az sentinel incident

Hinweis

Dieser Verweis ist Teil der Sentinel-Erweiterung für die Azure CLI (Version 2.37.0 oder höher). Die Erweiterung wird automatisch installiert, wenn Sie einen Az sentinel-Vorfallbefehl ausführen. Weitere Informationen zu Erweiterungen

Verwalten von Vorfällen mit Sentinel.

Befehle

az sentinel incident comment	Verwalten des Vorfallkommentars mit Sentinel.
az sentinel incident comment create	Erstellen Sie den Vorfallkommentar.
az sentinel incident comment delete	Löschen Sie den Vorfallkommentar.
az sentinel incident comment list	Erhalten Sie alle Vorfallkommentare.
az sentinel incident comment show	Rufen Sie einen Vorfallkommentar ab.
az sentinel incident comment update	Aktualisieren Sie den Vorfallkommentar.
az sentinel incident create	Erstellen Sie den Vorfall.
az sentinel incident create-team	Erstellen Sie ein Microsoft-Team, um den Vorfall zu untersuchen, indem Sie Informationen und Einblicke zwischen Teilnehmern teilen.
az sentinel incident delete	Löschen Sie den Vorfall.
az sentinel incident list	Rufen Sie alle Vorfälle ab.
az sentinel incident list-alert	Rufen Sie alle Vorfallbenachrichtigungen ab.
az sentinel incident list-bookmark	Rufen Sie alle Vorfallmarken ab.
az sentinel incident list-entity	Rufen Sie alle vorfallbezogenen Entitäten ab.
az sentinel incident relation	Verwalten der Vorfallbeziehung mit Sentinel.
az sentinel incident relation create	Erstellen Sie die Vorfallbeziehung.
az sentinel incident relation delete	Löschen Sie die Vorfallbeziehung.
az sentinel incident relation list	Rufen Sie alle Vorfallbeziehungen ab.
az sentinel incident relation show	Abrufen einer Vorfallbeziehung.
az sentinel incident relation update	Aktualisieren Sie die Vorfallbeziehung.
az sentinel incident run-playbook	Auslösen von Playbook auf einem bestimmten Vorfall.
az sentinel incident show	Rufen Sie einen Vorfall ab.
az sentinel incident update	Aktualisieren Sie den Vorfall.

az sentinel incident create

Erstellen Sie den Vorfall.

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

Erforderliche Parameter

--incident-id --name -n

Vorfall-ID.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Optionale Parameter

--classification

Der Grund, aus dem der Vorfall geschlossen wurde.

Zulässige Werte: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

Beschreibt den Grund, warum der Vorfall geschlossen wurde.

--classification-reason

Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde.

Zulässige Werte: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

Die Beschreibung des Vorfalls.

--etag

Etag der Azure-Ressource.

--first-activity-time-utc

Der Zeitpunkt der ersten Aktivität im Vorfall.

--labels

Liste der Bezeichnungen, die für diese Vorfallsyntax relevant sind. Versuchen Sie ?? , mehr anzuzeigen.

--last-activity-time-utc

Die Uhrzeit der letzten Aktivität im Vorfall.

--owner

Beschreibt einen Benutzer, der dem Vorfall die Unterstützte Syntax der Shorthand-Syntax zugewiesen wird. Versuchen Sie ?? , mehr anzuzeigen.

--provider-incident-id

Die vom Vorfallanbieter zugewiesene Vorfall-ID.

--provider-name

Der Name des Quellanbieters, der den Vorfall generiert hat.

--severity

Der Schweregrad des Vorfalls.

Zulässige Werte: High, Informational, Low, Medium

--status

Der Status des Vorfalls.

Zulässige Werte: Active, Closed, New

--title

Der Titel des Vorfalls.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident create-team

Erstellen Sie ein Microsoft-Team, um den Vorfall zu untersuchen, indem Sie Informationen und Einblicke zwischen Teilnehmern teilen.

az sentinel incident create-team --incident-id
                                 --resource-group
                                 --team-name
                                 --workspace-name
                                 [--group-ids]
                                 [--member-ids]
                                 [--team-description]

Erforderliche Parameter

--incident-id

Vorfall-ID.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--team-name

Der Name des Teams.

--workspace-name -w

Den Namen des Arbeitsbereichs

Optionale Parameter

--group-ids

Liste der Gruppen-IDs, um ihre Mitglieder zur unterstützten Teamsyntax hinzuzufügen. Versuchen Sie ?? , mehr anzuzeigen.

