Incidents - List
Obtiene todos los incidentes.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}
Parámetros de identificador URI
Nombre | En | Requerido | Tipo | Description |
---|---|---|---|---|
resource
|
path | True |
string |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
subscription
|
path | True |
string uuid |
Identificador de la suscripción de destino. El valor debe ser un UUID. |
workspace
|
path | True |
string |
El nombre del área de trabajo. Regex pattern: |
api-version
|
query | True |
string |
Versión de API que se usará para la operación. |
$filter
|
query |
string |
Filtra los resultados, en función de una condición booleana. Opcional. |
|
$orderby
|
query |
string |
Ordena los resultados. Opcional. |
|
$skip
|
query |
string |
Skiptoken solo se usa si una operación anterior devolvió un resultado parcial. Si una respuesta anterior contiene un elemento nextLink, el valor del elemento nextLink incluirá un parámetro skiptoken que especifica un punto de partida que se usará para las llamadas posteriores. Opcional. |
|
$top
|
query |
integer int32 |
Devuelve solo los primeros n resultados. Opcional. |
Respuestas
Nombre | Tipo | Description |
---|---|---|
200 OK |
Correcto, operación completada correctamente |
|
Other Status Codes |
Respuesta de error que describe el motivo del error de la operación. |
Seguridad
azure_auth
Flujo OAuth2 de Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nombre | Description |
---|---|
user_impersonation | suplantación de su cuenta de usuario |
Ejemplos
Get all incidents.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1
Sample Response
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}
Definiciones
Nombre | Description |
---|---|
Attack |
Gravedad de las alertas creadas por esta regla de alertas. |
Cloud |
Estructura de respuesta de error. |
Cloud |
Detalles del error. |
created |
Tipo de identidad que creó el recurso. |
Incident |
Representa un incidente en Azure Security Insights. |
Incident |
Contenedor de propiedades de datos adicionales para incidentes. |
Incident |
Motivo por el que se cerró el incidente |
Incident |
Motivo de clasificación con el que se cerró el incidente |
Incident |
Representa una etiqueta de incidente |
Incident |
Tipo de la etiqueta |
Incident |
Enumere todos los incidentes. |
Incident |
Información sobre el usuario a la que se asigna un incidente |
Incident |
Gravedad del incidente |
Incident |
El estado del incidente |
Owner |
Tipo del propietario al que se asigna el incidente. |
system |
Metadatos relacionados con la creación y la última modificación del recurso. |
AttackTactic
Gravedad de las alertas creadas por esta regla de alertas.
Nombre | Tipo | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Estructura de respuesta de error.
Nombre | Tipo | Description |
---|---|---|
error |
Datos inválidos |
CloudErrorBody
Detalles del error.
Nombre | Tipo | Description |
---|---|---|
code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
message |
string |
Mensaje que describe el error, diseñado para ser adecuado para su presentación en una interfaz de usuario. |
createdByType
Tipo de identidad que creó el recurso.
Nombre | Tipo | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Representa un incidente en Azure Security Insights.
Nombre | Tipo | Description |
---|---|---|
etag |
string |
Etag del recurso de Azure |
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
Nombre del recurso. |
properties.additionalData |
Datos adicionales sobre el incidente |
|
properties.classification |
Motivo por el que se cerró el incidente |
|
properties.classificationComment |
string |
Describe el motivo por el que se cerró el incidente |
properties.classificationReason |
Motivo de clasificación con el que se cerró el incidente |
|
properties.createdTimeUtc |
string |
Hora en que se creó el incidente |
properties.description |
string |
Descripción del incidente |
properties.firstActivityTimeUtc |
string |
Hora de la primera actividad del incidente |
properties.incidentNumber |
integer |
Un número secuencial |
properties.incidentUrl |
string |
Dirección URL del vínculo profundo al incidente en Azure Portal |
properties.labels |
Lista de etiquetas relevantes para este incidente |
|
properties.lastActivityTimeUtc |
string |
Hora de la última actividad del incidente |
properties.lastModifiedTimeUtc |
string |
La última vez que se actualizó el incidente |
properties.owner |
Describe un usuario al que se asigna el incidente. |
|
properties.providerIncidentId |
string |
Identificador de incidente asignado por el proveedor de incidentes |
properties.providerName |
string |
Nombre del proveedor de origen que generó el incidente. |
properties.relatedAnalyticRuleIds |
string[] |
Lista de identificadores de recursos de reglas analíticas relacionadas con el incidente |
properties.severity |
Gravedad del incidente |
|
properties.status |
El estado del incidente |
|
properties.title |
string |
Título del incidente |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Contenedor de propiedades de datos adicionales para incidentes.
