Incidents - List Entities
Obtient toutes les entités d’un incident.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/entities?api-version=2024-03-01Paramètres URI
| Nom | Dans | Obligatoire | Type | Description |
|---|---|---|---|---|
|
incident
|
path | True |
string |
ID de l'incident |
|
resource
|
path | True |
string |
Nom du groupe de ressources. Le nom ne respecte pas la casse. |
|
subscription
|
path | True |
string uuid |
ID de l’abonnement cible. La valeur doit être un UUID. |
|
workspace
|
path | True |
string |
Nom de l’espace de travail. Modèle d’expression régulière: |
|
api-version
|
query | True |
string |
Version de l’API à utiliser pour cette opération. |
Réponses
| Nom | Type | Description |
|---|---|---|
| 200 OK |
Ok |
|
| Other Status Codes |
Réponse d’erreur décrivant la raison de l’échec de l’opération. |
Sécurité
azure_auth
Flux OAuth2 Azure Active Directory
Type:
oauth2
Flux:
implicit
URL d’autorisation:
https://login.microsoftonline.com/common/oauth2/authorize
Étendues
| Nom | Description |
|---|---|
| user_impersonation | Emprunter l’identité de votre compte d’utilisateur |
Exemples
Gets all incident related entities
Exemple de requête
POST https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/afbd324f-6c48-459c-8710-8d1e1cd03812/entities?api-version=2024-03-01
Exemple de réponse
{
"entities": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/Entities/e1d3d618-e11f-478b-98e3-bb381539a8e1",
"name": "e1d3d618-e11f-478b-98e3-bb381539a8e1",
"type": "Microsoft.SecurityInsights/Entities",
"kind": "Account",
"properties": {
"friendlyName": "administrator",
"accountName": "administrator",
"ntDomain": "domain"
}
}
],
"metaData": [
{
"entityKind": "Account",
"count": 1
}
]
}Définitions
| Nom | Description |
|---|---|
|
Account |
Représente une entité de compte. |
|
Alert |
La gravité de l’alerte |
|
Alert |
Cycle de vie status de l’alerte. |
|
Antispam |
La direction de ce message électronique |
|
Attack |
Gravité des alertes créées par cette règle d’alerte. |
|
Azure |
Représente une entité de ressource Azure. |
|
Cloud |
Représente une entité d’application cloud. |
|
Cloud |
Structure de réponse d’erreur. |
|
Cloud |
Détails de l’erreur. |
|
Confidence |
Niveau de confiance de cette alerte. |
|
Confidence |
Les raisons de confiance |
|
Confidence |
Le calcul du score de confiance status, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou final. |
|
created |
Type d’identité qui a créé la ressource. |
|
Delivery |
L’action de remise de ce message électronique, par exemple Remise, Bloqué, Remplacé, etc. |
|
Delivery |
L’emplacement de remise de ce message électronique, par exemple Boîte de réception, JunkFolder, etc. |
|
Dns |
Représente une entité dns. |
|
Elevation |
Jeton d'élévation associé au processus. |
|
Entity |
Type de l’entité agrégée. |
|
File |
Représente une entité de fichier. |
|
File |
Type d'algorithme de hachage. |
|
File |
Représente une entité de hachage de fichier. |
|
Geo |
Contexte de géolocalisation attaché à l’entité ip |
|
Host |
Représente une entité hôte. |
|
Hunting |
Représente une entité de signet de chasse. |
|
Incident |
Réponse des entités liées aux incidents. |
|
Incident |
Informations d’une agrégation spécifique dans le résultat des entités liées aux incidents. |
|
Incident |
Décrit les informations sur les incidents associées pour le signet |
|
Incident |
Gravité de l’incident |
|
Io |
Représente une entité d’appareil IoT. |
|
Ip |
Représente une entité ip. |
|
Kill |
Contient le mappage des phases d’intention d’alerte pour cette alerte. |
|
Mailbox |
Représente une entité de boîte aux lettres. |
|
Mail |
Représente une entité de cluster de messagerie. |
|
Mail |
Représente une entité de message électronique. |
|
Malware |
Représente une entité de programme malveillant. |
| OSFamily |
Type de système d’exploitation. |
|
Process |
Représente une entité de processus. |
|
Registry |
la ruche qui contient la clé de Registre. |
|
Registry |
Représente une entité de clé de Registre. |
|
Registry |
Représente une entité de valeur de Registre. |
|
Registry |
Spécifie les types de données à utiliser lors du stockage des valeurs dans le Registre ou identifie le type de données d'une valeur dans le Registre. |
|
Security |
Représente une entité d’alerte de sécurité. |
|
Security |
Représente une entité de groupe de sécurité. |
|
Submission |
Représente une entité de messagerie de soumission. |
|
system |
Métadonnées relatives à la création et à la dernière modification de la ressource. |
|
Threat |
Conteneur de propriétés ThreatIntelligence. |
|
Url |
Représente une entité URL. |
|
User |
Informations utilisateur ayant effectué une action |
