az sentinel watchlist
Observação
Essa referência faz parte da extensão sentinela para a CLI do Azure (versão 2.37.0 ou superior). A extensão será instalada automaticamente na primeira vez que você executar um comando az sentinel watchlist . Saiba mais sobre extensões.
Gerencie a lista de observação com o sentinel.
Comandos
| Nome | Description | Tipo | Status |
|---|---|---|---|
| az sentinel watchlist create |
Crie uma Lista de Observação e seus Itens de Lista de Observação (criação em massa, por exemplo, por meio de texto/tipo de conteúdo csv). Para criar uma Watchlist e seus Items, devemos chamar esse ponto de extremidade com rawContent ou um URI SAR válido e propriedades contentType. O rawContent é usado principalmente para pequenas listas de observação (tamanho de conteúdo abaixo de 3,8 MB). O URI SAS permite a criação de uma grande lista de observação, onde o tamanho do conteúdo pode ir até 500 MB. O status do processamento desse arquivo grande pode ser sondado por meio da URL retornada no cabeçalho Azure-AsyncOperation. |
Extensão | Habilitação |
| az sentinel watchlist delete |
Excluir uma lista de observação. |
Extensão | Habilitação |
| az sentinel watchlist list |
Obtenha todas as listas de observação, sem itens da lista de observação. |
Extensão | Habilitação |
| az sentinel watchlist show |
Obtenha uma lista de observação, sem seus itens de lista de observação. |
Extensão | Habilitação |
| az sentinel watchlist update |
Atualizar uma Lista de Observação e seus Itens da Lista de Observação (criação em massa, por exemplo, por meio do tipo de conteúdo texto/csv). Para criar uma Watchlist e seus Items, devemos chamar esse ponto de extremidade com rawContent ou um URI SAR válido e propriedades contentType. O rawContent é usado principalmente para pequenas listas de observação (tamanho de conteúdo abaixo de 3,8 MB). O URI SAS permite a criação de uma grande lista de observação, onde o tamanho do conteúdo pode ir até 500 MB. O status do processamento desse arquivo grande pode ser sondado por meio da URL retornada no cabeçalho Azure-AsyncOperation. |
Extensão | Habilitação |
az sentinel watchlist create
Esse comando é experimental e está em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus
Crie uma Lista de Observação e seus Itens de Lista de Observação (criação em massa, por exemplo, por meio de texto/tipo de conteúdo csv). Para criar uma Watchlist e seus Items, devemos chamar esse ponto de extremidade com rawContent ou um URI SAR válido e propriedades contentType. O rawContent é usado principalmente para pequenas listas de observação (tamanho de conteúdo abaixo de 3,8 MB). O URI SAS permite a criação de uma grande lista de observação, onde o tamanho do conteúdo pode ir até 500 MB. O status do processamento desse arquivo grande pode ser sondado por meio da URL retornada no cabeçalho Azure-AsyncOperation.
az sentinel watchlist create --name
--resource-group
--workspace-name
[--content-type]
[--created]
[--created-by]
[--default-duration]
[--description]
[--display-name]
[--etag]
[--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
[--items-search-key]
[--labels]
[--provider]
[--raw-content]
[--skip-num]
[--source]
[--source-type {Local file, Remote storage}]
[--tenant-id]
[--updated]
[--updated-by]
[--upload-status]
[--watchlist-id]
[--watchlist-type]Parâmetros Exigidos
Alias da lista de observação.
Nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.
O nome do workspace.
Parâmetros Opcionais
O tipo de conteúdo do conteúdo bruto. Exemplo: text/csv ou text/tsv.
A hora em que a lista de observação foi criada.
Descreve um usuário que criou a lista de observação Suporte abreviado-sintaxe, json-file e yaml-file. Tente "??" para mostrar mais.
A duração padrão de uma lista de observação (no formato de duração ISO 8601).
Uma descrição da lista de observação.
O nome de exibição da lista de observação.
Etag do recurso azure.
Um sinalizador que indica se a lista de observação foi excluída ou não.
A chave de pesquisa é usada para otimizar o desempenho da consulta ao usar listas de observação para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e, em seguida, use esse campo como o campo chave ao ingressar em outros dados de evento por endereço IP.
Lista de rótulos relevantes para esta lista de observação Suporte a sintaxe taquigráfica, json-file e yaml-file. Tente "??" para mostrar mais.
O provedor da lista de observação.
O conteúdo bruto que representa os itens da lista de observação a serem criados. No caso do tipo de conteúdo csv/tsv, é o conteúdo do arquivo que será analisado pelo ponto de extremidade.
O número de linhas em um conteúdo csv/tsv a ser ignorado antes do cabeçalho.
O nome do arquivo da lista de observação, chamado 'fonte'.
O sourceType da lista de observação.
O tenantId ao qual a lista de observação pertence.
A última vez que a lista de observação foi atualizada.
Descreve um usuário que atualizou a lista de observação Suporte abreviado-sintaxe, json-file e yaml-file. Tente "??" para mostrar mais.
O status do carregamento da Lista de Observação: Novo, Em Andamento ou Concluído. Nota Pls: Quando um status de upload Watchlist é igual a InProgress, a Watchlist não pode ser excluída.
O id (um Guid) da lista de observação.
O tipo da lista de observação.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az sentinel watchlist delete
Esse comando é experimental e está em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus
Excluir uma lista de observação.
az sentinel watchlist delete [--ids]
[--name]
[--resource-group]
[--subscription]
[--workspace-name]
[--yes]Parâmetros Opcionais
Uma ou mais IDs de recurso (delimitadas por espaço). Deve ser um ID de recurso completo contendo todas as informações dos argumentos 'Resource Id'. Você deve fornecer --ids ou outros argumentos 'Resource Id'.
