az sentinel incident

リファレンス

Note

このリファレンスは、Azure CLI (バージョン 2.37.0 以降) の Sentinel 拡張機能の一部です。拡張機能は、az sentinel incident コマンドを初めて実行するときに自動的にインストールされます。拡張機能の詳細をご覧ください。

Sentinel を使用してインシデントを管理します。

コマンド

名前	説明	型	Status
az sentinel incident comment	Sentinel を使用してインシデントコメントを管理します。	拡張	GA
az sentinel incident comment create	インシデントコメントを作成します。	拡張	Experimental
az sentinel incident comment delete	インシデントコメントを削除します。	拡張	Experimental
az sentinel incident comment list	すべてのインシデントコメントを取得します。	拡張	Experimental
az sentinel incident comment show	インシデントコメントを取得します。	拡張	Experimental
az sentinel incident comment update	インシデントコメントを更新します。	拡張	Experimental
az sentinel incident create	インシデントを作成します。	拡張	Experimental
az sentinel incident create-team	参加者間で情報と分析情報を共有することで、インシデントを調査する Microsoft チームを作成します。	拡張	Experimental
az sentinel incident delete	インシデントを削除します。	拡張	Experimental
az sentinel incident list	すべてのインシデントを取得します。	拡張	Experimental
az sentinel incident list-alert	すべてのインシデントアラートを取得します。	拡張	Experimental
az sentinel incident list-bookmark	すべてのインシデントブックマークを取得します。	拡張	Experimental
az sentinel incident list-entity	すべてのインシデント関連エンティティを取得します。	拡張	Experimental
az sentinel incident relation	Sentinel を使用してインシデント関係を管理します。	拡張	GA
az sentinel incident relation create	インシデント関係を作成します。	拡張	Experimental
az sentinel incident relation delete	インシデント関係を削除します。	拡張	Experimental
az sentinel incident relation list	すべてのインシデント関係を取得します。	拡張	Experimental
az sentinel incident relation show	インシデント関係を取得します。	拡張	Experimental
az sentinel incident relation update	インシデントの関係を更新します。	拡張	Experimental
az sentinel incident run-playbook	特定のインシデントに対してプレイブックをトリガーします。	拡張	Experimental
az sentinel incident show	インシデントを取得します。	拡張	Experimental
az sentinel incident update	インシデントを更新します。	拡張	Experimental

az sentinel incident create

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

インシデントを作成します。

az sentinel incident create --incident-id
                            --resource-group
                            --workspace-name
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--title]

必須のパラメーター

--incident-id --name -n

インシデント ID。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--workspace-name -w

実験用

ワークスペースの名前。

省略可能のパラメーター

--classification

インシデントが閉じられた理由。

承認された値: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

インシデントが閉じられた理由について説明します。

--classification-reason

インシデントが終了した分類の理由。

承認された値: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

インシデントの説明。

--etag

Azure リソースの Etag。

--first-activity-time-utc

インシデントの最初のアクティビティの時刻。

--labels

このインシデントに関連するラベルの一覧では、短縮構文、json ファイル、yaml-file がサポートされます。詳細を表示するには、"??" を試してください。

--last-activity-time-utc

インシデントの最後のアクティビティの時刻。

--owner

インシデントがサポートの短縮構文、json-file、yaml-file に割り当てられているユーザーについて説明します。詳細を表示するには、"??" を試してください。

--provider-incident-id

インシデントプロバイダーによって割り当てられたインシデント ID。

--provider-name

インシデントを生成したソースプロバイダーの名前。

--severity

インシデントの重大度。

承認された値: High, Informational, Low, Medium

--status

インシデントの状態。

承認された値: Active, Closed, New

--title

インシデントのタイトル。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident create-team

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

参加者間で情報と分析情報を共有することで、インシデントを調査する Microsoft チームを作成します。

az sentinel incident create-team --incident-id
                                 --resource-group
                                 --team-name
                                 --workspace-name
                                 [--group-ids]
                                 [--member-ids]
                                 [--team-description]

必須のパラメーター

--incident-id

インシデント ID。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--team-name

チームの名称です。

--workspace-name -w

実験用

ワークスペースの名前。

省略可能のパラメーター

--group-ids

チームにメンバーを追加するグループ ID の一覧は、短縮構文、json ファイル、yaml-file をサポートします。詳細を表示するには、"??" を試してください。

--member-ids

チームに追加するメンバー ID の一覧は、短縮構文、json ファイル、yaml-file をサポートします。詳細を表示するには、"??" を試してください。

--team-description

チームの説明です。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident delete

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

インシデントを削除します。

az sentinel incident delete [--ids]
                            [--incident-id]
                            [--resource-group]
                            [--subscription]
                            [--workspace-name]
                            [--yes]

省略可能のパラメーター

--ids

1 つまたは複数のリソース ID (スペース区切り)。これは、'Resource Id' 引数のすべての情報を含む完全なリソース ID である必要があります。 --ids または他の 'Resource Id' 引数を指定する必要があります。

--incident-id --name -n

インシデント ID。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--workspace-name -w

実験用

ワークスペースの名前。

--yes -y

確認のダイアログを表示しません。

既定値: False

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident list

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

すべてのインシデントを取得します。

az sentinel incident list --resource-group
                          --workspace-name
                          [--filter]
                          [--orderby]
                          [--skip-token]
                          [--top]