AccountEntity
Représente une entité de compte.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Account |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.aadTenantId |
string |
ID de locataire Azure Active Directory. |
| properties.aadUserId |
string |
ID d’utilisateur Azure Active Directory. |
| properties.accountName |
string |
Nom du compte. Ce champ doit contenir uniquement le nom sans domaine ajouté, c’est-à-dire administrateur. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.displayName |
string |
Nom d'affichage du compte. |
| properties.dnsDomain |
string |
Nom DNS de domaine complet. |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.hostEntityId |
string |
ID d’entité hôte qui contient le compte au cas où il s’agit d’un compte local (non joint à un domaine) |
| properties.isDomainJoined |
boolean |
Détermine s'il s’agit d'un compte de domaine. |
| properties.ntDomain |
string |
Nom de domaine NetBIOS tel qu’il apparaît au format d’alerte - domaine\nom d’utilisateur. Exemples : NT AUTHORITY. |
| properties.objectGuid |
string |
L’attribut objectGUID est un attribut à valeur unique qui est l’identificateur unique de l’objet, attribué par Active Directory. |
| properties.puid |
string |
ID utilisateur d’Azure Active Directory Passport. |
| properties.sid |
string |
Identificateur de sécurité du compte, par exemple S-1-5-18. |
| properties.upnSuffix |
string |
Suffixe du nom d’utilisateur principal du compte, dans certains cas, il s’agit également du nom de domaine. Exemples : contoso.com. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
AlertSeverity
La gravité de l’alerte
| Nom | Type | Description |
|---|---|---|
| High |
string |
Niveau de gravité Élevé |
| Informational |
string |
Gravité informationnelle |
| Low |
string |
Gravité faible |
| Medium |
string |
Niveau de gravité Moyen |
AlertStatus
Cycle de vie status de l’alerte.
| Nom | Type | Description |
|---|---|---|
| Dismissed |
string |
Alerte ignorée comme faux positif |
| InProgress |
string |
L’alerte est gérée |
| New |
string |
Nouvelle alerte |
| Resolved |
string |
Alerte fermée après gestion |
| Unknown |
string |
Valeur inconnue |
AntispamMailDirection
La direction de ce message électronique
| Nom | Type | Description |
|---|---|---|
| Inbound |
string |
Trafic entrant |
| Intraorg |
string |
Intraorg |
| Outbound |
string |
Règle de trafic sortant |
| Unknown |
string |
Unknown |
AttackTactic
Gravité des alertes créées par cette règle d’alerte.
| Nom | Type | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
AzureResourceEntity
Représente une entité de ressource Azure.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Azure |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.resourceId |
string |
ID de ressource Azure de la ressource |
| properties.subscriptionId |
string |
ID d’abonnement de la ressource |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
CloudApplicationEntity
Représente une entité d’application cloud.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Cloud |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.appId |
integer |
Identificateur technique de l'application. |
| properties.appName |
string |
Nom de l'application cloud associée. |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.instanceName |
string |
L’utilisateur a défini instance nom de l’application cloud. Souvent utilisé pour distinguer les différentes applications du même type d'un client. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
CloudError
Structure de réponse d’erreur.
| Nom | Type | Description |
|---|---|---|
| error |
Données d’erreur |
CloudErrorBody
Détails de l’erreur.
| Nom | Type | Description |
|---|---|---|
| code |
string |
Identificateur de l'erreur. Les codes sont invariants et sont destinés à être consommés par programmation. |
| message |
string |
Message décrivant l’erreur, destiné à être affiché dans une interface utilisateur. |
ConfidenceLevel
Niveau de confiance de cette alerte.
| Nom | Type | Description |
|---|---|---|
| High |
string |
Confiance élevée dans le fait que l’alerte est véritablement positive et malveillante |
| Low |
string |
Confiance faible, ce qui signifie que nous avons quelques doutes, cela est en effet malveillant ou fait partie d’une attaque |
| Unknown |
string |
Confiance inconnue, est la valeur par défaut |
ConfidenceReasons
Les raisons de confiance
| Nom | Type | Description |
|---|---|---|
| reason |
string |
Description de la raison |
| reasonType |
string |
Type (catégorie) de la raison |
ConfidenceScoreStatus
Le calcul du score de confiance status, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou final.
