Incidents - Create Or Update
Cria ou atualiza um incidente.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2024-03-01
Parâmetros de URI
Nome | Em | Obrigatório | Tipo | Description |
---|---|---|---|---|
incident
|
path | True |
string |
ID de Incidente |
resource
|
path | True |
string |
O nome do grupo de recursos. O nome diferencia maiúsculas de minúsculas. |
subscription
|
path | True |
string uuid |
A ID da assinatura de destino. O valor deve ser um UUID. |
workspace
|
path | True |
string |
O nome do workspace. Regex pattern: |
api-version
|
query | True |
string |
A versão da API a ser usada para esta operação. |
Corpo da solicitação
Nome | Obrigatório | Tipo | Description |
---|---|---|---|
properties.severity | True |
A gravidade do incidente |
|
properties.status | True |
O status do incidente |
|
properties.title | True |
string |
O título do incidente |
etag |
string |
Etag do recurso do azure |
|
properties.classification |
A razão pela qual o incidente foi fechado |
||
properties.classificationComment |
string |
Descreve o motivo pelo qual o incidente foi fechado |
|
properties.classificationReason |
O motivo da classificação com o qual o incidente foi fechado |
||
properties.description |
string |
A descrição do incidente |
|
properties.firstActivityTimeUtc |
string |
A hora da primeira atividade no incidente |
|
properties.labels |
Lista de rótulos relevantes para este incidente |
||
properties.lastActivityTimeUtc |
string |
A hora da última atividade no incidente |
|
properties.owner |
Descreve um usuário ao qual o incidente foi atribuído |
Respostas
Nome | Tipo | Description |
---|---|---|
200 OK |
OK, operação concluída com êxito |
|
201 Created |
Criado |
|
Other Status Codes |
Resposta de erro que descreve por que a operação falhou. |
Segurança
azure_auth
Fluxo do OAuth2 do Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nome | Description |
---|---|
user_impersonation | representar sua conta de usuário |
Exemplos
Creates or updates an incident.
Sample Request
PUT https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0001\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": []
}
}
}
Definições
Nome | Description |
---|---|
Attack |
A gravidade dos alertas criados por essa regra de alerta. |
Cloud |
Estrutura de resposta de erro. |
Cloud |
Detalhes do erro. |
created |
O tipo de identidade que criou o recurso. |
Incident |
Representa um incidente no Azure Security Insights. |
Incident |
Recipiente de propriedades de dados adicionais de incidentes. |
Incident |
A razão pela qual o incidente foi fechado |
Incident |
O motivo da classificação com o qual o incidente foi fechado |
Incident |
Representa um rótulo de incidente |
Incident |
O tipo do rótulo |
Incident |
Informações sobre o usuário a que um incidente é atribuído |
Incident |
A gravidade do incidente |
Incident |
O status do incidente |
Owner |
O tipo do proprietário ao qual o incidente é atribuído. |
system |
Metadados relativos à criação e à última modificação do recurso. |
AttackTactic
A gravidade dos alertas criados por essa regra de alerta.
Nome | Tipo | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Estrutura de resposta de erro.
Nome | Tipo | Description |
---|---|---|
error |
Dados do erro |
CloudErrorBody
Detalhes do erro.
Nome | Tipo | Description |
---|---|---|
code |
string |
Um identificador para o erro. Os códigos são invariáveis e devem ser consumidos programaticamente. |
message |
string |
Uma mensagem que descreve o erro, destinada a ser adequada para exibição em uma interface do usuário. |
createdByType
O tipo de identidade que criou o recurso.
Nome | Tipo | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Representa um incidente no Azure Security Insights.
Nome | Tipo | Description |
---|---|---|
etag |
string |
Etag do recurso do azure |
id |
string |
ID de recurso totalmente qualificada para o recurso. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
O nome do recurso |
properties.additionalData |
Dados adicionais sobre o incidente |
|
properties.classification |
A razão pela qual o incidente foi fechado |
|
properties.classificationComment |
string |
Descreve o motivo pelo qual o incidente foi fechado |
properties.classificationReason |
O motivo da classificação com o qual o incidente foi fechado |
|
properties.createdTimeUtc |
string |
A hora em que o incidente foi criado |
properties.description |
string |
A descrição do incidente |
properties.firstActivityTimeUtc |
string |
A hora da primeira atividade no incidente |
properties.incidentNumber |
integer |
Um número sequencial |
properties.incidentUrl |
string |
A URL de link profundo para o incidente no portal do Azure |
properties.labels |
Lista de rótulos relevantes para este incidente |
|
properties.lastActivityTimeUtc |
string |
A hora da última atividade no incidente |
properties.lastModifiedTimeUtc |
string |
A última vez que o incidente foi atualizado |
properties.owner |
Descreve um usuário ao qual o incidente foi atribuído |
|
properties.providerIncidentId |
string |
A ID do incidente atribuída pelo provedor de incidentes |
properties.providerName |
string |
O nome do provedor de origem que gerou o incidente |
properties.relatedAnalyticRuleIds |
string[] |
Lista de IDs de recursos de regras analíticas relacionadas ao incidente |
properties.severity |
A gravidade do incidente |
|
properties.status |
O status do incidente |
|
properties.title |
string |
O título do incidente |
systemData |
Os metadados do Azure Resource Manager que contêm as informações createdBy e modifiedBy. |
|
type |
string |
Tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
IncidentAdditionalData
Recipiente de propriedades de dados adicionais de incidentes.