Nombre | Tipo | Description |
---|---|---|
alertProductNames |
string[] |
Lista de nombres de productos de alertas en el incidente |
alertsCount |
integer |
El número de alertas del incidente |
bookmarksCount |
integer |
Número de marcadores en el incidente |
commentsCount |
integer |
Número de comentarios en el incidente |
providerIncidentUrl |
string |
Dirección URL del incidente del proveedor al incidente en el portal de Microsoft 365 Defender |
tactics |
Tácticas asociadas al incidente |
IncidentClassification
Motivo por el que se cerró el incidente
Nombre | Tipo | Description |
---|---|---|
BenignPositive |
string |
El incidente fue positivo benigno |
FalsePositive |
string |
El incidente era falso positivo |
TruePositive |
string |
El incidente fue verdadero positivo |
Undetermined |
string |
La clasificación de incidentes no estaba definida |
IncidentClassificationReason
Motivo de clasificación con el que se cerró el incidente
Nombre | Tipo | Description |
---|---|---|
InaccurateData |
string |
La razón de clasificación era datos inexactos |
IncorrectAlertLogic |
string |
El motivo de clasificación era una lógica de alerta incorrecta |
SuspiciousActivity |
string |
Motivo de clasificación de actividad sospechosa |
SuspiciousButExpected |
string |
La razón de clasificación era sospechosa, pero se esperaba |
IncidentLabel
Representa una etiqueta de incidente
Nombre | Tipo | Description |
---|---|---|
labelName |
string |
Nombre de la etiqueta |
labelType |
Tipo de la etiqueta |
IncidentLabelType
Tipo de la etiqueta
Nombre | Tipo | Description |
---|---|---|
AutoAssigned |
string |
Etiqueta creada automáticamente por el sistema |
User |
string |
Etiqueta creada manualmente por un usuario |
IncidentList
Enumere todos los incidentes.
Nombre | Tipo | Description |
---|---|---|
nextLink |
string |
Dirección URL para capturar el siguiente conjunto de incidentes. |
value |
Incident[] |
Matriz de incidentes. |
IncidentOwnerInfo
Información sobre el usuario a la que se asigna un incidente
Nombre | Tipo | Description |
---|---|---|
assignedTo |
string |
Nombre del usuario al que se asigna el incidente. |
string |
Correo electrónico del usuario al que se asigna el incidente. |
|
objectId |
string |
Identificador de objeto del usuario al que se asigna el incidente. |
ownerType |
Tipo del propietario al que se asigna el incidente. |
|
userPrincipalName |
string |
Nombre principal de usuario del usuario al que se asigna el incidente. |
IncidentSeverity
Gravedad del incidente
Nombre | Tipo | Description |
---|---|---|
High |
string |
Gravedad alta |
Informational |
string |
Gravedad informativa |
Low |
string |
Low severity |
Medium |
string |
Gravedad media |
IncidentStatus
El estado del incidente
Nombre | Tipo | Description |
---|---|---|
Active |
string |
Un incidente activo que se está controlando |
Closed |
string |
Un incidente no activo |
New |
string |
Un incidente activo que no se está controlando actualmente |
OwnerType
Tipo del propietario al que se asigna el incidente.
Nombre | Tipo | Description |
---|---|---|
Group |
string |
El tipo de propietario del incidente es un grupo de AAD. |
Unknown |
string |
El tipo de propietario del incidente es desconocido. |
User |
string |
El tipo de propietario del incidente es un usuario de AAD. |
systemData
Metadatos relacionados con la creación y la última modificación del recurso.
Nombre | Tipo | Description |
---|---|---|
createdAt |
string |
Marca de tiempo de creación de recursos (UTC). |
createdBy |
string |
Identidad que creó el recurso. |
createdByType |
Tipo de identidad que creó el recurso. |
|
lastModifiedAt |
string |
Marca de tiempo de la última modificación del recurso (UTC) |
lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |