Incidents - List
Obtient tous les incidents.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$filter={$filter}&$orderby={$orderby}&$top={$top}&$skipToken={$skipToken}
Paramètres URI
Nom | Dans | Obligatoire | Type | Description |
---|---|---|---|---|
resource
|
path | True |
string |
Nom du groupe de ressources. Le nom ne respecte pas la casse. |
subscription
|
path | True |
string uuid |
ID de l’abonnement cible. La valeur doit être un UUID. |
workspace
|
path | True |
string |
Nom de l’espace de travail. Modèle d’expression régulière: |
api-version
|
query | True |
string |
Version de l’API à utiliser pour cette opération. |
$filter
|
query |
string |
Filtre les résultats en fonction d’une condition booléenne. facultatif. |
|
$orderby
|
query |
string |
Trie les résultats. facultatif. |
|
$skip
|
query |
string |
Skiptoken est utilisé uniquement si une opération précédente a retourné un résultat partiel. Si une réponse précédente contient un élément nextLink, la valeur de l’élément nextLink inclut un paramètre skiptoken qui spécifie un point de départ à utiliser pour les appels suivants. Optionnel. |
|
$top
|
query |
integer int32 |
Retourne uniquement les n premiers résultats. facultatif. |
Réponses
Nom | Type | Description |
---|---|---|
200 OK |
OK, Opération terminée avec succès |
|
Other Status Codes |
Réponse d’erreur décrivant la raison de l’échec de l’opération. |
Sécurité
azure_auth
Flux OAuth2 Azure Active Directory
Type:
oauth2
Flux:
implicit
URL d’autorisation:
https://login.microsoftonline.com/common/oauth2/authorize
Étendues
Nom | Description |
---|---|
user_impersonation | Emprunter l’identité de votre compte d’utilisateur |
Exemples
Get all incidents.
Exemple de requête
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents?api-version=2024-03-01&$orderby=properties/createdTimeUtc desc&$top=1
Exemple de réponse
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/incidents",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastModifiedTimeUtc": "2019-01-01T13:15:30Z",
"createdTimeUtc": "2019-01-01T13:15:30Z",
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"userPrincipalName": "john@contoso.com",
"assignedTo": "john doe"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed",
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/incidents/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"incidentNumber": 3177,
"labels": [],
"providerName": "Azure Sentinel",
"providerIncidentId": "3177",
"relatedAnalyticRuleIds": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
],
"additionalData": {
"alertsCount": 0,
"bookmarksCount": 0,
"commentsCount": 3,
"alertProductNames": [],
"tactics": [
"Persistence"
]
}
}
}
]
}
Définitions
Nom | Description |
---|---|
Attack |
Gravité des alertes créées par cette règle d’alerte. |
Cloud |
Structure de réponse d’erreur. |
Cloud |
Détails de l’erreur. |
created |
Type d’identité qui a créé la ressource. |
Incident |
Représente un incident dans Azure Security Insights. |
Incident |
Incident : conteneur de propriétés de données supplémentaires. |
Incident |
La raison pour laquelle l’incident a été fermé |
Incident |
La raison de classification pour laquelle l’incident a été fermé avec |
Incident |
Représente une étiquette d’incident |
Incident |
Type de l’étiquette |
Incident |
Répertorier tous les incidents. |
Incident |
Informations sur l’utilisateur auquel un incident est attribué |
Incident |
Gravité de l’incident |
Incident |
La status de l’incident |
Owner |
Type du propriétaire auquel l’incident est affecté. |
system |
Métadonnées relatives à la création et à la dernière modification de la ressource. |
AttackTactic
Gravité des alertes créées par cette règle d’alerte.
Nom | Type | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Structure de réponse d’erreur.
Nom | Type | Description |
---|---|---|
error |
Données d’erreur |
CloudErrorBody
Détails de l’erreur.
Nom | Type | Description |
---|---|---|
code |
string |
Identificateur de l'erreur. Les codes sont invariants et sont destinés à être consommés par programmation. |
message |
string |
Message décrivant l’erreur, destiné à être affiché dans une interface utilisateur. |
createdByType
Type d’identité qui a créé la ressource.
Nom | Type | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
Incident
Représente un incident dans Azure Security Insights.
