az sentinel incident

Nota

Essa referência faz parte da extensão sentinel da CLI do Azure (versão 2.37.0 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um comando az sentinel incident . Saiba mais sobre extensões.

Gerencie incidentes com sentinela.

Comandos

Name	Description	Tipo	Estado
az sentinel incident comment	Gerencie comentários de incidentes com sentinela.	Extensão	GA
az sentinel incident comment create	Crie o comentário do incidente.	Extensão	Experimental
az sentinel incident comment delete	Exclua o comentário do incidente.	Extensão	Experimental
az sentinel incident comment list	Obtenha todos os comentários de incidentes.	Extensão	Experimental
az sentinel incident comment show	Receba um comentário de incidente.	Extensão	Experimental
az sentinel incident comment update	Atualize o comentário do incidente.	Extensão	Experimental
az sentinel incident create	Crie o incidente.	Extensão	Experimental
az sentinel incident create-team	Crie uma equipe da Microsoft para investigar o incidente compartilhando informações e informações entre os participantes.	Extensão	Experimental
az sentinel incident delete	Exclua o incidente.	Extensão	Experimental
az sentinel incident list	Obtenha todos os incidentes.	Extensão	Experimental
az sentinel incident list-alert	Receba todos os alertas de incidentes.	Extensão	Experimental
az sentinel incident list-bookmark	Obtenha todos os marcadores de incidentes.	Extensão	Experimental
az sentinel incident list-entity	Obtenha todas as entidades relacionadas a incidentes.	Extensão	Experimental
az sentinel incident relation	Gerencie a relação de incidentes com sentinela.	Extensão	GA
az sentinel incident relation create	Crie a relação de incidente.	Extensão	Experimental
az sentinel incident relation delete	Exclua a relação de incidente.	Extensão	Experimental
az sentinel incident relation list	Obtenha todas as relações de incidentes.	Extensão	Experimental
az sentinel incident relation show	Obtenha uma relação de incidente.	Extensão	Experimental
az sentinel incident relation update	Atualize a relação do incidente.	Extensão	Experimental
az sentinel incident run-playbook	Acione um manual sobre um incidente específico.	Extensão	Experimental
az sentinel incident show	Receba um incidente.	Extensão	Experimental
az sentinel incident update	Atualize o incidente.	Extensão	Experimental

az sentinel incident create

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Crie o incidente.

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

Parâmetros Obrigatórios

--incident-id --name -n

ID do incidente.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros Opcionais

--classification

O motivo do incidente foi encerrado.

valores aceites: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

Descreve o motivo pelo qual o incidente foi encerrado.

--classification-reason

O motivo da classificação do incidente foi encerrado.

valores aceites: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

A descrição do incidente.

--etag

Etag do recurso azure.

--first-activity-time-utc

O tempo da primeira atividade no incidente.

--labels

Lista de rótulos relevantes para este incidente Suporte a sintaxe taquigráfica, json-file e yaml-file. Tente "??" para mostrar mais.

--last-activity-time-utc

A hora da última atividade no incidente.

--owner

Descreve um usuário que o incidente está atribuído a Support shorthand-syntax, json-file e yaml-file. Tente "??" para mostrar mais.

--provider-incident-id

A ID do incidente atribuída pelo provedor do incidente.

--provider-name

O nome do provedor de origem que gerou o incidente.

--severity

A gravidade do incidente.

valores aceites: High, Informational, Low, Medium

--status

O estado do incidente.

valores aceites: Active, Closed, New

--title

O título do incidente.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident create-team

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Crie uma equipe da Microsoft para investigar o incidente compartilhando informações e informações entre os participantes.

az sentinel incident create-team --incident-id
                                 --resource-group
                                 --team-name
                                 --workspace-name
                                 [--group-ids]
                                 [--member-ids]
                                 [--team-description]

Parâmetros Obrigatórios

--incident-id

ID do incidente.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--team-name

O nome da equipa.

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros Opcionais

--group-ids

Lista de IDs de grupo para adicionar seus membros à equipe Suporte taquigrafia-sintaxe, json-file e yaml-file. Tente "??" para mostrar mais.

--member-ids

Lista de IDs de membros a serem adicionados à equipe Suporte shorthand-syntax, json-file e yaml-file. Tente "??" para mostrar mais.

--team-description

A descrição da equipa.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident delete

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Exclua o incidente.

az sentinel incident delete [--ids]
                            [--incident-id]
                            [--resource-group]
                            [--subscription]
                            [--workspace-name]
                            [--yes]

Parâmetros Opcionais

--ids

Um ou mais IDs de recurso (delimitados por espaço). Deve ser um ID de recurso completo contendo todas as informações dos argumentos 'ID do recurso'. Você deve fornecer --ids ou outros argumentos 'Resource Id'.

--incident-id --name -n

ID do incidente.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--workspace-name -w

Experimental

O nome do espaço de trabalho.

