Incidents - Create Or Update

Referencia

Service:: Sentinel

API Version:: 2024-03-01

Crea o actualiza un incidente.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01

Parámetros de identificador URI

Nombre	En	Requerido	Tipo	Description
incidentId	path	True	string	Identificador de incidente
resourceGroupName	path	True	string	Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas.
subscriptionId	path	True	string uuid	Identificador de la suscripción de destino. El valor debe ser un UUID.
workspaceName	path	True	string	El nombre del área de trabajo. Regex pattern: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	Versión de API que se usará para la operación.

Cuerpo de la solicitud

Nombre	Requerido	Tipo	Description
properties.severity	True	IncidentSeverity	Gravedad del incidente
properties.status	True	IncidentStatus	El estado del incidente
properties.title	True	string	Título del incidente
etag		string	Etag del recurso de Azure
properties.classification		IncidentClassification	Motivo por el que se cerró el incidente
properties.classificationComment		string	Describe el motivo por el que se cerró el incidente
properties.classificationReason		IncidentClassificationReason	Motivo de clasificación con el que se cerró el incidente
properties.description		string	Descripción del incidente
properties.firstActivityTimeUtc		string	Hora de la primera actividad del incidente
properties.labels		IncidentLabel[]	Lista de etiquetas relevantes para este incidente
properties.lastActivityTimeUtc		string	Hora de la última actividad del incidente
properties.owner		IncidentOwnerInfo	Describe un usuario al que se asigna el incidente.

Respuestas

Nombre	Tipo	Description
200 OK	Incident	Correcto, operación completada correctamente
201 Created	Incident	Creado
Other Status Codes	CloudError	Respuesta de error que describe el motivo del error de la operación.

Seguridad

azure_auth

Flujo OAuth2 de Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Nombre	Description
user_impersonation	suplantación de su cuenta de usuario

Ejemplos

Creates or updates an incident.

Sample Request

HTTP

PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Sample Response

Status code:: 200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": []
    }
  }
}

Status code:: 201

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "type": "Microsoft.SecurityInsights/incidents",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
  "properties": {
    "lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
    "createdTimeUtc": "2019-01-01T13:15:30Z",
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "userPrincipalName": "john@contoso.com",
      "assignedTo": "john doe"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed",
    "incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
    "incidentNumber": 3177,
    "labels": [],
    "providerName": "Azure Sentinel",
    "providerIncidentId": "3177",
    "relatedAnalyticRuleIds": [],
    "additionalData": {
      "alertsCount": 0,
      "bookmarksCount": 0,
      "commentsCount": 3,
      "alertProductNames": [],
      "tactics": []
    }
  }
}

Definiciones

Nombre	Description
AttackTactic	Gravedad de las alertas creadas por esta regla de alertas.
CloudError	Estructura de respuesta de error.
CloudErrorBody	Detalles del error.
createdByType	Tipo de identidad que creó el recurso.
Incident	Representa un incidente en Azure Security Insights.
IncidentAdditionalData	Contenedor de propiedades de datos adicionales para incidentes.
IncidentClassification	Motivo por el que se cerró el incidente
IncidentClassificationReason	Motivo de clasificación con el que se cerró el incidente
IncidentLabel	Representa una etiqueta de incidente
IncidentLabelType	Tipo de la etiqueta
IncidentOwnerInfo	Información sobre el usuario a la que se asigna un incidente
IncidentSeverity	Gravedad del incidente
IncidentStatus	El estado del incidente
OwnerType	Tipo del propietario al que se asigna el incidente.
systemData	Metadatos relacionados con la creación y la última modificación del recurso.

AttackTactic

Gravedad de las alertas creadas por esta regla de alertas.

Nombre	Tipo	Description
Collection	string
CommandAndControl	string
CredentialAccess	string
DefenseEvasion	string
Discovery	string
Execution	string
Exfiltration	string
Impact	string
ImpairProcessControl	string
InhibitResponseFunction	string
InitialAccess	string
LateralMovement	string
Persistence	string
PreAttack	string
PrivilegeEscalation	string
Reconnaissance	string
ResourceDevelopment	string

CloudError

Estructura de respuesta de error.

Nombre	Tipo	Description
error	CloudErrorBody	Datos inválidos

CloudErrorBody

Detalles del error.

Nombre	Tipo	Description
code	string	Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación.
message	string	Mensaje que describe el error, diseñado para ser adecuado para su presentación en una interfaz de usuario.

createdByType

Tipo de identidad que creó el recurso.

Nombre	Tipo	Description
Application	string
Key	string
ManagedIdentity	string
User	string

Incident

Representa un incidente en Azure Security Insights.