Nom | Type | Description |
---|---|---|
etag |
string |
Etag de la ressource Azure |
id |
string |
ID de ressource complet pour la ressource. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
nom de la ressource. |
properties.additionalData |
Données supplémentaires sur l’incident |
|
properties.classification |
La raison pour laquelle l’incident a été fermé |
|
properties.classificationComment |
string |
Décrit la raison pour laquelle l’incident a été fermé |
properties.classificationReason |
La raison de classification pour laquelle l’incident a été fermé avec |
|
properties.createdTimeUtc |
string |
Heure à laquelle l’incident a été créé |
properties.description |
string |
Description de l’incident |
properties.firstActivityTimeUtc |
string |
Heure de la première activité dans l’incident |
properties.incidentNumber |
integer |
Nombre séquentiel |
properties.incidentUrl |
string |
URL de lien profond vers l’incident dans Portail Azure |
properties.labels |
Liste des étiquettes pertinentes pour cet incident |
|
properties.lastActivityTimeUtc |
string |
Heure de la dernière activité de l’incident |
properties.lastModifiedTimeUtc |
string |
La dernière fois que l’incident a été mis à jour |
properties.owner |
Décrit un utilisateur auquel l’incident est affecté |
|
properties.providerIncidentId |
string |
ID d’incident attribué par le fournisseur d’incident |
properties.providerName |
string |
Nom du fournisseur source qui a généré l’incident |
properties.relatedAnalyticRuleIds |
string[] |
Liste des ID de ressource des règles analytiques liées à l’incident |
properties.severity |
Gravité de l’incident |
|
properties.status |
La status de l’incident |
|
properties.title |
string |
Titre de l’incident |
systemData |
Métadonnées Azure Resource Manager contenant les informations createdBy et modifiedBy. |
|
type |
string |
Type de la ressource. Par exemple, « Microsoft.Compute/virtualMachines » ou « Microsoft.Storage/storageAccounts » |
IncidentAdditionalData
Incident : conteneur de propriétés de données supplémentaires.
Nom | Type | Description |
---|---|---|
alertProductNames |
string[] |
Liste des noms de produits des alertes dans l’incident |
alertsCount |
integer |
Nombre d’alertes dans l’incident |
bookmarksCount |
integer |
Nombre de signets dans l’incident |
commentsCount |
integer |
Nombre de commentaires dans l’incident |
providerIncidentUrl |
string |
URL de l’incident du fournisseur vers l’incident dans le portail Microsoft 365 Defender |
tactics |
Tactiques associées à l’incident |
IncidentClassification
La raison pour laquelle l’incident a été fermé
Nom | Type | Description |
---|---|---|
BenignPositive |
string |
L’incident était positif sans gravité |
FalsePositive |
string |
L’incident était faux positif |
TruePositive |
string |
L’incident était vrai positif |
Undetermined |
string |
La classification des incidents était indéterminée |
IncidentClassificationReason
La raison de classification pour laquelle l’incident a été fermé avec
Nom | Type | Description |
---|---|---|
InaccurateData |
string |
La raison de la classification était des données inexactes |
IncorrectAlertLogic |
string |
La raison de la classification était une logique d’alerte incorrecte |
SuspiciousActivity |
string |
La raison de la classification était une activité suspecte |
SuspiciousButExpected |
string |
La raison de la classification était suspecte, mais attendue |
IncidentLabel
Représente une étiquette d’incident
Nom | Type | Description |
---|---|---|
labelName |
string |
Nom de l’étiquette |
labelType |
Type de l’étiquette |
IncidentLabelType
Type de l’étiquette
Nom | Type | Description |
---|---|---|
AutoAssigned |
string |
Étiquette créée automatiquement par le système |
User |
string |
Étiquette créée manuellement par un utilisateur |
IncidentList
Répertorier tous les incidents.
Nom | Type | Description |
---|---|---|
nextLink |
string |
URL permettant d’extraire l’ensemble d’incidents suivant. |
value |
Incident[] |
Tableau d’incidents. |
IncidentOwnerInfo
Informations sur l’utilisateur auquel un incident est attribué
Nom | Type | Description |
---|---|---|
assignedTo |
string |
Nom de l’utilisateur auquel l’incident est affecté. |
string |
E-mail de l’utilisateur auquel l’incident est affecté. |
|
objectId |
string |
ID d’objet de l’utilisateur auquel l’incident est affecté. |
ownerType |
Type du propriétaire auquel l’incident est affecté. |
|
userPrincipalName |
string |
Nom d’utilisateur principal de l’utilisateur auquel l’incident est affecté. |
IncidentSeverity
Gravité de l’incident
Nom | Type | Description |
---|---|---|
High |
string |
Niveau de gravité Élevé |
Informational |
string |
Gravité informationnelle |
Low |
string |
Gravité faible |
Medium |
string |
Niveau de gravité Moyen |
IncidentStatus
La status de l’incident
Nom | Type | Description |
---|---|---|
Active |
string |
Incident actif en cours de traitement |
Closed |
string |
Un incident non actif |
New |
string |
Incident actif qui n’est pas géré actuellement |
OwnerType
Type du propriétaire auquel l’incident est affecté.
Nom | Type | Description |
---|---|---|
Group |
string |
Le type de propriétaire d’incident est un groupe AAD |
Unknown |
string |
Le type de propriétaire de l’incident est inconnu |
User |
string |
Le type de propriétaire d’incident est un utilisateur AAD |
systemData
Métadonnées relatives à la création et à la dernière modification de la ressource.
Nom | Type | Description |
---|---|---|
createdAt |
string |
Horodatage de la création de ressources (UTC). |
createdBy |
string |
Identité qui a créé la ressource. |
createdByType |
Type d’identité qui a créé la ressource. |
|
lastModifiedAt |
string |
Horodatage de la dernière modification de la ressource (UTC) |
lastModifiedBy |
string |
Identité qui a modifié la ressource pour la dernière fois. |
lastModifiedByType |
Type d’identité qui a modifié la ressource pour la dernière fois. |