--yes -y

Não solicite confirmação.

valor predefinido: False

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident list

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Obtenha todos os incidentes.

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

Parâmetros Obrigatórios

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros Opcionais

--filter

Filtra os resultados, com base em uma condição booleana. Opcional.

--orderby

Classifica os resultados. Opcional.

--skip-token

Skiptoken só é usado se uma operação anterior retornou um resultado parcial. Se uma resposta anterior contiver um elemento nextLink, o valor do elemento nextLink incluirá um parâmetro skiptoken que especifica um ponto de partida a ser usado para chamadas subsequentes. Opcional.

--top

Devolve apenas os primeiros n resultados. Opcional.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident list-alert

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Receba todos os alertas de incidentes.

az sentinel incident list-alert --incident-id
                                --resource-group
                                --workspace-name

Parâmetros Obrigatórios

--incident-id

ID do incidente.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident list-bookmark

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Obtenha todos os marcadores de incidentes.

az sentinel incident list-bookmark --incident-id
                                   --resource-group
                                   --workspace-name

Parâmetros Obrigatórios

--incident-id

ID do incidente.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident list-entity

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Obtenha todas as entidades relacionadas a incidentes.

az sentinel incident list-entity --incident-id
                                 --resource-group
                                 --workspace-name

Parâmetros Obrigatórios

--incident-id

ID do incidente.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident run-playbook

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Acione um manual sobre um incidente específico.

az sentinel incident run-playbook --incident-identifier
                                  --resource-group
                                  --workspace-name
                                  [--logic-apps-resource-id]
                                  [--tenant-id]

Parâmetros Obrigatórios

--incident-identifier

Identificador do incidente.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros Opcionais

--logic-apps-resource-id

ID de recurso de aplicativos lógicos.

--tenant-id

ID do inquilino.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident show

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Receba um incidente.

az sentinel incident show [--ids]
                          [--incident-id]
                          [--resource-group]
                          [--subscription]
                          [--workspace-name]

Parâmetros Opcionais

--ids

Um ou mais IDs de recurso (delimitados por espaço). Deve ser um ID de recurso completo contendo todas as informações dos argumentos 'ID do recurso'. Você deve fornecer --ids ou outros argumentos 'Resource Id'.

--incident-id --name -n

ID do incidente.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az sentinel incident update

Experimental

Este comando é experimental e está em desenvolvimento. Níveis de referência e de apoio: https://aka.ms/CLI_refstatus

Atualize o incidente.

az sentinel incident update [--add]
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                            [--ids]
                            [--incident-id]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--remove]
                            [--resource-group]
                            [--set]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--subscription]
                            [--title]
                            [--workspace-name]

Parâmetros Opcionais

--add

Adicione um objeto a uma lista de objetos especificando um caminho e pares de valor de chave. Exemplo: --add property.listProperty <key=value, string ou JSON string>.

--classification

O motivo do incidente foi encerrado.

valores aceites: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

Descreve o motivo pelo qual o incidente foi encerrado.

--classification-reason

O motivo da classificação do incidente foi encerrado.

valores aceites: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

A descrição do incidente.

--etag

Etag do recurso azure.

--first-activity-time-utc

O tempo da primeira atividade no incidente.

--force-string

Ao usar 'set' ou 'add', preserve literais de string em vez de tentar converter para JSON.

valores aceites: 0, 1, f, false, n, no, t, true, y, yes

--ids

Um ou mais IDs de recurso (delimitados por espaço). Deve ser um ID de recurso completo contendo todas as informações dos argumentos 'ID do recurso'. Você deve fornecer --ids ou outros argumentos 'Resource Id'.

--incident-id --name -n

ID do incidente.

--labels

Lista de rótulos relevantes para este incidente Suporte a sintaxe taquigráfica, json-file e yaml-file. Tente "??" para mostrar mais.

--last-activity-time-utc

A hora da última atividade no incidente.

--owner

Descreve um usuário que o incidente está atribuído a Support shorthand-syntax, json-file e yaml-file. Tente "??" para mostrar mais.

--provider-incident-id

A ID do incidente atribuída pelo provedor do incidente.

--provider-name

O nome do provedor de origem que gerou o incidente.

--remove

Remova uma propriedade ou um elemento de uma lista. Exemplo: --remove property.list OR --remove propertyToRemove.

--resource-group -g

o nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.

--set

Atualize um objeto especificando um caminho de propriedade e um valor a ser definido. Exemplo: --set property1.property2=.

--severity

A gravidade do incidente.

valores aceites: High, Informational, Low, Medium

--status

O estado do incidente.

valores aceites: Active, Closed, New

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--title

O título do incidente.

--workspace-name -w

Experimental

O nome do espaço de trabalho.

Parâmetros de Globais

--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceites: json, jsonc, none, table, tsv, yaml, yamlc

valor predefinido: json

--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.