Alias da lista de observação.
Nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
O nome do workspace.
Não solicite confirmação.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az sentinel watchlist list
Esse comando é experimental e está em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus
Obtenha todas as listas de observação, sem itens da lista de observação.
az sentinel watchlist list --resource-group
--workspace-name
[--skip-token]Parâmetros Exigidos
Nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.
O nome do workspace.
Parâmetros Opcionais
Skiptoken só é usado se uma operação anterior retornou um resultado parcial. Se uma resposta anterior contiver um elemento nextLink, o valor do elemento nextLink incluirá um parâmetro skiptoken que especifica um ponto de partida a ser usado para chamadas subsequentes. Opcional.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az sentinel watchlist show
Esse comando é experimental e está em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus
Obtenha uma lista de observação, sem seus itens de lista de observação.
az sentinel watchlist show [--ids]
[--name]
[--resource-group]
[--subscription]
[--workspace-name]Parâmetros Opcionais
Uma ou mais IDs de recurso (delimitadas por espaço). Deve ser um ID de recurso completo contendo todas as informações dos argumentos 'Resource Id'. Você deve fornecer --ids ou outros argumentos 'Resource Id'.
Alias da lista de observação.
Nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
O nome do workspace.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az sentinel watchlist update
Esse comando é experimental e está em desenvolvimento. Níveis de referência e suporte: https://aka.ms/CLI_refstatus
Atualizar uma Lista de Observação e seus Itens da Lista de Observação (criação em massa, por exemplo, por meio do tipo de conteúdo texto/csv). Para criar uma Watchlist e seus Items, devemos chamar esse ponto de extremidade com rawContent ou um URI SAR válido e propriedades contentType. O rawContent é usado principalmente para pequenas listas de observação (tamanho de conteúdo abaixo de 3,8 MB). O URI SAS permite a criação de uma grande lista de observação, onde o tamanho do conteúdo pode ir até 500 MB. O status do processamento desse arquivo grande pode ser sondado por meio da URL retornada no cabeçalho Azure-AsyncOperation.
az sentinel watchlist update [--add]
[--content-type]
[--created]
[--created-by]
[--default-duration]
[--description]
[--display-name]
[--etag]
[--force-string {0, 1, f, false, n, no, t, true, y, yes}]
[--ids]
[--is-deleted {0, 1, f, false, n, no, t, true, y, yes}]
[--items-search-key]
[--labels]
[--name]
[--provider]
[--raw-content]
[--remove]
[--resource-group]
[--set]
[--skip-num]
[--source]
[--source-type {Local file, Remote storage}]
[--subscription]
[--tenant-id]
[--updated]
[--updated-by]
[--upload-status]
[--watchlist-id]
[--watchlist-type]
[--workspace-name]Parâmetros Opcionais
Adicione um objeto a uma lista de objetos especificando um caminho e pares de valores de chave. Exemplo: --add property.listProperty <key=value, string ou cadeia de caracteres> JSON.
O tipo de conteúdo do conteúdo bruto. Exemplo: text/csv ou text/tsv.
A hora em que a lista de observação foi criada.
Descreve um usuário que criou a lista de observação Suporte abreviado-sintaxe, json-file e yaml-file. Tente "??" para mostrar mais.
A duração padrão de uma lista de observação (no formato de duração ISO 8601).
Uma descrição da lista de observação.
O nome de exibição da lista de observação.
Etag do recurso azure.
Ao usar 'set' ou 'add', preserve literais de cadeia de caracteres em vez de tentar converter para JSON.
Uma ou mais IDs de recurso (delimitadas por espaço). Deve ser um ID de recurso completo contendo todas as informações dos argumentos 'Resource Id'. Você deve fornecer --ids ou outros argumentos 'Resource Id'.
Um sinalizador que indica se a lista de observação foi excluída ou não.
A chave de pesquisa é usada para otimizar o desempenho da consulta ao usar listas de observação para junções com outros dados. Por exemplo, habilite uma coluna com endereços IP para ser o campo SearchKey designado e, em seguida, use esse campo como o campo chave ao ingressar em outros dados de evento por endereço IP.
Lista de rótulos relevantes para esta lista de observação Suporte a sintaxe taquigráfica, json-file e yaml-file. Tente "??" para mostrar mais.
Alias da lista de observação.
O provedor da lista de observação.
O conteúdo bruto que representa os itens da lista de observação a serem criados. No caso do tipo de conteúdo csv/tsv, é o conteúdo do arquivo que será analisado pelo ponto de extremidade.
Remova uma propriedade ou um elemento de uma lista. Exemplo: --remove property.list OU --remove propertyToRemove.
Nome do grupo de recursos. Você pode configurar o grupo padrão usando az configure --defaults group=<name>.
Atualize um objeto especificando um caminho de propriedade e um valor a serem definidos. Exemplo: --set property1.property2=.
O número de linhas em um conteúdo csv/tsv a ser ignorado antes do cabeçalho.
O nome do arquivo da lista de observação, chamado 'fonte'.
O sourceType da lista de observação.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
O tenantId ao qual a lista de observação pertence.
A última vez que a lista de observação foi atualizada.
Descreve um usuário que atualizou a lista de observação Suporte abreviado-sintaxe, json-file e yaml-file. Tente "??" para mostrar mais.
O status do carregamento da Lista de Observação: Novo, Em Andamento ou Concluído. Nota Pls: Quando um status de upload Watchlist é igual a InProgress, a Watchlist não pode ser excluída.
O id (um Guid) da lista de observação.
O tipo da lista de observação.
O nome do workspace.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
