考和支援層級： https://aka.ms/CLI_refstatus

更新事件。

az sentinel incident update [--add]
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                            [--ids]
                            [--incident-id]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--remove]
                            [--resource-group]
                            [--set]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--subscription]
                            [--title]
                            [--workspace-name]

選擇性參數

--add

藉由指定路徑和索引鍵值組，將 物件加入物件清單。 範例：--add property.listProperty < key=value、string 或 JSON 字串 > 。

--classification

事件關閉的原因。

接受的值: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

描述事件關閉的原因。

--classification-reason

事件關閉的分類原因。

接受的值: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

事件的描述。

--etag

Azure 資源的 Etag。

--first-activity-time-utc

事件中第一個活動的時間。

--force-string

使用 'set' 或 'add' 時，請保留字元串常值，而不是嘗試轉換成 JSON。

接受的值: 0, 1, f, false, n, no, t, true, y, yes

--ids

一或多個資源識別碼 (以空格分隔)。 它應該是包含 「資源識別碼」引數所有資訊的完整資源識別碼。 您應該提供 --ids 或其他「資源識別碼」引數。

--incident-id --name -n

事件識別碼。

--labels

此事件相關的標籤清單支援速記語法、json-file 和 yaml-file。 請嘗試 「？？」 以顯示更多。

--last-activity-time-utc

事件中最後一個活動的時間。

--owner

描述事件指派給支援速記語法、json-file 和 yaml-file 的使用者。 請嘗試 「？？」 以顯示更多。

--provider-incident-id

事件提供者指派的事件識別碼。

--provider-name

產生事件的來源提供者名稱。

--remove

從清單中移除屬性或專案。 範例：--remove property.list OR --remove 屬性ToRemove。

--resource-group -g

資源組名。 您可以使用 來設定預設群組 az configure --defaults group=<name> 。

--set

指定要設定的屬性路徑和值，以更新物件。 範例：--set property1.property2=。

--severity

事件的嚴重性。

接受的值: High, Informational, Low, Medium

--status

事件的狀態。

接受的值: Active, Closed, New

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--title

事件的標題。

--workspace-name -w

實驗

工作區的名稱。

全域參數

--debug

增加記錄詳細資訊，以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤，隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc

預設值: json

--query

JMESPath 查詢字串。 如需詳細資訊和範例，請參閱 http://jmespath.org/。

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 來設定預設訂用 az account set -s NAME_OR_ID 帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。