az sentinel incident

Notitie

Deze verwijzing maakt deel uit van de Sentinel-extensie voor Azure CLI en vereist versie 2.11.0 of hoger. De extensie wordt automatisch geïnstalleerd wanneer u de opdracht az sentinel incident voor het eerst hebt uitgevoerd. Meer informatie over extensies.

Sentinel-incident.

Opdracht

az sentinel incident create

Maak het incident.

az sentinel incident delete

Verwijder het incident.

az sentinel incident list

Haalt alle incidenten op.

az sentinel incident show

Haalt een incident op.

az sentinel incident update

Werk het incident bij.

az sentinel incident create

Maak het incident.

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

Voorbeelden

Hiermee maakt of werkt u een incident bij.

az sentinel incident create --etag "{etag}" --description "This is a demo incident" --classification "FalsePositive" --classification-comment "Not a malicious activity" --classification-reason "IncorrectAlertLogic" --first-activity-time-utc "2019-01-01T13:00:30Z" --last-activity-time-utc "2019-01-01T13:05:30Z" --owner object-id="{oid}" --severity "High" --status "Closed" --title "My incident" --incident-id "{id}" --resource-group "myRg" --workspace-name "myWorkspace"

Vereiste parameters

--incident-id

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--workspace-name

De naam van de werkruimte.

Optionele parameters

--classification

De reden waarom het incident is gesloten.

geaccepteerde waarden: BenignPositive, FalsePositive, TruePositive, Undetermined
--classification-comment

Beschrijft de reden waarom het incident is gesloten.

--classification-reason

De classificatiereden voor het incident is gesloten.

geaccepteerde waarden: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected
--description

De beschrijving van het incident.

--etag

Etag van de Azure-resource.

--first-activity-time-utc

De tijd van de eerste activiteit in het incident.

--labels

Lijst met labels die relevant zijn voor dit incident.

--last-activity-time-utc

Het tijdstip van de laatste activiteit in het incident.

--owner

Beschrijft een gebruiker aan waar het incident aan is toegewezen.

--severity

De ernst van het incident.

geaccepteerde waarden: High, Informational, Low, Medium
--status

De status van het incident.

geaccepteerde waarden: Active, Closed, New
--title

De titel van het incident.

az sentinel incident delete

Verwijder het incident.

az sentinel incident delete --incident-id
                            --resource-group
                            --workspace-name
                            [--yes]

Voorbeelden

Een incident verwijderen.

az sentinel incident delete --incident-id "{id}" --resource-group "myRg" --workspace-name "myWorkspace"

Vereiste parameters

--incident-id

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--workspace-name

De naam van de werkruimte.

Optionele parameters

--yes -y

Niet vragen om bevestiging.

az sentinel incident list

Haalt alle incidenten op.

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

Voorbeelden

Haal alle incidenten op.

az sentinel incident list --orderby "properties/createdTimeUtc desc" --top 1 --resource-group "myRg" --workspace-name "myWorkspace"

Vereiste parameters

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--workspace-name

De naam van de werkruimte.

Optionele parameters

--filter

Filtert de resultaten op basis van een Booleaanse voorwaarde. Optioneel.

--orderby

Sorteert de resultaten. Optioneel.

--skip-token

Skiptoken wordt alleen gebruikt als een eerdere bewerking een gedeeltelijk resultaat heeft geretourneerd. Als een eerder antwoord een nextLink-element bevat, bevat de waarde van het element nextLink een skiptokenparameter die een beginpunt opgeeft dat moet worden gebruikt voor volgende aanroepen. Optioneel.

--top

Retourneert alleen de eerste n resultaten. Optioneel.

az sentinel incident show

Haalt een incident op.

az sentinel incident show --incident-id
                          --resource-group
                          --workspace-name

Voorbeelden

Een incident op te halen.

az sentinel incident show --incident-id "{id}" --resource-group "myRg" --workspace-name "myWorkspace"

Vereiste parameters

--incident-id

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--workspace-name

De naam van de werkruimte.

az sentinel incident update

Werk het incident bij.

az sentinel incident update --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

Vereiste parameters

--incident-id

Incident-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--workspace-name

De naam van de werkruimte.

Optionele parameters

--classification

De reden waarom het incident is gesloten.

geaccepteerde waarden: BenignPositive, FalsePositive, TruePositive, Undetermined
--classification-comment

Beschrijft de reden waarom het incident is gesloten.

--classification-reason

De classificatiereden voor het incident is gesloten.

geaccepteerde waarden: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected
--description

De beschrijving van het incident.

--etag

Etag van de Azure-resource.

--first-activity-time-utc

De tijd van de eerste activiteit in het incident.

--labels

Lijst met labels die relevant zijn voor dit incident.

--last-activity-time-utc

Het tijdstip van de laatste activiteit in het incident.

--owner

Beschrijft een gebruiker aan waar het incident aan is toegewezen.

--severity

De ernst van het incident.

geaccepteerde waarden: High, Informational, Low, Medium
--status

De status van het incident.

geaccepteerde waarden: Active, Closed, New
--title

De titel van het incident.