Nombre	Tipo	Description
etag	string	Etag del recurso de Azure
id	string	Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
name	string	Nombre del recurso.
properties.additionalData	IncidentAdditionalData	Datos adicionales sobre el incidente
properties.classification	IncidentClassification	Motivo por el que se cerró el incidente
properties.classificationComment	string	Describe el motivo por el que se cerró el incidente
properties.classificationReason	IncidentClassificationReason	Motivo de clasificación con el que se cerró el incidente
properties.createdTimeUtc	string	Hora en que se creó el incidente
properties.description	string	Descripción del incidente
properties.firstActivityTimeUtc	string	Hora de la primera actividad del incidente
properties.incidentNumber	integer	Un número secuencial
properties.incidentUrl	string	Dirección URL del vínculo profundo al incidente en Azure Portal
properties.labels	IncidentLabel[]	Lista de etiquetas relevantes para este incidente
properties.lastActivityTimeUtc	string	Hora de la última actividad del incidente
properties.lastModifiedTimeUtc	string	La última vez que se actualizó el incidente
properties.owner	IncidentOwnerInfo	Describe un usuario al que se asigna el incidente.
properties.providerIncidentId	string	Identificador de incidente asignado por el proveedor de incidentes
properties.providerName	string	Nombre del proveedor de origen que generó el incidente.
properties.relatedAnalyticRuleIds	string[]	Lista de identificadores de recursos de reglas analíticas relacionadas con el incidente
properties.severity	IncidentSeverity	Gravedad del incidente
properties.status	IncidentStatus	El estado del incidente
properties.title	string	Título del incidente
systemData	systemData	Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy.
type	string	Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts"

IncidentAdditionalData

Contenedor de propiedades de datos adicionales para incidentes.

Nombre	Tipo	Description
alertProductNames	string[]	Lista de nombres de productos de alertas en el incidente
alertsCount	integer	El número de alertas del incidente
bookmarksCount	integer	Número de marcadores en el incidente
commentsCount	integer	Número de comentarios en el incidente
providerIncidentUrl	string	Dirección URL del incidente del proveedor al incidente en el portal de Microsoft 365 Defender
tactics	AttackTactic[]	Tácticas asociadas al incidente

IncidentClassification

Motivo por el que se cerró el incidente

Nombre	Tipo	Description
BenignPositive	string	El incidente fue positivo benigno
FalsePositive	string	El incidente era falso positivo
TruePositive	string	El incidente fue verdadero positivo
Undetermined	string	La clasificación de incidentes no estaba definida

IncidentClassificationReason

Motivo de clasificación con el que se cerró el incidente

Nombre	Tipo	Description
InaccurateData	string	La razón de clasificación era datos inexactos
IncorrectAlertLogic	string	El motivo de clasificación era una lógica de alerta incorrecta
SuspiciousActivity	string	Motivo de clasificación de actividad sospechosa
SuspiciousButExpected	string	La razón de clasificación era sospechosa, pero se esperaba

IncidentLabel

Representa una etiqueta de incidente

Nombre	Tipo	Description
labelName	string	Nombre de la etiqueta
labelType	IncidentLabelType	Tipo de la etiqueta

IncidentLabelType

Tipo de la etiqueta

Nombre	Tipo	Description
AutoAssigned	string	Etiqueta creada automáticamente por el sistema
User	string	Etiqueta creada manualmente por un usuario

IncidentOwnerInfo

Información sobre el usuario a la que se asigna un incidente

Nombre	Tipo	Description
assignedTo	string	Nombre del usuario al que se asigna el incidente.
email	string	Correo electrónico del usuario al que se asigna el incidente.
objectId	string	Identificador de objeto del usuario al que se asigna el incidente.
ownerType	OwnerType	Tipo del propietario al que se asigna el incidente.
userPrincipalName	string	Nombre principal de usuario del usuario al que se asigna el incidente.

IncidentSeverity

Gravedad del incidente

Nombre	Tipo	Description
High	string	Gravedad alta
Informational	string	Gravedad informativa
Low	string	Low severity
Medium	string	Gravedad media

IncidentStatus

El estado del incidente

Nombre	Tipo	Description
Active	string	Un incidente activo que se está controlando
Closed	string	Un incidente no activo
New	string	Un incidente activo que no se está controlando actualmente

OwnerType

Tipo del propietario al que se asigna el incidente.

Nombre	Tipo	Description
Group	string	El tipo de propietario del incidente es un grupo de AAD.
Unknown	string	El tipo de propietario del incidente es desconocido.
User	string	El tipo de propietario del incidente es un usuario de AAD.

systemData

Metadatos relacionados con la creación y la última modificación del recurso.

Nombre	Tipo	Description
createdAt	string	Marca de tiempo de creación de recursos (UTC).
createdBy	string	Identidad que creó el recurso.
createdByType	createdByType	Tipo de identidad que creó el recurso.
lastModifiedAt	string	Marca de tiempo de la última modificación del recurso (UTC)
lastModifiedBy	string	Identidad que modificó por última vez el recurso.
lastModifiedByType	createdByType	Tipo de identidad que modificó por última vez el recurso.