az sentinel incident

Remarque

Cette référence fait partie de l’extension Sentinel pour Azure CLI (version 2.37.0 ou ultérieure). L’extension installe automatiquement la première fois que vous exécutez une commande d’incident az sentinel. En savoir plus sur les extensions.

Gérer l’incident avec sentinelle.

Commandes

Nom	Description	Type	Statut
az sentinel incident comment	Gérer le commentaire d’incident avec sentinelle.	Extension	GA
az sentinel incident comment create	Créez le commentaire d’incident.	Extension	Expérimental
az sentinel incident comment delete	Supprimez le commentaire d’incident.	Extension	Expérimental
az sentinel incident comment list	Obtenez tous les commentaires d’incident.	Extension	Expérimental
az sentinel incident comment show	Obtenez un commentaire d’incident.	Extension	Expérimental
az sentinel incident comment update	Mettez à jour le commentaire d’incident.	Extension	Expérimental
az sentinel incident create	Créez l’incident.	Extension	Expérimental
az sentinel incident create-team	Créez une équipe Microsoft pour examiner l’incident en partageant des informations et des insights entre les participants.	Extension	Expérimental
az sentinel incident delete	Supprimez l’incident.	Extension	Expérimental
az sentinel incident list	Obtenez tous les incidents.	Extension	Expérimental
az sentinel incident list-alert	Obtenez toutes les alertes d’incident.	Extension	Expérimental
az sentinel incident list-bookmark	Obtenez tous les signets d’incident.	Extension	Expérimental
az sentinel incident list-entity	Obtenez toutes les entités associées aux incidents.	Extension	Expérimental
az sentinel incident relation	Gérer la relation d’incident avec sentinelle.	Extension	GA
az sentinel incident relation create	Créez la relation d’incident.	Extension	Expérimental
az sentinel incident relation delete	Supprimez la relation d’incident.	Extension	Expérimental
az sentinel incident relation list	Obtenez toutes les relations d’incident.	Extension	Expérimental
az sentinel incident relation show	Obtenez une relation d’incident.	Extension	Expérimental
az sentinel incident relation update	Mettez à jour la relation d’incident.	Extension	Expérimental
az sentinel incident run-playbook	Déclenchez un playbook sur un incident spécifique.	Extension	Expérimental
az sentinel incident show	Obtenez un incident.	Extension	Expérimental
az sentinel incident update	Mettez à jour l’incident.	Extension	Expérimental

az sentinel incident create

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Créez l’incident.

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

Paramètres obligatoires

--incident-id --name -n

ID d’incident.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres facultatifs

--classification

La raison pour laquelle l’incident a été fermé.

valeurs acceptées: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

Décrit la raison pour laquelle l’incident a été fermé.

--classification-reason

La raison de classification avec laquelle l’incident a été fermé.

valeurs acceptées: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

Description de l’incident.

--etag

Etag de la ressource Azure.

--first-activity-time-utc

Heure de la première activité dans l’incident.

--labels

Liste des étiquettes pertinentes pour cet incident Prennent en charge la syntaxe abrégée, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--last-activity-time-utc

Heure de la dernière activité dans l’incident.

--owner

Décrit un utilisateur auquel l’incident est affecté à la prise en charge de la syntaxe abrégée, du fichier json et du fichier yaml-file. Essayez « ?? » pour en montrer plus.

--provider-incident-id

ID d’incident attribué par le fournisseur d’incidents.

--provider-name

Nom du fournisseur source qui a généré l’incident.

--severity

Gravité de l’incident.

valeurs acceptées: High, Informational, Low, Medium

--status

État de l’incident.

valeurs acceptées: Active, Closed, New

--title

Titre de l’incident.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident create-team

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Créez une équipe Microsoft pour examiner l’incident en partageant des informations et des insights entre les participants.

az sentinel incident create-team --incident-id
                                 --resource-group
                                 --team-name
                                 --workspace-name
                                 [--group-ids]
                                 [--member-ids]
                                 [--team-description]

Paramètres obligatoires

--incident-id

ID d’incident.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--team-name

Nom de l’équipe.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres facultatifs

--group-ids

Liste des ID de groupe à ajouter leurs membres au support technique de la syntaxe abrégée, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--member-ids

Liste des ID membres à ajouter à la syntaxe abrégée du support de l’équipe, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--team-description

Description de l’équipe.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident delete

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Supprimez l’incident.

az sentinel incident delete [--ids]
                            [--incident-id]
                            [--resource-group]
                            [--subscription]
                            [--workspace-name]
                            [--yes]

Paramètres facultatifs

--ids

Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».

--incident-id --name -n

ID d’incident.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

--yes -y

Ne pas demander de confirmation.

valeur par défaut: False

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident list

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Obtenez tous les incidents.