| Nom | Type | Description |
|---|---|---|
| Final |
string |
Le score final a été calculé et disponible |
| InProcess |
string |
Aucun score n’a encore été défini et le calcul est en cours |
| NotApplicable |
string |
Le score ne sera pas calculé pour cette alerte, car elle n’est pas prise en charge par l’analyste virtuel |
| NotFinal |
string |
Le score est calculé et affiché dans le cadre de l’alerte, mais peut être mis à jour ultérieurement après le traitement de données supplémentaires |
createdByType
Type d’identité qui a créé la ressource.
| Nom | Type | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
DeliveryAction
L’action de remise de ce message électronique, par exemple Remise, Bloqué, Remplacé, etc.
| Nom | Type | Description |
|---|---|---|
| Blocked |
string |
Bloqué |
| Delivered |
string |
Delivered (Livrée) |
| DeliveredAsSpam |
string |
DeliveredAsSpam |
| Replaced |
string |
Remplacé |
| Unknown |
string |
Unknown |
DeliveryLocation
L’emplacement de remise de ce message électronique, par exemple Boîte de réception, JunkFolder, etc.
| Nom | Type | Description |
|---|---|---|
| DeletedFolder |
string |
DeletedFolder |
| Dropped |
string |
Supprimé |
| External |
string |
Externe |
| Failed |
string |
Échec |
| Forwarded |
string |
Forwarded |
| Inbox |
string |
Inbox |
| JunkFolder |
string |
JunkFolder |
| Quarantine |
string |
Mise en quarantaine |
| Unknown |
string |
Unknown |
DnsEntity
Représente une entité dns.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Dns |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.dnsServerIpEntityId |
string |
ID d’entité IP pour le serveur dns qui résout la requête |
| properties.domainName |
string |
Nom de l’enregistrement DNS associé à l’alerte |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.hostIpAddressEntityId |
string |
ID d’entité IP pour le client de requête dns |
| properties.ipAddressEntityIds |
string[] |
Identificateurs d’entité IP pour l’adresse IP résolue. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
ElevationToken
Jeton d'élévation associé au processus.
| Nom | Type | Description |
|---|---|---|
| Default |
string |
Jeton d’élévation par défaut |
| Full |
string |
Jeton d’élévation complète |
| Limited |
string |
Jeton d’élévation limité |
EntityKindEnum
Type de l’entité agrégée.
| Nom | Type | Description |
|---|---|---|
| Account |
string |
L’entité représente le compte dans le système. |
| AzureResource |
string |
L’entité représente la ressource Azure dans le système. |
| Bookmark |
string |
L’entité représente le signet dans le système. |
| CloudApplication |
string |
Entity représente l’application cloud dans le système. |
| DnsResolution |
string |
L’entité représente la résolution dns dans le système. |
| File |
string |
L’entité représente le fichier dans le système. |
| FileHash |
string |
L’entité représente le hachage de fichier dans le système. |
| Host |
string |
L’entité représente l’hôte dans le système. |
| IoTDevice |
string |
L’entité représente un appareil IoT dans le système. |
| Ip |
string |
L’entité représente ip dans le système. |
| MailCluster |
string |
L’entité représente le cluster de messagerie dans le système. |
| MailMessage |
string |
L’entité représente un message électronique dans le système. |
| Mailbox |
string |
L’entité représente la boîte aux lettres dans le système. |
| Malware |
string |
L’entité représente les programmes malveillants dans le système. |
| Process |
string |
L’entité représente le processus dans le système. |
| RegistryKey |
string |
L’entité représente la clé de Registre dans le système. |
| RegistryValue |
string |
L’entité représente la valeur de Registre dans le système. |
| SecurityAlert |
string |
L’entité représente l’alerte de sécurité dans le système. |
| SecurityGroup |
string |
L’entité représente le groupe de sécurité dans le système. |
| SubmissionMail |
string |
L’entité représente le courrier électronique d’envoi dans le système. |
| Url |
string |
L’entité représente l’URL dans le système. |
FileEntity
Représente une entité de fichier.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
File |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.directory |
string |
Chemin d'accès complet au fichier. |
| properties.fileHashEntityIds |
string[] |
Identificateurs d’entité de hachage de fichier associés à ce fichier |
| properties.fileName |
string |
Nom de fichier sans chemin d’accès (certaines alertes peuvent ne pas inclure de chemin d’accès). |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.hostEntityId |
string |
ID d’entité hôte auquel appartient le fichier |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
FileHashAlgorithm
Type d'algorithme de hachage.