Nome | Tipo | Description |
---|---|---|
alertProductNames |
string[] |
Lista de nomes de produtos de alertas no incidente |
alertsCount |
integer |
O número de alertas no incidente |
bookmarksCount |
integer |
O número de indicadores no incidente |
commentsCount |
integer |
O número de comentários no incidente |
providerIncidentUrl |
string |
A URL do incidente do provedor para o incidente no portal do Microsoft 365 Defender |
tactics |
As táticas associadas ao incidente |
IncidentClassification
A razão pela qual o incidente foi fechado
Nome | Tipo | Description |
---|---|---|
BenignPositive |
string |
O incidente foi positivo benigno |
FalsePositive |
string |
O incidente foi falso positivo |
TruePositive |
string |
O incidente foi verdadeiro positivo |
Undetermined |
string |
A classificação de incidentes foi indeterminada |
IncidentClassificationReason
O motivo da classificação com o qual o incidente foi fechado
Nome | Tipo | Description |
---|---|---|
InaccurateData |
string |
O motivo da classificação foi dados imprecisos |
IncorrectAlertLogic |
string |
O motivo da classificação foi a lógica de alerta incorreta |
SuspiciousActivity |
string |
O motivo da classificação foi atividade suspeita |
SuspiciousButExpected |
string |
O motivo da classificação era suspeito, mas esperado |
IncidentLabel
Representa um rótulo de incidente
Nome | Tipo | Description |
---|---|---|
labelName |
string |
O nome do rótulo |
labelType |
O tipo do rótulo |
IncidentLabelType
O tipo do rótulo
Nome | Tipo | Description |
---|---|---|
AutoAssigned |
string |
Rótulo criado automaticamente pelo sistema |
User |
string |
Rótulo criado manualmente por um usuário |
IncidentOwnerInfo
Informações sobre o usuário a que um incidente é atribuído
Nome | Tipo | Description |
---|---|---|
assignedTo |
string |
O nome do usuário ao qual o incidente foi atribuído. |
string |
O email do usuário ao qual o incidente foi atribuído. |
|
objectId |
string |
A ID do objeto do usuário ao qual o incidente foi atribuído. |
ownerType |
O tipo do proprietário ao qual o incidente é atribuído. |
|
userPrincipalName |
string |
O nome principal do usuário ao qual o incidente foi atribuído. |
IncidentSeverity
A gravidade do incidente
Nome | Tipo | Description |
---|---|---|
High |
string |
Severidade alta |
Informational |
string |
Severidade informativa |
Low |
string |
Severidade baixa |
Medium |
string |
Severidade média |
IncidentStatus
O status do incidente
Nome | Tipo | Description |
---|---|---|
Active |
string |
Um incidente ativo que está sendo tratado |
Closed |
string |
Um incidente não ativo |
New |
string |
Um incidente ativo que não está sendo tratado no momento |
OwnerType
O tipo do proprietário ao qual o incidente é atribuído.
Nome | Tipo | Description |
---|---|---|
Group |
string |
O tipo de proprietário do incidente é um grupo do AAD |
Unknown |
string |
O tipo de proprietário do incidente é desconhecido |
User |
string |
O tipo de proprietário do incidente é um usuário do AAD |
systemData
Metadados relativos à criação e à última modificação do recurso.
Nome | Tipo | Description |
---|---|---|
createdAt |
string |
O carimbo de data/hora da criação de recursos (UTC). |
createdBy |
string |
A identidade que criou o recurso. |
createdByType |
O tipo de identidade que criou o recurso. |
|
lastModifiedAt |
string |
O carimbo de data/hora da última modificação do recurso (UTC) |
lastModifiedBy |
string |
A identidade que modificou o recurso pela última vez. |
lastModifiedByType |
O tipo de identidade que modificou o recurso pela última vez. |