必須のパラメーター

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--workspace-name -w

実験用

ワークスペースの名前。

省略可能のパラメーター

--filter

ブール条件に基づいて結果をフィルターします。オプション。

--orderby

結果を並べ替えます。オプション。

--skip-token

Skiptoken は、前の操作で部分的な結果が返された場合にのみ使用されます。前の応答に nextLink 要素が含まれている場合、nextLink 要素の値には、後続の呼び出しに使用する開始点を指定する skiptoken パラメーターが含まれます。オプション。

--top

最初の n 件の結果のみを返します。オプション。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident list-alert

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

すべてのインシデントアラートを取得します。

az sentinel incident list-alert --incident-id
                                --resource-group
                                --workspace-name

必須のパラメーター

--incident-id

インシデント ID。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--workspace-name -w

実験用

ワークスペースの名前。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident list-bookmark

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

すべてのインシデントブックマークを取得します。

az sentinel incident list-bookmark --incident-id
                                   --resource-group
                                   --workspace-name

必須のパラメーター

--incident-id

インシデント ID。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--workspace-name -w

実験用

ワークスペースの名前。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident list-entity

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

すべてのインシデント関連エンティティを取得します。

az sentinel incident list-entity --incident-id
                                 --resource-group
                                 --workspace-name

必須のパラメーター

--incident-id

インシデント ID。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--workspace-name -w

実験用

ワークスペースの名前。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident run-playbook

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

特定のインシデントに対してプレイブックをトリガーします。

az sentinel incident run-playbook --incident-identifier
                                  --resource-group
                                  --workspace-name
                                  [--logic-apps-resource-id]
                                  [--tenant-id]

必須のパラメーター

--incident-identifier

インシデントの識別子。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--workspace-name -w

実験用

ワークスペースの名前。

省略可能のパラメーター

--logic-apps-resource-id

ロジックアプリのリソース ID。

--tenant-id

テナントの ID。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident show

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

インシデントを取得します。

az sentinel incident show [--ids]
                          [--incident-id]
                          [--resource-group]
                          [--subscription]
                          [--workspace-name]

省略可能のパラメーター

--ids

--incident-id --name -n

インシデント ID。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--workspace-name -w

実験用

ワークスペースの名前。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

az sentinel incident update

実験用

このコマンドは試験段階であり、開発中です。参照レベルとサポートレベル: https://aka.ms/CLI_refstatus

インシデントを更新します。

az sentinel incident update [--add]
                            [--classification {BenignPositive, FalsePositive, TruePositive, Undetermined}]
                            [--classification-comment]
                            [--classification-reason {InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected}]
                            [--description]
                            [--etag]
                            [--first-activity-time-utc]
                            [--force-string {0, 1, f, false, n, no, t, true, y, yes}]
                            [--ids]
                            [--incident-id]
                            [--labels]
                            [--last-activity-time-utc]
                            [--owner]
                            [--provider-incident-id]
                            [--provider-name]
                            [--remove]
                            [--resource-group]
                            [--set]
                            [--severity {High, Informational, Low, Medium}]
                            [--status {Active, Closed, New}]
                            [--subscription]
                            [--title]
                            [--workspace-name]

省略可能のパラメーター

--add

パスとキー値のペアを指定して、オブジェクトの一覧にオブジェクトを追加します。例: --add property.listProperty <key=value、string、または JSON 文字列>。

--classification

インシデントが閉じられた理由。

承認された値: BenignPositive, FalsePositive, TruePositive, Undetermined

--classification-comment

インシデントが閉じられた理由について説明します。

--classification-reason

インシデントが終了した分類の理由。

承認された値: InaccurateData, IncorrectAlertLogic, SuspiciousActivity, SuspiciousButExpected

--description

インシデントの説明。

--etag

Azure リソースの Etag。

--first-activity-time-utc

インシデントの最初のアクティビティの時刻。

--force-string

'set' または 'add' を使用する場合は、JSON に変換するのではなく、文字列リテラルを保持します。

承認された値: 0, 1, f, false, n, no, t, true, y, yes

--ids

--incident-id --name -n

インシデント ID。

--labels

--last-activity-time-utc

インシデントの最後のアクティビティの時刻。

--owner

--provider-incident-id

インシデントプロバイダーによって割り当てられたインシデント ID。

--provider-name

インシデントを生成したソースプロバイダーの名前。

--remove

リストからプロパティまたは要素を削除します。例: --remove property.list OR --remove propertyToRemove。

--resource-group -g

リソースグループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--set

設定するプロパティパスと値を指定して、オブジェクトを更新します。例: --set property1.property2=。

--severity

インシデントの重大度。

承認された値: High, Informational, Low, Medium

--status

インシデントの状態。

承認された値: Active, Closed, New

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--title

インシデントのタイトル。

--workspace-name -w

実験用

ワークスペースの名前。

グローバルパラメーター

--debug

すべてのデバッグログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプメッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

承認された値: json, jsonc, none, table, tsv, yaml, yamlc

既定値: json

--query

JMESPath クエリ文字列。詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。詳細なデバッグログを表示するには --debug を使います。

次の方法で共有

az sentinel incident

コマンド

az sentinel incident create

必須のパラメーター

省略可能のパラメーター

az sentinel incident create-team

必須のパラメーター

省略可能のパラメーター

az sentinel incident delete

省略可能のパラメーター

az sentinel incident list

必須のパラメーター

省略可能のパラメーター

az sentinel incident list-alert

必須のパラメーター

az sentinel incident list-bookmark

必須のパラメーター

az sentinel incident list-entity

必須のパラメーター

az sentinel incident run-playbook

必須のパラメーター

省略可能のパラメーター

az sentinel incident show

省略可能のパラメーター

az sentinel incident update

省略可能のパラメーター

その他のリソース