| Nom | Type | Description |
|---|---|---|
| MD5 |
string |
Type de hachage MD5 |
| SHA1 |
string |
Type de hachage SHA1 |
| SHA256 |
string |
Type de hachage SHA256 |
| SHA256AC |
string |
Sha256 Authenticode, type de hachage |
| Unknown |
string |
Algorithme de hachage inconnu |
FileHashEntity
Représente une entité de hachage de fichier.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
File |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.algorithm |
Type d'algorithme de hachage. |
|
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.hashValue |
string |
Valeur de hachage de fichier. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
GeoLocation
Contexte de géolocalisation attaché à l’entité ip
| Nom | Type | Description |
|---|---|---|
| asn |
integer |
Numéro de système autonome |
| city |
string |
Nom de la ville |
| countryCode |
string |
L’indicatif de pays au format ISO 3166 |
| countryName |
string |
Nom du pays selon ISO 3166 Alpha 2 : minuscule du nom court anglais |
| latitude |
number |
Longitude de l’emplacement identifié, exprimée sous la forme d’un nombre à virgule flottante compris entre -180 et 180, les nombres positifs représentant l’Est et les nombres négatifs représentant l’Ouest. La latitude et la longitude sont dérivées de la ville ou du code postal. |
| longitude |
number |
Latitude de l’emplacement identifié, exprimée sous la forme d’un nombre à virgule flottante dont la plage est comprise entre - 90 et 90, les nombres positifs représentant le Nord et les nombres négatifs représentant le Sud. La latitude et la longitude sont dérivées de la ville ou du code postal. |
| state |
string |
Nom de l’état |
HostEntity
Représente une entité hôte.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Host |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.azureID |
string |
ID de ressource Azure de la machine virtuelle. |
| properties.dnsDomain |
string |
Domaine DNS auquel cet hôte appartient. Doit contenir le suffixe DNS concurrent pour le domaine |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.hostName |
string |
Nom d'hôte sans suffixe de domaine. |
| properties.isDomainJoined |
boolean |
Détermine si cet hôte appartient à un domaine. |
| properties.netBiosName |
string |
Nom d’hôte (avant windows2000). |
| properties.ntDomain |
string |
Domaine NT auquel cet hôte appartient. |
| properties.omsAgentID |
string |
ID de l’agent OMS, si l’agent OMS est installé sur l’hôte. |
| properties.osFamily |
Type de système d’exploitation. |
|
| properties.osVersion |
string |
Représentation en texte libre du système d’exploitation. Ce champ est destiné à contenir des versions spécifiques dont le grain est plus précis que OSFamily ou les valeurs futures non prises en charge par l’énumération OSFamily |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
HuntingBookmark
Représente une entité de signet de chasse.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Bookmark |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.created |
string |
Heure à laquelle le signet a été créé |
| properties.createdBy |
Décrit un utilisateur qui a créé le signet |
|
| properties.displayName |
string |
Nom complet du signet |
| properties.eventTime |
string |
Heure de l’événement |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.incidentInfo |
Décrit un incident lié au signet |
|
| properties.labels |
string[] |
Liste des étiquettes pertinentes pour ce signet |
| properties.notes |
string |
Notes du signet |
| properties.query |
string |
Requête du signet. |
| properties.queryResult |
string |
Résultat de la requête du signet. |
| properties.updated |
string |
La dernière fois que le signet a été mis à jour |
| properties.updatedBy |
Décrit un utilisateur qui a mis à jour le signet |
|
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
IncidentEntitiesResponse
Réponse des entités liées aux incidents.
| Nom | Type | Description |
|---|---|---|
| entities |
Entity[]:
|
Tableau des entités liées aux incidents. |
| metaData |
Métadonnées des résultats des entités liées à l’incident. |
IncidentEntitiesResultsMetadata
Informations d’une agrégation spécifique dans le résultat des entités liées aux incidents.