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

Paramètres obligatoires

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres facultatifs

--filter

Filtre les résultats, en fonction d’une condition booléenne. facultatif.

--orderby

Trie les résultats. facultatif.

--skip-token

Skiptoken est utilisé uniquement si une opération précédente a retourné un résultat partiel. Si une réponse précédente contient un élément nextLink, la valeur de l’élément nextLink inclut un paramètre skiptoken qui spécifie un point de départ à utiliser pour les appels suivants. facultatif.

--top

Retourne uniquement les n premiers résultats. facultatif.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident list-alert

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Obtenez toutes les alertes d’incident.

az sentinel incident list-alert --incident-id
                                --resource-group
                                --workspace-name

Paramètres obligatoires

--incident-id

ID d’incident.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident list-bookmark

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Obtenez tous les signets d’incident.

az sentinel incident list-bookmark --incident-id
                                   --resource-group
                                   --workspace-name

Paramètres obligatoires

--incident-id

ID d’incident.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident list-entity

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Obtenez toutes les entités associées aux incidents.

az sentinel incident list-entity --incident-id
                                 --resource-group
                                 --workspace-name

Paramètres obligatoires

--incident-id

ID d’incident.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident run-playbook

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Déclenchez un playbook sur un incident spécifique.

az sentinel incident run-playbook --incident-identifier
                                  --resource-group
                                  --workspace-name
                                  [--logic-apps-resource-id]
                                  [--tenant-id]

Paramètres obligatoires

--incident-identifier

Identificateur de l’incident.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres facultatifs

--logic-apps-resource-id

ID de ressource des applications logiques.

--tenant-id

ID du locataire.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident show

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Obtenez un incident.

az sentinel incident show [--ids]
                          [--incident-id]
                          [--resource-group]
                          [--subscription]
                          [--workspace-name]

Paramètres facultatifs

--ids

Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».

--incident-id --name -n

ID d’incident.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.

az sentinel incident update

Expérimental

Cette commande est expérimentale et en cours de développement. Référence et niveaux de support : https://aka.ms/CLI_refstatus

Mettez à jour l’incident.

az sentinel incident update [--add]
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                            [--ids]
                            [--incident-id]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--remove]
                            [--resource-group]
                            [--set]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--subscription]
                            [--title]
                            [--workspace-name]

Paramètres facultatifs

--add

Ajoutez un objet à une liste d’objets en spécifiant un chemin d’accès et des paires clé-valeur. Exemple : --add property.listProperty <key=value, string ou JSON string>.

--classification

La raison pour laquelle l’incident a été fermé.

valeurs acceptées: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

Décrit la raison pour laquelle l’incident a été fermé.

--classification-reason

La raison de classification avec laquelle l’incident a été fermé.

valeurs acceptées: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

Description de l’incident.

--etag

Etag de la ressource Azure.

--first-activity-time-utc

Heure de la première activité dans l’incident.

--force-string

Lorsque vous utilisez « set » ou « add », conservez les littéraux de chaîne au lieu de tenter de convertir en JSON.

valeurs acceptées: 0, 1, f, false, n, no, t, true, y, yes

--ids

Un ou plusieurs ID de ressource (délimités par des espaces). Il doit s’agir d’un ID de ressource complet contenant toutes les informations des arguments « ID de ressource ». Vous devez fournir des arguments --id ou d’autres arguments « ID de ressource ».

--incident-id --name -n

ID d’incident.

--labels

Liste des étiquettes pertinentes pour cet incident Prennent en charge la syntaxe abrégée, json-file et yaml-file. Essayez « ?? » pour en montrer plus.

--last-activity-time-utc

Heure de la dernière activité dans l’incident.

--owner

Décrit un utilisateur auquel l’incident est affecté à la prise en charge de la syntaxe abrégée, du fichier json et du fichier yaml-file. Essayez « ?? » pour en montrer plus.

--provider-incident-id

ID d’incident attribué par le fournisseur d’incidents.

--provider-name

Nom du fournisseur source qui a généré l’incident.

--remove

Supprimez une propriété ou un élément d’une liste. Exemple : --remove property.list OR --remove propertyToRemove.

--resource-group -g

Nom du groupe de ressources. Vous pouvez configurer le groupe par défaut en utilisant az configure --defaults group=<name>.

--set

Mettez à jour un objet en spécifiant un chemin d’accès et une valeur de propriété à définir. Exemple : --set property1.property2=.

--severity

Gravité de l’incident.

valeurs acceptées: High, Informational, Low, Medium

--status

État de l’incident.

valeurs acceptées: Active, Closed, New

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--title

Titre de l’incident.

--workspace-name -w

Expérimental

Nom de l’espace de travail.

Paramètres globaux

--debug

Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc

valeur par défaut: json

--query

Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.