--member-ids

Liste der Member-IDs, die der unterstützten Team-Kurzhandsyntax hinzugefügt werden sollen. Versuchen Sie ?? , mehr anzuzeigen.

--team-description

Die Beschreibung des Teams.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident delete

Löschen Sie den Vorfall.

az sentinel incident delete --incident-id
                            --resource-group
                            --workspace-name
                            [--yes]

Erforderliche Parameter

--incident-id --name -n

Vorfall-ID.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Optionale Parameter

--yes -y

Nicht zur Bestätigung auffordern

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident list

Rufen Sie alle Vorfälle ab.

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

Erforderliche Parameter

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Optionale Parameter

--filter

Filtert die Ergebnisse basierend auf einer booleschen Bedingung. Optional.

--orderby

Sortiert die Ergebnisse. Optional.

--skip-token

Skiptoken wird nur verwendet, wenn ein vorheriger Vorgang ein Teilergebnis zurückgegeben hat. Wenn eine vorherige Antwort ein nextLink-Element enthält, enthält der Wert des nextLink-Elements einen Skiptoken-Parameter, der einen Ausgangspunkt für nachfolgende Aufrufe angibt. Optional.

--top

Gibt nur die ersten n Ergebnisse zurück. Optional.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident list-alert

Rufen Sie alle Vorfallbenachrichtigungen ab.

az sentinel incident list-alert --incident-id
                                --resource-group
                                --workspace-name

Erforderliche Parameter

--incident-id

Vorfall-ID.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident list-bookmark

Rufen Sie alle Vorfallmarken ab.

az sentinel incident list-bookmark --incident-id
                                   --resource-group
                                   --workspace-name

Erforderliche Parameter

--incident-id

Vorfall-ID.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident list-entity

Rufen Sie alle vorfallbezogenen Entitäten ab.

az sentinel incident list-entity --incident-id
                                 --resource-group
                                 --workspace-name

Erforderliche Parameter

--incident-id

Vorfall-ID.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident run-playbook

Auslösen von Playbook auf einem bestimmten Vorfall.

az sentinel incident run-playbook --incident-identifier
                                  --resource-group
                                  --workspace-name
                                  [--logic-apps-resource-id]
                                  [--tenant-id]

Erforderliche Parameter

--incident-identifier

Bezeichner des Vorfalls.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Optionale Parameter

--logic-apps-resource-id

Ressourcen-ID von Logik-Apps.

--tenant-id

ID des Mandanten.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident show

Rufen Sie einen Vorfall ab.

az sentinel incident show --incident-id
                          --resource-group
                          --workspace-name

Erforderliche Parameter

--incident-id --name -n

Vorfall-ID.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az sentinel incident update

Aktualisieren Sie den Vorfall.

az sentinel incident update --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

Erforderliche Parameter

--incident-id --name -n

Vorfall-ID.

--resource-group -g

Name der Ressourcengruppe Sie können die Standardgruppe mit az configure --defaults group=<name> konfigurieren.

--workspace-name -w

Den Namen des Arbeitsbereichs

Optionale Parameter

--classification

Der Grund, aus dem der Vorfall geschlossen wurde.

Zulässige Werte: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

Beschreibt den Grund, warum der Vorfall geschlossen wurde.

--classification-reason

Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde.

Zulässige Werte: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

Die Beschreibung des Vorfalls.

--etag

Etag der Azure-Ressource.

--first-activity-time-utc

Der Zeitpunkt der ersten Aktivität im Vorfall.

--labels

Liste der Bezeichnungen, die für diese Vorfallsyntax relevant sind. Versuchen Sie ?? , mehr anzuzeigen.

--last-activity-time-utc

Die Uhrzeit der letzten Aktivität im Vorfall.

--owner

Beschreibt einen Benutzer, der dem Vorfall die Unterstützte Syntax der Shorthand-Syntax zugewiesen wird. Versuchen Sie ?? , mehr anzuzeigen.

--provider-incident-id

Die vom Vorfallanbieter zugewiesene Vorfall-ID.

--provider-name

Der Name des Quellanbieters, der den Vorfall generiert hat.

--severity

Der Schweregrad des Vorfalls.

Zulässige Werte: High, Informational, Low, Medium

--status

Der Status des Vorfalls.

Zulässige Werte: Active, Closed, New

--title

Der Titel des Vorfalls.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.