| Nom | Type | Description |
|---|---|---|
| count |
integer |
Nombre total d’agrégations du type donné dans le résultat des entités liées aux incidents. |
| entityKind |
Type de l’entité agrégée. |
IncidentInfo
Décrit les informations sur les incidents associées pour le signet
| Nom | Type | Description |
|---|---|---|
| incidentId |
string |
ID d’incident |
| relationName |
string |
Nom de la relation |
| severity |
Gravité de l’incident |
|
| title |
string |
Titre de l’incident |
IncidentSeverity
Gravité de l’incident
| Nom | Type | Description |
|---|---|---|
| High |
string |
Niveau de gravité Élevé |
| Informational |
string |
Gravité informationnelle |
| Low |
string |
Gravité faible |
| Medium |
string |
Niveau de gravité Moyen |
IoTDeviceEntity
Représente une entité d’appareil IoT.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Io |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.deviceId |
string |
ID de l’appareil IoT dans le IoT Hub |
| properties.deviceName |
string |
Nom convivial de l’appareil |
| properties.deviceType |
string |
Type de l’appareil |
| properties.edgeId |
string |
ID de l’appareil périphérique |
| properties.firmwareVersion |
string |
Version du microprogramme de l’appareil |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.hostEntityId |
string |
ID d’entité hôte de cet appareil |
| properties.iotHubEntityId |
string |
ID d’entité AzureResource du IoT Hub |
| properties.iotSecurityAgentId |
string |
ID de l’agent de sécurité en cours d’exécution sur l’appareil |
| properties.ipAddressEntityId |
string |
L’entité IP si de cet appareil |
| properties.macAddress |
string |
Adresse MAC de l’appareil |
| properties.model |
string |
Modèle de l’appareil |
| properties.operatingSystem |
string |
Système d’exploitation de l’appareil |
| properties.protocols |
string[] |
Liste des protocoles de l’entité IoTDevice. |
| properties.serialNumber |
string |
Numéro de série de l’appareil |
| properties.source |
string |
Source de l’appareil |
| properties.threatIntelligence |
Liste des contextes TI attachés à l’entité IoTDevice. |
|
| properties.vendor |
string |
Le fournisseur de l’appareil |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
IpEntity
Représente une entité ip.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Ip |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.address |
string |
Adresse IP sous forme de chaîne, par exemple 127.0.0.1 (dans Ipv4 ou Ipv6) |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.location |
Contexte de géolocalisation attaché à l’entité ip |
|
| properties.threatIntelligence |
Liste des contextes TI attachés à l’entité ip. |
|
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
KillChainIntent
Contient le mappage des phases d’intention d’alerte pour cette alerte.
| Nom | Type | Description |
|---|---|---|
| Collection |
string |
La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer. |
| CommandAndControl |
string |
La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible. |
| CredentialAccess |
string |
L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement. |
| DefenseEvasion |
string |
L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses. Parfois, ces actions sont les mêmes que ou des variantes de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulière. |
| Discovery |
string |
La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission. |
| Execution |
string |
La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau. |
| Exfiltration |
string |
L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer. |
| Exploitation |
string |
L’exploitation est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape s’applique non seulement aux hôtes de calcul, mais également aux ressources telles que les comptes d’utilisateur, les certificats, etc. Les adversaires pourront souvent contrôler la ressource après cette étape. |
| Impact |
string |
L’objectif principal de l’intention d’impact est de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau ; y compris la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Cela fait souvent référence à des techniques telles que les rançongiciels, le defacement, la manipulation de données, etc. |
| LateralMovement |
string |
Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des outils supplémentaires tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers des systèmes supplémentaires, l’accès à des informations ou fichiers spécifiques, l’accès à des informations d’identification supplémentaires, ou dans le but de causer un effet. |
| Persistence |
string |
La persistance est toute modification d’accès, d’action ou de configuration apportée à un système qui donne à un adversaire une présence persistante sur ce système. Les adversaires doivent souvent conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages du système, une perte d’informations d’identification ou d’autres défaillances qui nécessiteraient un outil d’accès à distance pour redémarrer ou une autre porte dérobée pour qu’ils retrouvent l’accès. |
| PrivilegeEscalation |
string |
L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateurs ayant des autorisations pour accéder à certains systèmes ou exécuter des fonctions spécifiques nécessaires pour permettre aux adversaires d’atteindre leurs objectifs peuvent également être considérés comme une élévation de privilèges. |
| Probing |
string |
Le sondage peut être une tentative d’accès à une certaine ressource, quelle que soit une intention malveillante ou une tentative d’accès infructueuse à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative provenant de l’extérieur du réseau dans le but d’analyser le système cible et de trouver un chemin. |
| Unknown |
string |
Valeur par défaut. |
MailboxEntity
Représente une entité de boîte aux lettres.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mailbox |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.displayName |
string |
Nom complet de la boîte aux lettres |
| properties.externalDirectoryObjectId |
string |
Identificateur AzureAD de la boîte aux lettres. Similaire à AadUserId dans l’entité de compte, mais cette propriété est spécifique à l’objet de boîte aux lettres côté bureau |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.mailboxPrimaryAddress |
string |
Adresse principale de la boîte aux lettres |
| properties.upn |
string |
UPN de la boîte aux lettres |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
MailClusterEntity
Représente une entité de cluster de messagerie.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mail |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.clusterGroup |
string |
Groupe de clusters |
| properties.clusterQueryEndTime |
string |
Heure de fin de la requête de cluster |
| properties.clusterQueryStartTime |
string |
Heure de début de la requête de cluster |
| properties.clusterSourceIdentifier |
string |
ID de la source du cluster |
| properties.clusterSourceType |
string |
Type de la source du cluster |
| properties.countByDeliveryStatus |
object |
Nombre de messages par représentation sous forme de chaîne DeliveryStatus |
| properties.countByProtectionStatus |
object |
Nombre de messages par représentation sous forme de chaîne ProtectionStatus |
| properties.countByThreatType |
object |
Nombre de messages par représentation sous forme de chaîne ThreatType |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.isVolumeAnomaly |
boolean |
S’agit-il d’un cluster de messagerie d’anomalie de volume |
| properties.mailCount |
integer |
Nombre de messages électroniques qui font partie du cluster de messagerie |
| properties.networkMessageIds |
string[] |
ID de message électronique qui font partie du cluster de messagerie |
| properties.query |
string |
Requête utilisée pour identifier les messages du cluster de messagerie |
| properties.queryTime |
string |
Heure de la requête |
| properties.source |
string |
Source du cluster de messagerie (la valeur par défaut est « O365 ATP ») |
| properties.threats |
string[] |
Menaces des messages électroniques qui font partie du cluster de messagerie |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
MailMessageEntity
Représente une entité de message électronique.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Mail |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Sac de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.antispamDirection |
La direction de ce message électronique |
|
| properties.bodyFingerprintBin1 |
integer |
BodyFingerprintBin1 |
| properties.bodyFingerprintBin2 |
integer |
BodyFingerprintBin2 |
| properties.bodyFingerprintBin3 |
integer |
BodyFingerprintBin3 |
| properties.bodyFingerprintBin4 |
integer |
BodyFingerprintBin4 |
| properties.bodyFingerprintBin5 |
integer |
BodyFingerprintBin5 |
| properties.deliveryAction |
L’action de remise de ce message électronique, par exemple Remise, Bloqué, Remplacé, etc. |
|
| properties.deliveryLocation |
L’emplacement de remise de ce message électronique comme Boîte de réception, JunkFolder, etc. |
|
| properties.fileEntityIds |
string[] |
ID d’entité File des pièces jointes de ce message électronique |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible de l’élément de graphique instance. Cette propriété est facultative et peut être générée par le système. |
| properties.internetMessageId |
string |
ID de message Internet de ce message électronique |
| properties.language |
string |
Langue de ce message électronique |
| properties.networkMessageId |
string |
ID de message réseau de ce message électronique |
| properties.p1Sender |
string |
Adresse e-mail de l’expéditeur p1 |
| properties.p1SenderDisplayName |
string |
Nom complet de l’expéditeur p1 |
| properties.p1SenderDomain |
string |
Domaine de l’expéditeur p1 |
| properties.p2Sender |
string |
Adresse e-mail de l’expéditeur p2 |
| properties.p2SenderDisplayName |
string |
Nom complet de l’expéditeur p2 |
| properties.p2SenderDomain |
string |
Domaine de l’expéditeur p2 |
| properties.receiveDate |
string |
Date de réception de ce message |
| properties.recipient |
string |
Destinataire de ce message électronique. Notez qu’en cas de plusieurs destinataires, le message électronique est dupliqué et chaque copie a un destinataire |
| properties.senderIP |
string |
Adresse IP de l’expéditeur |
| properties.subject |
string |
Objet de ce message électronique |
| properties.threatDetectionMethods |
string[] |
Méthodes de détection des menaces |
| properties.threats |
string[] |
Les menaces de ce message électronique |
| properties.urls |
string[] |
URL contenues dans ce message électronique |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
MalwareEntity
Représente une entité de programme malveillant.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Malware |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Sac de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.category |
string |
Catégorie de programmes malveillants par le fournisseur, par exemple, Cheval de Troie |
| properties.fileEntityIds |
string[] |
Liste des identificateurs d’entité de fichier lié sur lesquels le programme malveillant a été trouvé |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible de l’élément de graphique instance. Cette propriété est facultative et peut être générée par le système. |
| properties.malwareName |
string |
Nom du programme malveillant par le fournisseur, par exemple Win32/Toga !rfn |
| properties.processEntityIds |
string[] |
Liste des identificateurs d’entité de processus liés sur lesquels le programme malveillant a été trouvé. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
OSFamily
Type de système d’exploitation.
| Nom | Type | Description |
|---|---|---|
| Android |
string |
Héberger avec le système d’exploitation Android. |
| IOS |
string |
Héberger avec le système d’exploitation IOS. |
| Linux |
string |
Héberger avec le système d’exploitation Linux. |
| Unknown |
string |
Hôte avec un système d’exploitation inconnu. |
| Windows |
string |
Héberger avec le système d’exploitation Windows. |
ProcessEntity
Représente une entité de processus.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Process |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.accountEntityId |
string |
ID d’entité de compte exécutant les processus. |
| properties.additionalData |
object |
Sac de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.commandLine |
string |
Ligne de commande utilisée pour créer le processus |
| properties.creationTimeUtc |
string |
Heure à laquelle le processus a commencé à s’exécuter |
| properties.elevationToken |
Jeton d'élévation associé au processus. |
|
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible de l’élément de graphique instance. Cette propriété est facultative et peut être générée par le système. |
| properties.hostEntityId |
string |
ID d’entité hôte sur lequel le processus s’exécute |
| properties.hostLogonSessionEntityId |
string |
ID d’entité de session dans lequel le processus s’exécute |
| properties.imageFileEntityId |
string |
ID d’entité de fichier image |
| properties.parentProcessEntityId |
string |
ID d’entité de processus parent. |
| properties.processId |
string |
ID de processus |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
RegistryHive
la ruche qui contient la clé de Registre.
| Nom | Type | Description |
|---|---|---|
| HKEY_A |
string |
HKEY_A |
| HKEY_CLASSES_ROOT |
string |
HKEY_CLASSES_ROOT |
| HKEY_CURRENT_CONFIG |
string |
HKEY_CURRENT_CONFIG |
| HKEY_CURRENT_USER |
string |
HKEY_CURRENT_USER |
| HKEY_CURRENT_USER_LOCAL_SETTINGS |
string |
HKEY_CURRENT_USER_LOCAL_SETTINGS |
| HKEY_LOCAL_MACHINE |
string |
HKEY_LOCAL_MACHINE |
| HKEY_PERFORMANCE_DATA |
string |
HKEY_PERFORMANCE_DATA |
| HKEY_PERFORMANCE_NLSTEXT |
string |
HKEY_PERFORMANCE_NLSTEXT |
| HKEY_PERFORMANCE_TEXT |
string |
HKEY_PERFORMANCE_TEXT |
| HKEY_USERS |
string |
HKEY_USERS |
RegistryKeyEntity
Représente une entité de clé de Registre.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Registry |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Sac de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible de l’élément de graphique instance. Cette propriété est facultative et peut être générée par le système. |
| properties.hive |
la ruche qui contient la clé de Registre. |
|
| properties.key |
string |
Chemin de la clé de Registre. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
RegistryValueEntity
Représente une entité de valeur de Registre.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Registry |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Sac de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible de l’élément de graphique instance. Cette propriété est facultative et peut être générée par le système. |
| properties.keyEntityId |
string |
ID d’entité de clé de Registre. |
| properties.valueData |
string |
Représentation au format de chaîne des données de valeur. |
| properties.valueName |
string |
Nom de la valeur de Registre. |
| properties.valueType |
Spécifie les types de données à utiliser lors du stockage des valeurs dans le Registre ou identifie le type de données d'une valeur dans le Registre. |
|
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
RegistryValueKind
Spécifie les types de données à utiliser lors du stockage des valeurs dans le Registre ou identifie le type de données d'une valeur dans le Registre.
| Nom | Type | Description |
|---|---|---|
| Binary |
string |
Type valeur binaire |
| DWord |
string |
Type de valeur DWord |
| ExpandString |
string |
Type valeur ExpandString |
| MultiString |
string |
Type de valeur MultiString |
| None |
string |
None |
| QWord |
string |
Type de valeur QWord |
| String |
string |
Type valeur de chaîne |
| Unknown |
string |
Type de valeur inconnu |
SecurityAlert
Représente une entité d’alerte de sécurité.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind | string: |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.alertDisplayName |
string |
Nom complet de l’alerte. |
| properties.alertLink |
string |
Lien URI de l’alerte. |
| properties.alertType |
string |
Nom de type de l’alerte. |
| properties.compromisedEntity |
string |
Nom d’affichage de l’entité main signalée. |
| properties.confidenceLevel |
Niveau de confiance de cette alerte. |
|
| properties.confidenceReasons |
Les raisons de confiance |
|
| properties.confidenceScore |
number |
Score de confiance de l’alerte. |
| properties.confidenceScoreStatus |
Le calcul du score de confiance status, c’est-à-dire indiquant si le calcul du score est en attente pour cette alerte, non applicable ou final. |
|
| properties.description |
string |
Description de l’alerte. |
| properties.endTimeUtc |
string |
Heure de fin de l’impact de l’alerte (heure du dernier événement ayant contribué à l’alerte). |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.intent |
Contient le mappage des phases d’intention d’alerte pour cette alerte. |
|
| properties.processingEndTime |
string |
Heure à laquelle l’alerte a été mise à la disposition de la consommation. |
| properties.productComponentName |
string |
Nom d’un composant à l’intérieur du produit qui a généré l’alerte. |
| properties.productName |
string |
Nom du produit qui a publié cette alerte. |
| properties.productVersion |
string |
Version du produit générant l’alerte. |
| properties.providerAlertId |
string |
Identificateur de l’alerte à l’intérieur du produit qui a généré l’alerte. |
| properties.remediationSteps |
string[] |
Éléments d’action manuelle à mettre à jour pour corriger l’alerte. |
| properties.resourceIdentifiers |
object[] |
Liste des identificateurs de ressource de l’alerte. |
| properties.severity |
La gravité de l’alerte |
|
| properties.startTimeUtc |
string |
Heure de début de l’impact de l’alerte (heure du premier événement contribuant à l’alerte). |
| properties.status |
Cycle de vie status de l’alerte. |
|
| properties.systemAlertId |
string |
Contient l’identificateur de produit de l’alerte pour le produit. |
| properties.tactics |
Tactiques de l’alerte |
|
| properties.timeGenerated |
string |
Heure à laquelle l’alerte a été générée. |
| properties.vendorName |
string |
Nom du fournisseur qui déclenche l’alerte. |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
SecurityGroupEntity
Représente une entité de groupe de sécurité.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Security |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Sac de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.distinguishedName |
string |
Nom unique du groupe |
| properties.friendlyName |
string |
Nom d’affichage de l’élément de graphe, qui est une brève description lisible de l’élément de graphique instance. Cette propriété est facultative et peut être générée par le système. |
| properties.objectGuid |
string |
Attribut à valeur unique qui est l’identificateur unique de l’objet, attribué par Active Directory. |
| properties.sid |
string |
L’attribut SID est un attribut à valeur unique qui spécifie l’identificateur de sécurité (SID) du groupe |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
SubmissionMailEntity
Représente une entité de messagerie de soumission.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Submission |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.networkMessageId |
string |
ID de message réseau de l’e-mail auquel appartient la soumission |
| properties.recipient |
string |
Destinataire de l’e-mail |
| properties.reportType |
string |
Type d'envoi pour l'instance donnée (Junk, Phish, Malware ou NotJunk). |
| properties.sender |
string |
Expéditeur du courrier |
| properties.senderIp |
string |
Adresse IP de l’expéditeur |
| properties.subject |
string |
Objet de la messagerie de soumission |
| properties.submissionDate |
string |
Date de soumission |
| properties.submissionId |
string |
ID de soumission |
| properties.submitter |
string |
L’émetteur |
| properties.timestamp |
string |
Horodatage lorsque le message est reçu (Courrier) |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
systemData
Métadonnées relatives à la création et à la dernière modification de la ressource.
| Nom | Type | Description |
|---|---|---|
| createdAt |
string |
Horodatage de la création de ressources (UTC). |
| createdBy |
string |
Identité qui a créé la ressource. |
| createdByType |
Type d’identité qui a créé la ressource. |
|
| lastModifiedAt |
string |
Horodatage de la dernière modification de la ressource (UTC) |
| lastModifiedBy |
string |
Identité qui a modifié la ressource pour la dernière fois. |
| lastModifiedByType |
Type d’identité qui a modifié la ressource pour la dernière fois. |
ThreatIntelligence
Conteneur de propriétés ThreatIntelligence.
| Nom | Type | Description |
|---|---|---|
| confidence |
number |
Confiance (doit être comprise entre 0 et 1) |
| providerName |
string |
Nom du fournisseur auprès duquel ces informations de renseignement sur les menaces ont été reçues |
| reportLink |
string |
Lien du rapport |
| threatDescription |
string |
Description de la menace (texte libre) |
| threatName |
string |
Nom de la menace (par exemple, « programme malveillant Jedobot ») |
| threatType |
string |
Type de menace (par exemple, « Botnet ») |
UrlEntity
Représente une entité URL.
| Nom | Type | Description |
|---|---|---|
| id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Url |
Type de l’entité. |
| name |
string |
nom de la ressource. |
| properties.additionalData |
object |
Un conteneur de champs personnalisés qui doit faire partie de l’entité et qui sera présenté à l’utilisateur. |
| properties.friendlyName |
string |
Nom complet de l’élément de graphique, qui est une brève description lisible de l’élément de graphe instance. Cette propriété est facultative et peut être générée par le système. |
| properties.url |
string |
URL complète vers laquelle l’entité pointe |
| systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
| type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
UserInfo
Informations utilisateur ayant effectué une action
| Nom | Type | Description |
|---|---|---|
|
string |
L’e-mail de l’utilisateur. |
|
| name |
string |
Nom de l'utilisateur. |
| objectId |
string |
ID d’objet de l’utilisateur. |